martes, 25 de junio de 2013

¿La Ingeniería Social, un tema de Auditoría?



U
n tema que está cobrando relevancia en la mayoría de las organizaciones es la “Auditoría de Tecnologías”, auditoría de sistemas, de red, de información, entre otras. Existen muchas descripciones sobre auditoría de tecnologías,  pero me gusto  la del blog de “All TIC Software” que dice: “La Auditoría tecnológica es una manera de identificar las principales exigencias, necesidades, debilidades y fortalezas de una empresa. Con ella debemos de averiguar a través de entrevistas y con el estudio de la empresa cuales son la principales necesidades del negocio y establecer cuáles son la tecnologías apropiadas para satisfacer de manera optima esas necesidades”.

La tendencia en las auditorias de hoy en día,  tienen un rol más proactivo dentro de las organizaciones, sin dejar de lado el componente fiscalizador, lo que  conlleva a que la auditoría también esté pendiente del rol que las personas ocupan dentro de las organizaciones con el fin de identificar si existe algún eslabón débil en la cadena de recursos humanos de la organización; todo esto nos transporta al otro punto de este articulo “la ingeniería social”, un término bastante singular para la metodología que usan muchos intrusos, con el fin de aprovecharse de estos eslabones para realizar fraudes dentro de la organización, muchos la llaman “el arma infalible”, “el arma perfecta”, “el bug humano”, la Ingeniería Social puede definirse como una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema. 

Un concepto bastante completo sobre ingeniería social es el presentado en el blog de neoteo.com que dice: “La ingeniería social (IS) es un conjunto de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente para lograr que éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual. Estas pueden estar llevadas a cabo mediante el trabajo con tecnología y ordenadores o directamente a través del trato personal. El objetivo es evadir o hacer más fácil el acceso a los sistemas de seguridad tradicionales al acceder a la información desde la fuente más confiable pero más vulnerable, el propio protegido”. Sabiendo esto me hago la siguiente pregunta ¿la Ingeniería Social es un tema de Auditoría de tecnologías?, en mi opinión debería serlo y además estar presente en toda la estrategia que define el proceso de auditoría de tecnologías, pensar en que más allá de la lista de verificación de utilización y seguimiento de los procedimientos de la organización, se debe ser lo suficientemente perspicaz como para poder identificar si existe o no vulnerabilidad, no solo en los sistemas y tecnologías de información sino en la personas que componen la organización, tomando en cuenta que la mayoría de actos de ingeniería social pasan cuando las personas no se dan cuenta de que están siendo engañados, sino que caen en situaciones como un correo electrónico malicioso (cadenas de correo, correos infectados de malware, spam, etc.), o simplemente por medio de una llamada telefónica que les pide acceder al sistema haciéndose pasar por personal autorizado; muchas personas se refieren a la seguridad de las tecnologías como algo jocoso diciendo: “Una computadora apagada es un computadora segura”. 

Se debe dar importancia al conocer cómo funciona la Ingeniería Social, cuáles son los objetivos que persigue, quiénes son sus víctimas y cuáles son las razones por las que continúa siendo una de las principales técnicas de ataque utilizadas actualmente por los creadores de malware y usuarios con fines maliciosos. Entonces, la auditoría de tecnologías debe ser capaz de poder identificar todos esas puertillas o vulnerabilidades que tienen las personas, porque hoy podemos visualizar que la mayoría de los usuarios en las organizaciones están usando tecnologías dentro de las organizaciones y los auditores deben estar consientes de que los riesgos existen y que se deben sí o sí, incluir todo tipo de medidas para que las personas no sean víctimas del ahora famoso arte del “Hacking Humano”.

Referencias:

http://www.neoteo.com/ingenieria-social-el-hacking-psicologico
http://www.slideshare.net/dxp2/ingeniera-social-el-bug-humano
 

No hay comentarios:

Publicar un comentario

Este es un espacio para que publiques tus opiniones al respecto de las entradas, procura ser respetuoso con los autores y demás usuarios del blog. Gracias por respetar lo anterior!