Por Nicolás Gustavo Bruna.
Cómo protegernos
La mejor manera de encarar una estrategia de seguridad es hacerlo a través de diferentes capas de protección, ya que no existe una única solución que mágicamente mitigue todos los riesgos de seguridad de la información.
Debido a que la Ingeniería Social apunta directamente al factor humano, la medida más efectiva para protegerse de estos ataques será definir, implementar y mantener una capa de seguridad orientada a las personas dentro de nuestra organización.
¿Con esta capa de seguridad estamos cubiertos?
La seguridad al 100% no existe. Es imposible disminuir todos los riesgos de seguridad a cero, y menos aún hacerlo con una única capa de seguridad. Dicho esto, incluir a los usuarios en la estrategia de seguridad de nuestra organización significa desarrollar una capa muy importante de seguridad, que, dependiendo de algunos factores, será más o menos efectiva. Estos factores son:
- El compromiso de la alta gerencia para implementar y mantener esta capa
- Los recursos con los que contemos para hacerlo (principalmente el presupuesto)
- La efectividad de los controles que llevemos a cabo
Cuanto mayores sean dichos ítems, más podremos disminuir el riesgo de un ataque de Ingeniería Social y, por lo tanto, mayor será nuestro nivel de seguridad. No alcanzaremos el 100% de seguridad, pero podremos estar tan cerca como los mencionados factores nos lo permitan.
Hardening de Usuarios
Para definir, implementar y mantener nuestra capa de seguridad orientada a las personas, deberemos tener en cuenta los siguientes aspectos:
Por un lado, necesitaremos llevar adelante un plan de Capacitación y Concientización en Seguridad de la Información, orientado al cambio de comportamiento y con contenidos originales y atractivos para los usuarios.
Por el otro, tendremos que incluir evaluaciones capaces de medir el cambio de comportamiento de nuestros usuarios. La manera de lograr esto es mediante simulaciones de trampas de Ingeniería Social, que pongan a prueba no sólo los conocimientos de cada usuario, sino también sus hábitos, que son lo que realmente cuenta.
De esta manera, podremos saber si nuestras acciones van por buen camino, qué usuarios o áreas de nuestra organización son las más riesgosas, qué tópicos debemos reforzar, etc. Además, contaremos con las métricas necesarias para poder realizar reportes ejecutivos a la alta gerencia, justificar nuestra inversión, ayudar al cumplimiento de normativas, entre otras cosas.
Además, todas estas acciones deberían ser parte de un proceso de mejora continua, siempre actualizado, y aplicado a todos los usuarios de nuestra organización.
Nota: Si estás pensando que desarrollar esta capa de seguridad es un trabajo grande, estás en lo cierto. La buena noticia, es que existen herramientas que pueden ayudarte a hacerlo con el mínimo esfuerzo y los mejores resultados.
Los controles tecnológicos
Muchas veces, con el objetivo de combatir la Ingeniería Social, las organizaciones implementan controles tecnológicos como Antivirus, Anti-Spam, DLP, etc. Poseer dichos controles puede ser una buena idea (siempre según las necesidades de cada organización) pero confiar 100% en ellos para detener un ataque de Ingeniería Social no lo es.
Los Ingenieros Sociales demuestran diariamente (y esto puede verse ingresando a cualquier portal de noticias sobre seguridad informática) cómo saltan virtualmente cualquier barrera de seguridad tecnológica con sus engaños. Por eso, volvemos a la seguridad en capas. Conservemos los controles tecnológicos, pero no olvidemos definir, implementar y mantener nuestra capa de seguridad orientada a nuestros usuarios.
Conclusiones
Los Ingenieros Sociales están continuamente actualizando sus técnicas para mantener la efectividad de sus ataques. El juego nunca termina, y cada vez que se desarrolla una solución tecnológica contra un Ingeniero Social, éste encuentra la manera de sortearla.
Es por eso que la mejor decisión en este caso es enfocar nuestros recursos hacia las personas y llevar adelante un proceso de Hardening de todos nuestros usuarios. Y no sólo lograremos disminuir el riesgo de que nuestros usuarios sean manipulados por un Ingeniero Social, sino que un Plan de Concientización bien implementado tendrá muchas ventajas extras, como la mejora de la imagen del área de seguridad en toda la organización, el cumplimiento de normativas internas y externas, apoyo legal contra litigios, mejora de la autoestima de nuestros usuarios, y un largo etcétera.
Nicolás Gustavo Bruna
Product Manager de Smartfense
Es uno de los autores de la Guía de Ransomware de OWASP y el Kit gratuito de autodiagnóstico de Teletrabajo Seguro. Ha escrito dos whitepapers sobre la seguridad de la información, y más de 50 artículos sobre concientización de usuarios. También forma parte del equipo asignado por SMARTFENSE para el mantenimiento de Antiphishing Latinoamérica, proyecto creado por SeguInfo.
Se encuentra liderando varios proyectos de Seguridad, entre ellos el Calculador de Costos de Ransomware, en su objetivo profesional por desarrollar indicadores gerenciales que permitan representar los riesgos de la capa humana.