Este es el primer post del Blog sobre ingeniería social que acompaña a D3ny 4ll, dado que hoy los incidentes de este tipo se incrementaron en forma exponencial, creo valido tener un blog especializado en ello.
Todos estamos expuestos a ser víctimas de los scams, cuentos del tio y engaños que circulan por internet y en la vida "real".
Todavía recuerdo cuando era muy chico y estábamos con mi papa caminando por Buenos Aires, se acerca un señor con una caja. Diciéndole que tenia que viajar y no tenia dinero le ofrecía la caja con un juego de ollas y sartenes por el precio de un reloj, todos sabemos el final de la historia. Las ollas que pasaban tanto en la caja, estaban llenas de un polvo de limpieza y la sartén que parecía tan fuerte, se desfondo al primer huevo frito.
Quienes estudiaron carreras informáticas conocen el modelo OSI de capas.
En este modelo falto el ultimo layer, el ser humano. Hoy en dia existen soluciones de seguridad para cada una de estas capas, switches, firewalls, firewalls de aplicaciones, pero las personas no estan siendo entrenadas para dar uso a su "personal firewall".
Pocas empresas entrenan a su personal para estar protegidos de las amenazas actuales. Términos como pishing, clickjacking les son totalmente ajenos. Lamentablemente muchas personas a cargo de Direcciones de sistemas se quedaron en los 90 y piensan que un firewall y un antivirus los protegerán de las amenazas actuales.
No!!! Olvidan entrenar a sus usuarios, ellos son los que van a recibir el mail con el link a una pagina donde los estara esperando el worm o el troyano que abrira las puertas de la empresa.
Cuando un nuevo colega ingresa en la empresa debe recibir una copia de la política de seguridad informática, un NDA ( non disclosure agreement ) y debe participar en un entrenamiento sobre los aspectos básicos de la seguridad .
Dado que la seguridad informática es un proceso, regularmente debemos mantener informados a los usuarios por medio de diferentes herramientas.
Email - Regularmente debemos distribuir mails con información que ayude a los usuarios estar informados sobre diferentes aspectos de la seguridad informática ( política de seguridad, explicación de como protegerse ante los scams.. )
Carteles - Colocar carteles en lugares estratégicos con información que ayude a reforzar el conocimientos de la política actual. ( Por ejemplo utilización de tarjeta de acceso, utilización de cables de seguridad en las notebooks... )
Representaciones - Según el tamaño de la organización, se pueden organizar representaciones sobre situaciones que involucren la seguridad informática. ( Por ejemplo las consecuencias de compartir una password )
Entrenamientos - Los cursos pueden ser avanzados ( para desarrolladores ) o basicos ( para usuarios en general ) pero se debe contar con una politica de capacitacion.
Media hora de concientizacion puede ahorrar dias de dolores de cabeza.