Seguridad de la Información

Ing. Rolando Herbas T.P.

“El Arte del Engaño” Kevin Mitnick

“Una compañía puede hacer comprado las mejores tecnologías

de seguridad que el dinero pueda comprar, entrenado a su

personal tan bien que aseguren todos sus secretos comerciales

antes de irse a casa en la noche, y contratar guardias de

seguridad de la mejor firma de seguridad del entorno.

ESA COMPAÑÍA AÚN ES

TOTALMENTE VULNERABLE”.

“El Arte del Engaño” Kevin Mitnick

“Las personas pueden seguir cada una de las mejores prácticas

de seguridad recomendadas por expertos, instalar diligentemente

cada producto de seguridad recomendado, revisar

minuciosamente las configuraciones correctas de los sistemas, y

aplicar parches de seguridad.

ESAS PERSONAS AÚN ESTÁN

COMPLETAMENTE VULNERABLES”.

“Porque el Factor Humano es

verdaderamente la cadena más débil de

la seguridad.”

“El Arte del Engaño” Kevin Mitnick

¿Por Qué?

De acuerdo al estudio realizado

por Ponemon Institute – The Human

Factor in Data Protection (2017), 78%

de las organizaciones han sufrido

incidentes de seguridad a causa de

empleados negligentes o maliciosos.

¿Por qué es tan efectiva?

Ingeniería Social

“Intentos, exitosos o no, de influenciar a una

persona(s) a revelar información, o de actuar de

manera que resulte en acceso no autorizado, uso no

autorizado o divulgación no autorizada, a un sistema

de información, red o datos.”

Vulnerabilidad del Factor Humano

Los ataques suelen comenzar por la recogida de información sobre un potencial objetivo.

Para realizar esta recogida de datos, se pueden emplear técnicas de ingeniería social de

tipo:

Contacto con empleados,

normalmente realizando algún

tipo de suplantación por teléfono

(vishing).

Correo electrónico (phishing).

Mediante la mensajería

instantánea.

No Presenciales Presenciales

Búsqueda en la basura

(dumpster diving).

Seguimiento de personas y

vehículos.

Vigilancia de salas y edificios.

Generación de situaciones de

crisis.

Presión psicológica.

Soborno.

Chantaje.

Mediante la extorsión.

Tipos de Ataques

No hay contacto directo

interpersonal con las víctimas

El atacante forja mensajes de

email, websites, popups o algún

otro medio

Pretende ser soporte autorizado

o un administrador de sistemas

Trata de obtener información

sensible de los usuarios (claves,

nombres de usuario, números de

tarjeta de crédito, claves de cajero,

etc).

Muy exitoso

Técnicos Ego

El atacante apela a la vanidad o

ego de la víctima

Usualmente atacan a alguien

que parezca frustrado con su

situación laboral

La víctima trata de probar cuan

inteligente o conocedor es y

provee información o incluso

acceso a sistemas o datos.

El atacante puede pretender ser

una autoridad de la ley, la víctima

se siente honrado de ayudar

La víctima usualmente nunca se

da cuenta

Tipos de Ataques

El atacante pretende ser un

nuevo empleado, contratista o

vendedor

Existe alguna urgencia de

completar una tarea u obtener

alguna información

Necesita asistencia o perderá su

trabajo o estará en problemas

Juego con la empatía/simpatía

de la víctima

El atacante pide ayuda hasta

que encuentra alguien que pueda

ayudarlo

Ataque muy exitoso

Simpatía Intimidación

El atacante pretende ser alguien

con influencias (una figura de

autoridad, oficial de la ley)

Trata de utilizar su autoridad

para forzar a la víctima a cooperar

Si hay resistencia utiliza la

intimidación y amenazas (perdida

del empleo, cargos criminales)

Si pretende ser un oficial de la

ley dirá que la investigación es

encubierta y no debe ser

divulgada

Mitigar el Riesgo

Todos los empleados deben tener una actitud hacia la seguridad y cuestionar

las cosas.

Necesitan reconocer los “trucos”

Se deben tener procedimientos de respuesta a incidentes y equipos que

mitiguen el daño si ocurre un ataque

Se debe notificar a los involucrados

Aplicar tecnología donde sea posible

Probar cuan listos estamos periódicamente

El factor humano bajo control con una política de seguridad

Políticas en la contratación de personal podemos considerar:

comprobar referencias y verificar los datos de

los curriculum vitae;

qué requisitos de seguridad deben conocer según su puesto

de trabajo, en particular si van a tratar con datos personales o

confidenciales;

qué permisos han de tener sobre las instalaciones (tarjetas

de acceso), los equipos y sistemas (cuentas y usuarios), la

información y sus tratamientos adecuados al puesto o perfil;

qué acuerdos relativos a la seguridad deben aceptar y

cumplir, por ejemplo cláusulas de confidencialidad o

privacidad;

qué políticas internas deben conocer y aplicar: uso del

correo corporativo, clasificación de la información,

aplicaciones permitidas, uso del puesto de trabajo, redes

sociales, dispositivos móviles, servicios en la nube, etc.;

qué formación de ciberseguridad les vamos a proporcionar

y deben superar.

cuentas y privilegios de acceso;

procedimientos para dar de alta y revocar cuentas con

privilegios;

las reglas de los equipos de comunicaciones que filtran el

tráfico hacia y desde nuestros sistemas;

las entradas y salidas (logs) a nuestros sistemas y

aplicaciones, sobre todo los de los usuarios con mayores

privilegios.

Políticas en el cese de personal podemos considerar:

cuáles son los procesos para darles de baja en

nuestros sistemas para evitar fugas de información;

qué periodo tras el cese han de cumplir los

acuerdos de confidencialidad, etc.

Gestion de Recursos Humanos

Por que gastar tanto tiempo atacando la tecnología si una persona

te puede dar acceso?

Extremadamente difícil de detectar

No existe IDS para “falta de sentido común” o más

apropiadamente, ignorancia

Casi todos los ciberataques aprovechan en algún momento el

factor humano. En particular, en las primeras fases del ataque con

la finalidad de recoger información sobre el objetivo, robar

credenciales o instalar algún tipo de malware.

Conclusión

Conclusión

La seguridad de la información es un

problema de hardware, software, firmware y

peopleware

La mejor defensa: Educación combinada

con tecnología

Gracias por su atención....