U
|
n
tema que está cobrando relevancia en la mayoría de las organizaciones es la
“Auditoría de Tecnologías”, auditoría de sistemas, de red, de información,
entre otras. Existen
muchas descripciones sobre auditoría de tecnologías, pero me gusto
la del blog de “All TIC Software” que dice: “La Auditoría tecnológica
es una manera de identificar las principales exigencias, necesidades,
debilidades y fortalezas de una empresa. Con ella debemos de averiguar a través
de entrevistas y con el estudio de la empresa cuales son la principales
necesidades del negocio y establecer cuáles son la tecnologías apropiadas para
satisfacer de manera optima esas necesidades”.
La tendencia en las auditorias de hoy
en día, tienen un rol más proactivo
dentro de las organizaciones, sin dejar de lado el componente fiscalizador, lo
que conlleva a que la auditoría también
esté pendiente del rol que las personas ocupan dentro de las organizaciones con
el fin de identificar si existe algún eslabón débil en la cadena de recursos
humanos de la organización; todo esto nos transporta al otro punto de este
articulo “la ingeniería social”, un término bastante singular para la
metodología que usan muchos intrusos, con el fin de aprovecharse de estos
eslabones para realizar fraudes dentro de la organización, muchos la llaman “el
arma infalible”, “el arma perfecta”, “el bug humano”, la Ingeniería Social
puede definirse como una acción o conducta social destinada a conseguir
información de las personas cercanas a un sistema.
Un concepto bastante completo sobre
ingeniería social es el presentado en el blog de neoteo.com que dice: “La ingeniería social (IS)
es un conjunto de técnicas psicológicas y habilidades sociales (como la
influencia, la persuasión y sugestión) implementadas hacia un usuario directa o
indirectamente para lograr que éste revele información sensible o datos útiles
sin estar conscientes de su maliciosa utilización eventual. Estas pueden estar
llevadas a cabo mediante el trabajo con tecnología y ordenadores o directamente
a través del trato personal. El objetivo es evadir o hacer más fácil el acceso
a los sistemas de seguridad tradicionales al acceder a la información desde la
fuente más confiable pero más vulnerable, el propio protegido”. Sabiendo esto
me hago la siguiente pregunta ¿la Ingeniería Social es un tema de Auditoría de
tecnologías?, en mi opinión debería serlo y además estar presente en toda la
estrategia que define el proceso de auditoría de tecnologías, pensar en que más
allá de la lista de verificación de utilización y seguimiento de los
procedimientos de la organización, se debe ser lo suficientemente perspicaz
como para poder identificar si existe o no vulnerabilidad, no solo en los
sistemas y tecnologías de información sino en la personas que componen la
organización, tomando en cuenta que la mayoría de actos de ingeniería social
pasan cuando las personas no se dan cuenta de que están siendo engañados, sino
que caen en situaciones como un correo electrónico malicioso (cadenas de
correo, correos infectados de malware, spam, etc.), o simplemente por medio de
una llamada telefónica que les pide acceder al sistema haciéndose pasar por
personal autorizado; muchas personas se refieren a la seguridad de las
tecnologías como algo jocoso diciendo: “Una
computadora apagada es un computadora segura”.
Se debe
dar importancia al conocer cómo funciona la Ingeniería Social, cuáles son los
objetivos que persigue, quiénes son sus víctimas y cuáles son las razones por
las que continúa siendo una de las principales técnicas de ataque utilizadas
actualmente por los creadores de malware y usuarios con fines maliciosos.
Entonces, la auditoría de tecnologías debe ser capaz de poder identificar todos
esas puertillas o vulnerabilidades que tienen las personas, porque hoy podemos
visualizar que la mayoría de los usuarios en las organizaciones están usando
tecnologías dentro de las organizaciones y los auditores deben estar consientes
de que los riesgos existen y que se deben sí o sí, incluir todo tipo de medidas
para que las personas no sean víctimas del ahora famoso arte del “Hacking
Humano”.
Referencias:
http://www.neoteo.com/ingenieria-social-el-hacking-psicologico
http://www.slideshare.net/dxp2/ingeniera-social-el-bug-humano