Todos sabemos de alguna forma, que existen muchos problemas relativos a la seguridad, aunque hoy voy a centrarme sobre todo, en el enemigo que ninguno de ustedes suele pensar, el ingeniero social. Ahora, vamos a ver ahora una serie de consejos y buenas prácticas de prevención ante ataques de ingeniería social.
Sobre este tema, debes de hacer uso de una mezcla de sentido común, la educación de tus empleados, y las herramientas de seguridad las cuales ayudan a tu empresa a identificar y prevenir las estafas de ingeniería social, así como otras amenazas emergentes. He vivido en mi propio pellejo y oído hablar de muchos, variados, y exóticos ataques de ingeniería social que verdaderamente siempre me sorprenden.
En algún trabajo que he desempeñado, prácticamente todos los días estábamos batallando con fallos de hardware, software, virus, y troyanos que son ataques más o menos directos, aunque en el caso de los ataque de ingeniería social, estos son mucho más sutiles y preparados.
Preparado para un ataque de ingeniería social
- Suplantando: los hackers, suelen engañar con llamadas y por regla general suelen terminar con todos tus datos personales, los de la empresa, por último los de tus clientes. Estos ingenieros sociales (hackers) se hacen pasar por administradores de red o se hacen pasar por uno de los miembros del equipo de soporte técnico, de los que suelen pedir los nombres de usuario y contraseñas de los empleados para labores de mantenimiento.
- Siguiendo los protocolos de seguridad: la ingeniería social, las contraseñas poco robustas, los ataques de phishing, y la falta de uso de conexiones seguras son algunos de los principales motivos por los que tu empresa puede ser víctima de un compromiso de seguridad. Formando a los empleados sobre cómo detectar este tipo de potenciales amenazas de seguridad, puedes detener estos problemas relacionados con el usuario. El sistema de alarma de protección de tu empresa no vale de nada si dejas la puerta abierta. Que sepas, que el error humano es el eslabón más débil en la cadena de la seguridad de TI corporativa.
- El Phishing sigue vivo: cualquier correo electrónico que incluya enlaces, información específica, solicitudes de datos, o archivos adjuntos, debes de tratarla con cautela. Sobre todo, si es de una fuente desconocida para ti, debes borrarlo. También debes recordar a tus empleados que este tipo de estafas de phishing (aunque en el panorama de amenazas actual no son tan graves) no han desaparecido.
- Sobre el término dumpster diving: digamos que al término "bucear en la basura" o "buzo basurero", se refiere al hacker que no le importa ensuciarse con el fin de poder tener acceso a datos sensibles de tu empresa. Aún muchas empresas suelen tirar sus documentos importantes, libretas de teléfono, y manuales, etc en la basura. Mediante este método, el atacante va buscando por los contenedores de basura cercanos a tu empresa para obtener estos datos importantes, que posteriormente le ayudará a acceder a los datos de tu empresa.
- Somos nosotros mismos: actualmente, de forma más sistemática, sin apenas ser conscientes de ello estamos entregado a un atacante pequeñas partes de valiosa información gracias a las cuales, el hacker puede causar verdaderos estragos. Evidentemente yo me incluyo, vamos creando un diario personal en los medios de comunicación social, ponemos a disposición de cualquiera y libremente esta información en la Web, mediante el teléfono, o simplemente con desconocidos.
- Departamento de TI nivel de seguridad cero: una profunda y robusta estrategia de seguridad en el departamento de TI, es una parte imprescindible y obligada tanto para grandes cómo para pequeñas empresas. Lo que hacen muchas empresas en estos casos (que es lo que no debes hacer), es trabajar en su red implementando parches a medida que las incidencias van aumentando. Tu como gerente de una empresa, debes de ver las nuevas tecnologías como una estratégica inversión, y conocer la importancia de que todos los sistemas de TI funcionan correctamente y se encuentran en su lugar, incluyendo en esto evidentemente a los sistemas de seguridad.
Conclusión
En definitiva, no importa tanto si haces uso de software, hardware, o tienes tu empresa enfocada en la nube, sobre todo recuerda que tienes que tener las herramientas actualizadas de una forma continua para de este modo mantenerte al día con las amenazas e incidencias en constante evolución. De nuevo te recuerdo, la necesidad de dar soporte mediante prácticas inteligentes a tus empleados, incluso con buenas herramientas de seguridad, y no olvidarte jamás de la protección antimalware y antivirus.
En Tecnología Pyme | El lado más débil de la seguridad es el usuario
Imagen | Ci-Daemon | geralt