Ingeniería social para IT

Comprobación de seguridad ante ataques de ingeniería social

¡Prueba gratis durante 10 días

nuestros 1220 cursos !

Prueba gratis Mostrar modalidades de suscripción
La única manera de saber si la seguridad funciona es ponerla a prueba, y mejor probarlo conscientemente que bajo un ataque real. Recurre a expertos que ataquen tu empresa, a tus empleados y socios. Es la única forma de conocer tu nivel de vulnerabilidad.

Transcripción

El general estadounidense George S. Patton dijo: "Una pinta de sudor ahorra un galón de sangre". Esta frase es cierta en todo tipo de batallas a las que nos enfrentemos, aunque por suerte en nuestras empresas no tengamos que hacer la guerra, ni matar o morir. A lo que se refería el aguerrido general era a que sus soldados debían prepararse para lo peor e incluso acostumbrarse al sufrimiento que encontrarían cuando dejasen los campos de entrenamiento para ir al campo de batalla. Lo mismo ocurre en cualquier otra circunstancia de la vida, las sorpresas negativas pueden desembocar en miedo o catastrofismo y estos sentimientos a su vez en una falta de reacción, ya sea porque no se sabe qué hacer o porque se da la batalla por perdida. Para que nuestra empresa no se encuentre en este tipo de problemas, podemos recurrir a expertos en seguridad de todo tipo, siempre que sean expertos en su área, claro está. Los profesionales más comunes a los que recurrir en estos casos son los conocidos como "pentesters" o especialistas en seguridad informática. Un test de penetración consiste en un ejercicio de violación de la seguridad de nuestra empresa, generalmente a nivel informático, aunque pueden incluir cualquier otro tipo de escenario o entorno que nos planteemos. Para contratar a este tipo de profesionales, recomiendo siempre buscar referencias laborales, no el precio más caro o el más bajo. Tenemos que tener en cuenta que estamos contratando personas que van a hacer lo posible por vulnerar nuestra seguridad y siempre será mejor contar con profesionales bien pagados que con aficionados que puedan causar problemas en nuestros sistemas y que, por tanto, sea peor el remedio que la enfermedad. Al contratar este tipo de servicios, se deben establecer siempre los escenarios, reglas y alcance de las pruebas; si se atacará desde dentro o desde fuera de la empresa, si se pretende atacar cualquier cosa que encuentre el pentester o algún servidor o computadora en concreto, y lo que nos trae a la ingeniería social: si deben o no incluirse cuestiones que no sean puramente técnicas. Cuanto mejor establezcamos tanto lo que se puede hacer como lo que no durante la prueba, como los posibles efectos secundarios, mejor para nosotros y para los pentesters. Obviamente, cuanta menos gente en nuestra empresa sepa que se va a llevar a cabo este tipo de pruebas más efectivas serán las mismas, puesto que más natural será el comportamiento de todos. Antes de cualquier prueba es fundamental disponer de copias de seguridad de absolutamente todo y de un plan de restauración de los sistemas y de la operatividad de la empresa en caso de emergencia, ya que aunque las pruebas suelen ser inocuas y llevarse a cabo en las épocas de menor actividad de la empresa, siempre pueden surgir problemas o necesidades de última hora. Las mejores pruebas de seguridad suelen incluir trabajos de ingeniería social, de forma que los pentesters, que hacen las veces de atacantes, prueben aleatoriamente algunos trabajadores de distintos niveles y departamentos. Incluso existen empresas que se dedican específicamente a probar la seguridad en ese sentido siendo la parte informática el complemento y no al revés. Hay que ser precavidos con estos ingenieros sociales profesionales, ya que su formación no está reglada ni es contrastable salvo por referencias. Es una experiencia que recomiendo, pero como decía antes, buscando la auténtica calidad o los problemas pueden ser peores que el beneficio buscado. La parte de ingeniería social o seguridad personal es fundamental, ya que los potenciales ataques que podemos sufrir no tienen por qué limitarse a hackers superprofesionales con avanzadísimos conocimientos de seguridad que exploten vulnerabilidades desconocidas de nuestros sistemas. Una persona con conocimientos medios de informática y redes, capaz de acceder a nuestra red sonsacándole la contraseña de VPN o la de una red inalámbrica a un empleado, puede ser incluso más peligroso que el temido hacker. Debemos poner a prueba a nuestra empresa, comprobar cómo responde ante las crisis, saber cómo reaccionan nuestros compañeros ante pérdida de información o filtraciones, aunque sean ficticias. Si hemos hecho los deberes, nuestra empresa tendrá un plan de riesgos, y ponerlo a prueba a nosotros mismos es la forma menos arriesgada de asegurarnos de que funciona. Con respecto a las pruebas de ingeniería social, hay que ser muy precavidos, tanto con nosotros mismos como con las personas a las que podamos contratar para hacer el test de penetración. Hay que prohibir el uso de métodos como chantajes, amenazas, abuso de información privada de los trabajadores, etc. Si se recurre a la manipulación en lugar de a la influencia, si los atacantes generan un ambiente de desconfianza o incluso un sentimiento de traición, los que lo sufran se verán negativamente afectados, con consecuencias también negativas para su ánimo personal y para su desempeño profesional. De modo que si contratáis a pentesters, dejarles claro que no se debe abusar del personal ni intervenir en asuntos privados ajenos a la actividad laboral. El objetivo de estos ejercicios es comprobar la solidez de la seguridad de nuestra empresa a nivel técnico y humano, el objetivo es detectar brechas en la seguridad, tanto técnica como humana, para corregirlas y para concienciar. No se trata de castigar los fallos, nada más lejos, el objetivo es educar sobre seguridad, cubrir ese vacío formativo que dejan la escuela o la universidad al formar a la gente para su desempeño profesional.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.