Ingenieria Social
Enviado por wackomx • 14 de Junio de 2013 • 3.677 Palabras (15 Páginas) • 1.750 Visitas
Prevención es mejor que curar
Introducción
El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Esta técnica consiste en obtener información de los usuarios por teléfono, correo electrónico, correo tradicional o contacto directo.
Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc.
La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:
• Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
• La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
• La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias.
• El control del acceso físico a los sistemas.
• La elección de un hardware y de un software que no de problemas.
• La correcta formación de los usuarios del sistema.
• El desarrollo de planes de contingencia.
Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.
Un programa de seguridad de la información eficaz no se puede implementar sin la aplicación de un programa de sensibilización de los empleados y la capacitación para abordar políticas, procedimientos y herramientas. El aprendizaje consiste de tres elementos clave:
1. Conciencia, que se utiliza para estimular, motivar y recordar a la audiencia que se espera de ellos.
2. Entrenamiento, el proceso que enseña una habilidad o el uso de una herramienta deseada.
3. Educación, especializada en profundidad escolaridad requerido para soportar las herramientas o como un proceso de desarrollo de carrera.
La tríada de seguridad de la información confidencialidad, integridad y disponibilidad e el eje de programa de seguridad. La alta gerencia, sin embargo, se preocupa por que la información refleje la verdadera situación de la organización y en que puedan confiar en que la información este disponible para que pueda ser utilizada en la toma decisiones de negocios informadas.
Un programa de seguridad de información efectivo trabaja para asegurar que la información y los procesos que la modificación estén disponible cuando usuarios autorizados la necesiten.
El objetivo de confidencialidad se extiende más allá de simplemente mantener a los atacantes afuera, sino que también se asegura de que los que tienen un objetivo tengan acceso a los recursos necesarios para realizar sus trabajos. La confidencialidad garantiza que los controles y mecanismos de reporteo existan para detectar problemas o posibles intrusiones con velocidad y precisión.
Un programa de seguridad eficaz debe tener en cuenta los objetivos de negocio y la misión de la organización y asegurar que estos objetivos se cumplan con la mayor seguridad posible. Entender las necesidades del cliente debe ser el primer paso para establecer un efectivo programa de seguridad de información. Los programas de sensibilización deben reforzar estos objetivos y con ello, harán que el programa sea más aceptable para la base de empleados.
Antecedentes
Los ataques dirigidos avanzados afectan a organizaciones de todos los tamaños.
Los ataques dirigidos están aumentando, y el número de ataques dirigidos diarios creció de 77 a 82 por día hacia finales de 2011. Los ataques dirigidos utilizan ingeniería social y malware personalizado para obtener acceso no autorizado a la información confidencial. Estos avanzados ataques han hecho foco tradicionalmente en el sector público y el gobierno, sin embargo, en 2011 los ataques dirigidos se diversificaron y ya no se limitan a grandes organizaciones.
Más del 50 por ciento de dichos ataques son dirigidos a organizaciones con menos de 2,500 empleados, y casi el 18 por ciento de las empresas atacadas tienen menos de 250 empleados. Es posible que estas organizaciones sean objetivo de ataque porque se encuentran en la cadena de suministros o en el ecosistema de socios de una empresa más grande y porque tienen menor nivel de protección. Además, el 58 por ciento de los ataques se dirige a no ejecutivos, empleados en otros cargos tales como recursos humanos, relaciones públicas y ventas. Es posible que las personas que ocupan estos puestos no tengan acceso directo a la información, pero pueden servir como vínculo directo a la empresa. A los atacantes también les resulta fácil identificarlos en línea, y sabe que ellos están acostumbrados a recibir consultas proactivas y archivos adjuntos en los correos, que vienen de personas o fuentes desconocidas.
Aumentan fugas de datos, la pérdida de dispositivos es una preocupación
En 2011 se robó un promedio de aproximadamente 1.1 millones de identidades como consecuencia de violaciones o fugas de datos, un aumento dramático en comparación con el número observado en cualquier otro año. Los incidentes de hackeo representaron la principal amenaza, exponiendo 187 millones de identidades en 2011—el mayor número en comparación con cualquier tipo de violación que haya tenido lugar el año pasado. Sin embargo, la causa más frecuente de fugas de datos que podría haber facilitado el robo de identidades fue el robo o pérdida de computadoras u otros medios donde se almacenan o transfieren datos, como un smartphone, un USB o dispositivos de respaldo. Estas fugas por pérdidas o robos expusieron 18.5 millones de identidades.
A medida que las tabletas y los smartphones continúen vendiéndose más que las PCs, habrá más información confidencial disponible en dispositivos móviles. Los trabajadores están llevando sus smartphones y tabletas al entorno corporativo más rápido de lo que muchas organizaciones pueden protegerlos y administrarlos. Esto puede llevar a incrementar las pérdidas de datos, dado que los dispositivos móviles presentan riesgos para la información si no se protegen correctamente. Un reciente estudio de Symantec muestra que el 50 por ciento de los teléfonos perdidos no se recuperará y que el 96 por ciento (incluyendo los recuperados) experimentará un robo o violación de datos.
...