Como se vió en la Parte 1, algunas de las amenazas más devastadores pueden venir de los empleados de información confidencial. Los "empleados de información confidencial" como los hemos definido, se refieren a todas las personas de la organización que tienen acceso al espacio físico de su oficina o acceso electrónico a su red. Demasiadas empresas han aprendido a las malas que la tecnología de la seguridad por si misma no puede proteger la empresa. No informar a los empleados de información confidencial sobre los asuntos de seguridad, puede exponer a su empresa a riesgos innecesarios que pueden tener un impacto directo en los ingresos corporativos, la productividad de la fuerza laboral y los costos operacionales de la empresa. Cuando no bastan las soluciones de seguridad TI, se debe comenzar una capacitación y toma de conciencia de la seguridad a fin de minimizar sus deficiencias. Los empleados de información confidencial deben conocer y entender los aspectos de seguridad de la información y ser conscientes de la seguridad, para lo cual usted debe propiciar e impulsar esta información.
Tácticas de ingeniería social
La ingeniería social se aprovecha de la tendencia natural de las personas a confiar en los demás y querer ayudar. Los atacantes tendrán éxito si logran que los empleados de información confidencial caigan en sus trampas, aunque las tácticas de ingeniería social no operan si los empleados de información confidencial están informados o saben. Los métodos de ingeniería social pueden manifestarse de muchas maneras. Cada método pretende engañar a usuarios insospechados para que ayuden al atacante - bien sea abriendo los archivos adjuntos que desencadenarán un virus o suministrando al atacante información sensible que le ayudará en sus ataques.
Métodos comunes
Los intentos de la ingeniería social pueden surgir en cualquier momento de manera totalmente inadvertida, en un día laboral normal. Es su responsabilidad asegurarse de que los empleados de información confidencial conozcan las siguientes amenazas para que no sean presa fácil de estos ataques:
Archivos adjuntos del correo electrónico: Si un empleado abre archivos adjuntos no solicitados o no analiza los documentos en busca de virus antes de abrirlos, entonces la empresa es vulnerable a los ataques de los virus. Asegúrese de que no sólo conozcan los virus y el peligro de abrir archivos adjuntos inesperados o que parecen sospechosos, sino también las consecuencias si se ejecuta un virus. Los virus Anna Kournikova y I Love You son ejemplos claros de los ataques de la ingeniería social porque los sugestivos asuntos despertaron la curiosidad de los destinatarios, lo que ocasionó que muchas personas abrieran el correo infectado.
También si las compañías confían en los empleados para que actualicen las definiciones de virus, en lugar de sacar automáticamente nuevas definiciones de virus para garantizar el cumplimiento de las políticas, pueden infectarse incluso si realizan un análisis en busca de virus antes de abrir los archivos adjuntos.
Compartir archivos: Confiar en archivos compartidos es un hábito muy común que utilizan los atacantes. Hoy en día muchos programas de pares iguales (P2P) tienen "spyware". Spyware le permite al autor del programa y a otros usuarios de red ver lo que hace el empleado, qué sitios de Internet visita e incluso utilizar los recursos computacionales del empleado sin que lo sepa. Los empleados deben descargar la información de manera informada y responsable, y desconfiar de los archivos que parezcan estar infectados.
Mensajería Instantánea (IM) Charla de relevos por Internet (IRC): Los empleados que utilizan los servicios IRC e IM deben conocer las tretas que se pueden utilizar para que descarguen y ejecuten software malicioso que le permitiría al intruso usar los sistemas como plataformas de ataque, para lanzar ataques de negación de servicios distribuido (DDoS).
Solicitar información: Los atacantes no siempre ensayarán sus engaños en la computadora. Algunas veces, también intentan hacer contacto personal o telefónico con las personas de la empresa que penetra información confidencial. Un atacante llamaría a un empleado de información confidencial e imitaría a alguien en un cargo importante o de autoridad con la urgente necesidad de obtener información e intentar obtenerla del usuario. Los empleados de la oficina de información con frecuencia son objeto de las tácticas de la ingeniería social por lo cual deben conocerla muy bien. Los empleados deben saber que si alguien les pregunta su contraseña u otra información sensible, deben proceder con suma cautela.
Comenzar un programa de “vigilancia en la oficina”
Considere la idea de crear un programa de vigilancia interna en la oficina parecido al de vigilancia en un barrio. Si usted propicia un ambiente abierto donde los empleados deben estar pendientes de cualquier actividad sospechosa para reportarla, será más fácil manejar los problemas potenciales antes de que se conviertan en problemas reales.
Propicie los siguientes comportamientos en sus empleados:
Informar sobre conductas sospechosas, como espiar por detrás del hombro para obtener información (shoulder surfing) o personas no autorizadas que utilizan una PC a la que no deberían tener acceso.
Si son contactados por alguien que busca acceso no autorizado a la información, deben informarlo al gerente de seguridad o a otro personal autorizado.
Dirigirse al gerente de seguridad o a otra persona asignada para aclarar sus inquietudes en materia de seguridad en lugar de discutirlas con sus compañeros de trabajo.
Además, usted y su equipo de seguridad siempre deben estar pendientes de empleados que no actúen de manera segura. Si usted observa que una computadora está desprotegida o desatendida en una oficina, que tiene contraseñas escritas en papelitos de notas adheridos a la pantalla de la PC o si encuentra otra información sensible de la empresa al alcance de terceros, asegúrese de avisarles a los empleados afectados por sus actos. Asegúrese de que entiendan exactamente cómo sus acciones pueden poner en peligro la empresa.
Lo fundamental es crear conciencia
Aunque usted haya implementado políticas de seguridad, ahí no termina su trabajo. Las políticas deben ser comunicadas y entendidas por todas las personas.
Estas son algunas de las medidas que usted debe tomar para promover la seguridad:
Distribuir obsequios impresos (bolígrafos, almohadillas para el mouse, etc.) y colocar afiches y señales en las paredes de la oficina que promuevan mensajes de toma de conciencia de la seguridad.
Solicitarle a todos los empleados que asistan a una charla de orientación sobre seguridad.
Darles consejos prácticos para determinar qué información (en la computadora o escrita en papel), es confidencial y cómo protegerla.
Ayudarles a apreciar el valor de la información que tiene la compañía.
Hacerlos conscientes de los riesgos de la ingeniería social
Propiciar una capacitación de actualización en seguridad para los empleados actuales
Puede demorar mucho el reforzar consistente y constantemente la responsabilidad personal de todos los empleados con la seguridad empresarial. Las empresas deben hacer que la seguridad sea parte del trabajo de los empleados, sin importar el nivel de acceso que tengan a la red de computadoras. Si todos buscan la seguridad, habrá menos fallas de seguridad en las áreas que la tecnología de la seguridad no puede proteger.
|
