Sensibilización interna

imagen tomada de siguiente enlace:

http://farm4.static.flickr.com/3171/2950213618_5088cfa22a.jpg?v=0


Otro elemento con el que me siento completamente identificado y que considero vale la pena enfatizar y aportar un poco es el relacionado con la sensibilización al interior de la organización.
Como se ha mencionado en este blog, la información se ha convertido hoy día en el principal activo de la organización. Definitivamente el elemento humano es el que le da valor a la información y con su experiencia la convierte en conocimiento que finalmente es el que otorga la ventaja competitiva a una organización en un ámbito regional, nacional e incluso universal. Aunque el elemento tecnológico sigue formando parte de esa “ventaja competitiva”, considero que el valor agregado que da el elemento humano, dando un uso adecuado de las herramientas que se tienen a disposición, es realmente invaluable. Hace algunas décadas, las herramientas tecnológicas que conformaban la infraestructura de servicios al interior de la organización hacían parte de la “reserva de sumario” y la competencia en ningún momento debía enterarse para tratar de conservar una supuesta ventaja en el mercado. Hoy en día, lo que hace la diferencia, es la forma en que una organización utiliza dichas herramientas tecnológicas y es allí donde se percibe la ventaja entre una organización y otra. Nuevamente el factor humano sigue siendo clave.
Hace algunos años tuvimos la oportunidad de ser visitados por uno de los hackers más famosos, Kevin Mitnick. En una de las innumerables entrevistas otorgadas a los medios, Mitnick hace énfasis en la Ingeniería social como uno de sus mecanismos preferidos para lograr vulnerar esquemas de seguridad en las organizaciones. La ingeniería social pretende extraer información confidencial manipulando a los usuarios al interior de la organización. Más sobre Ingeniería social
La ingeniería social se fundamenta en el hecho de que “el usuario es el eslabón más débil” en la cadena de seguridad de una infraestructura informática. Por esta razón, una de las labores en la que debemos enfatizar como administradores de la seguridad es la sensibilización a los usuarios para que no divulguen información que pueda comprometer los recursos de información. No sobra decir, que en la ingeniería social se puede hacer uso del teléfono como herramienta para obtener información confidencial. De esta manera, el atacante se hace pasar por un administrador del sistema y puede lograr engañar a personal interno. Sin embargo, las técnicas han evolucionado y hoy día se están utilizando algunas más sofisticadas. Una de ellas utiliza los mensajes de correo y enlaces a sitios web falsos (con propósitos aparentes de actualizar datos personales) para obtener información confidencial. Este tipo de ataques se denomina phishing (Más sobre Phishing) y requiere de un proceso de capacitación y sensibilización a los usuarios para minimizar su riesgo.
En este sentido quiero concluir mi aporte diciendo, que no basta tener tecnología de punta como firewalls, IDSs y demás dispositivos de seguridad si el recurso humano al interior de la organización no esta entrenado y preparado frente a amenzas relacionadas con la ingeniería social. En este sentido el recurso humano se debe convertir en el “eslabón más fuerte”.


Actividad evaluativa:

A través del siguiente enlace (Entrevista a Mitnick), observe la entrevista realizada a Kevin Mitnick y realice un ensayo en el que se analicen las diferentes estrategias planteadas allí para vulnerar la seguridad informática de una compañía. Finalmente, usted como administrador de la seguridad informática debe crear un plan que le permita a la organización enfrentar ataques de este estilo y otros que considere pertinente. El plan debe ser entregado a los directivos, por lo cual debe ser muy detallado. Especifique su propuesta en el ensayo a entregar.

Creado por Carlos A. Castro.