viernes, 11 de agosto de 2017

El Arte de Engañar al Usuario - Parte 5: Medidas de Protección



EN ESTA QUINTA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LAS MEDIDAS DE PROTECCIÓN QUE PUEDEN TOMAR LAS ORGANIZACIONES PARA COMBATIR LA AMENAZA DE LA INGENIERÍA SOCIAL.

Cómo protegernos

Como ya se mencionó en este artículo, la mejor manera de encarar una estrategia de seguridad es hacerlo a través de diferentes capas de protección, ya que no existe una única solución que mágicamente mitigue todos los riesgos de seguridad de la información.

Debido a que la Ingeniería Social apunta directamente al factor humano, la medida más efectiva para protegerse de estos ataques será definir, implementar y mantener una capa de seguridad orientada a las personas dentro de nuestra organización.

¿Con esta capa de seguridad estamos cubiertos?

La seguridad al 100% no existe. Es imposible disminuir todos los riesgos de seguridad a cero, y menos aún hacerlo con una única capa de seguridad. Dicho esto, Incluir a los usuarios en la estrategia de seguridad de nuestra organización significa desarrollar una capa muy importante de seguridad, que, dependiendo de algunos factores, será más o menos efectiva. Estos factores son:

  • El compromiso de la alta gerencia para implementar y mantener esta capa
  • Los recursos con los que contemos para hacerlo (principalmente el presupuesto)
  • La efectividad de los controles que llevemos a cabo

Cuanto mayores sean dichos ítems, más podremos disminuir el riesgo de un ataque de Ingeniería Social y, por lo tanto, mayor será nuestro nivel de seguridad. No alcanzaremos el 100% de seguridad, pero podremos estar tan cerca como los mencionados factores nos lo permitan.
 

Hardening de Usuarios

Para definir, implementar y mantener nuestra capa de seguridad orientada a las personas, deberemos tener en cuenta los siguientes aspectos:

Por un lado, necesitaremos llevar adelante un plan de Capacitación y Concientización en Seguridad de la Información, orientado al cambio de comportamiento y con contenidos originales y atractivos para los usuarios.

Por el otro, tendremos que incluir evaluaciones capaces de medir el cambio de comportamiento de nuestros usuarios. La manera de lograr esto es mediante simulaciones de trampas de Ingeniería Social, que pongan a prueba no sólo los conocimientos de cada usuario, sino también sus hábitos, que son lo que realmente cuenta.

De esta manera, podremos saber si nuestras acciones van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc. Además, contaremos con las métricas necesarias para poder realizar reportes ejecutivos a la alta gerencia, justificar nuestra inversión, ayudar al cumplimiento de normativas, entre otras cosas.

Además, todas estas acciones deberían ser parte de un proceso de mejora continua, siempre actualizado, y aplicado a todos los usuarios de nuestra organización.

Nota: Si estás pensando que desarrollar esta capa de seguridad es un trabajo grande, estás en lo cierto. La buena noticia, es que existen herramientas que pueden ayudarte a hacerlo con el mínimo esfuerzo y los mejores resultados.

Los controles tecnológicos

Muchas veces, con el objetivo de combatir la Ingeniería Social, las organizaciones implementan controles tecnológicos como Antivirus, Anti-Spam, DLP, etc. Poseer dichos controles puede ser una buena idea (siempre según las necesidades de cada organización) pero confiar 100% en ellos para detener un ataque de Ingeniería Social no lo es.

Los Ingenieros Sociales demuestran diariamente (y esto puede verse ingresando a cualquier portal de noticias sobre seguridad informática) cómo saltan virtualmente cualquier barrera de seguridad tecnológica con sus engaños. Por eso, volvemos a la seguridad en capas. Conservemos los controles tecnológicos, pero no olvidemos definir, implementar y mantener nuestra capa de seguridad orientada a nuestros usuarios.

Conclusiones

Los Ingenieros Sociales están continuamente actualizando sus técnicas para mantener la efectividad de sus ataques. El juego nunca termina, y cada vez que se desarrolla una solución tecnológica contra un Ingeniero Social, éste encuentra la manera de sortearla.

Es por eso que la mejor decisión en este caso es enfocar nuestros recursos hacia las personas y llevar adelante un proceso de Hardening de todos nuestros usuarios. Y no sólo lograremos disminuir el riesgo de que nuestros usuarios sean manipulados por un Ingeniero Social, sino que un Plan de Concientización bien implementado tendrá muchas ventajas extras, como la mejora de la imagen del área de seguridad en toda la organización, el cumplimiento de normativas internas y externas, apoyo legal contra litigios, mejora de la autoestima de nuestros usuarios, y un largo etcétera.

Sobre esta serie

Este es el quinto y penúltimo de una serie de posts sobre la Ingeniería Social. Sólo resta el último post, el cual estará dedicado a reconocidos personajes de la Ingeniería Social, para conocer algunos datos curiosos y anécdotas sobre ellos.

0 comentarios:

Publicar un comentario