Gestión de riesgos de SSII. Ingeniería social
Para la Gestión de los riesgos de la Seguridad de la Información mediante la ISO 27001 se suelen usar muchas herramientas, procedimientos y metodologías, y es que un Sistema de Seguridad de la Información se puede hacer extremadamente seguro e impenetrable, pero siempre tendrá un punto débil; las personas.
La ingeniería social se define dentro del ámbito de los Riesgos de la Seguridad de la Información como el conjunto de técnicas utilizadas para manipular y engañar a las personas mediante el contacto directo para hacerse con información personal o incluso claves de seguridad, bien financieras o de otro tipo para obtener un beneficio por parte de un delincuente informático.
Entre las formas más dañinas en este tipo de prácticas están la consecución de certificados digitales o firmas electrónicas que abren las puertas a los delincuentes a un sin fin de recursos de los que obtener un beneficio, así como las claves de las plataformas financieras de las víctimas.
En otro ámbito, fuera de las relaciones humanas directas, las personas ponemos en bandeja a estos hackers el empleo de estas técnicas a través de las propias redes sociales. Algunos de los ejemplos más comunes es que alguien busque la fecha de nacimiento en tus redes sociales y si esta coincide con la clave de tu tarjeta de crédito o débito podría causar un gran daño.
Del mismo modo sucede con las preguntas de seguridad que se emplean en diferentes plataformas electrónicas, que asocian la seguridad de la cuenta a un dato fácilmente conocible a través de estas redes sociales, como el nombre de tu primera mascota, del colegio al que asististe…
Entre las formas menos tecnológicas de fraude para la consecución de datos personales están las llamadas de teléfono haciéndose pasar por empleados de su banco o de otra entidad así como los mensajes de texto, normalmente utilizando la confianza o el miedo para la consecución de los mismos.
En este sentido no existen antivirus, antimalware u otro tipo de software que sea efectivo, solo es posible estar prevenidos mediante la concienciación y la educación en la materia aplicando los siguientes principios:
– Las claves son personales e intransferibles. Nunca, bajo ningún concepto deben ser compartidas o facilitadas a ninguna persona conocida o desconocida.
– Las redes sociales son un punto de entrada fácil y de bajo riesgo para el hacker para hacerse con datos personales o claves. Nunca proporcione claves o respuestas a preguntas de seguridad a través de estos medios.
– Las claves han de ser construidas de forma compuesta, es decir, usando partes de varios conceptos fácilmente reconocibles por nosotros o aspectos que podamos asociar fácilmente.
– Cualquier clave ha de ser cambiada periódicamente. Lo recomendable es realizar este proceso de cambio cada mes.
ISOTools pone a su disposición la Plataforma Tecnológica Software que le permitirá implementar y mantener su Sistema de Gestión de Seguridad de la Información, en base a ISO 27001 de manera más sencilla y con menos esfuerzos y recursos, gracias a un sistema proactivo que trabaja mediante alertas