Si no puede ver este mail, haga click aquí

Inicio

AÑO 10 - Nº 8 - AGO 14

PALABRAS DE CISO

El recurso humano, el activo más valioso de una empresa?

Por Olga Rentería
Social-Ing Colombia.

 

Acabo de escuchar una noticia en la que se hablaba de un robo de una remesa a una empresa transportadora de valores. Lo interesante fue que el robo se realizó en plena pista de un aeropuerto en el momento en que los sacos con el dinero eran bajados desde el avión que acababa de aterrizar al carro de la empresa transportadora de valores, más interesante aún que los ladrones atrapados no eran oriundos de la ciudad en la que se presentó el incidente, pues estos habían llegado unos días antes desde la ciudad donde se despachó la remesa.


El factor humano

Inmediatamente las autoridades indican que hay complicidad del personal de la transportadora de valores, yo pienso: puede ser un tema de Ingeniería Social?.

Recordemos una de las tantas definiciones de Ingeniería Social: “Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.” y que las personas de por sí son buenas, quieren ayudar y les gusta que las alaben.

El factor humano es el mayor activo de las organizaciones y adicionalmente, el eslabón más débil de la seguridad de la información.

La realidad

Las organizaciones para verificar los riesgos a la que está expuesta su infraestructura, gastan millones de pesos contratando servicios de análisis de riesgos y vulnerabilidades, test de penetración, hacking ético, pero casi nunca contratan pruebas de Ingeniería Social.

Cuando lo hacen, van dirigidas a un personal específico, pero no se toma en cuenta a otros empleados que pueden llegar a ser un objetivo más fácil para los ingenieros sociales:  por su conocimiento de las personas que laboran en las organizaciones; encargados de la recepción, las secretarias/os, los porteros, las personas encargadas del aseo, de servicios generales, de los tintos… todos ellos pueden llegar a orientar a un atacante sobre quienes serían los objetivos principales y más importantes dentro de una organización y cuáles son sus hábitos.

Entonces, por qué no se les incluye en las capacitaciones que se dictan en las organizaciones sobre temas de seguridad y/o no se les enseña como determinar cuándo pueden estar siendo objeto de un ataque de ingeniería social?

Los Riesgos

Recordemos que aunque los ingenieros sociales usan comúnmente el teléfono o el internet para engañar a las personas y llevarlas a revelar información sensible, también utilizan otras tácticas en las que tengan interacción con estas.

Empleados con información confidencial, personal de soporte que conoce las claves de acceso de la organización, empleados poco motivados o a disgusto con la empresa… Todos estos riesgos se tienen “In situ”. Aquí no solo el departamento y/o área de tecnología y/o sistemas es el único encargado de salvaguardar la información de las organizaciones, si no todas las áreas de la misma, empezando por la de recursos humanos, que debe seleccionar de forma correcta a los aspirantes a los cargos, tanto personal interno como externo.

Estadísticas

En la encuesta de fraude para Colombia de KPMG para el 2013, se indicó que la Ingeniería Social era usada en las tácticas de Amenazas Persistentes Avanzadas (Advanced Persistent Threat, APT por sus siglas en inglés), que a su vez estaban incluidas como un componte del Cibercrimen, el cual tenía una incidencia del 13%, un daño de 15% y una externalidad del 19%.

Entonces, si las organizaciones están enteradas de todos estos factores de riesgo, por qué no están atacando lo que les compete de forma interna? Será que lo están tomando como un Riesgo Residual, es decir, lo están aceptando?.

 

Qué están haciendo su organización para proteger su activo más valioso, SU PERSONAL HUMANO?

 

 

Fuente: Infosecurityvip.com

 

_____________| Ediciones Anteriores |______________________________________________________________________

Endureciendo el cortafuegos humano. El arte de la contrainteligencia social

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Una Introducción a COBIT 5
Por Clara Vidovich
ISACA Cap. Uruguay
Montevideo - Uruguay


Experiencia práctica de adecuación GRC y Ley 1581 de Protección de Datos Personales con GESCONSULTOR
Por Iván Darío Marrugo Jimenez
Especialista en Derecho de las Telecomunicaciones, Privacidad, Seguridad de la Información. Auditor ISO 27001
GESCONSULTOR - Colombia
Extracto de la conferencia dictada para Infosecurity Vip - Tour 2014


Network Access Control

Por Jan Michael de Kok

Sales Engineering Manager – Caribbean & Central America

AVAYA

Extracto de la conferencia dictada para Infosecurity Vip - Tour 2014


Privacidad y seguridad de la información. Desafíos territoriales alrededor de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


OJO CON TUS DATOS

Se inició en España, en diciembre pasado una serie de documentales sobre Protección de Datos Personales y Privacidad, con diferentes temáticas dirigidas a la sociedad española pero que son de utilidad para el resto de Latinoamérica.


Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital - ISO/IEC 27037:2012

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Análisis del riesgo en la gestión de parches

Por Maximiliano Cittadini
Nuevas Tecnologías
Trend Argentina


McAfee Webinar | Protegiendo las identidades en la nube

Por Carlos González

Director de Ingeniería de Preventa

McAfee LATAM.


Unidades de estado sólido. El reto de la computación forense en el mundo de los semiconductores
Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Building an Identity Management Business Case

Por Enrique Santiago

Director - SIDIF

CA & Caribe


Securing Movile Devices: using Cobit 5 on BYOD

Por Alfonso Mateluna Concha
CISA – CISM – CRISC – CISSP

ISACA - Chile


Tripp Lite Colombia apostó al acceso y monitoreo seguro en la gestión de infraestructura

Por Camilo Ochoa

Gerente de Desarrollo

Tripp Lite Colombia


 

Mitos y Verdades sobre la Certificación ISO 207001

Por Harro Osthoff

Auditor ISO 9001,
ISO/IEC 20000, ISO/IEC 27001, ISO 28000
TÜV Rheinland Argentina S.A.
Extracto de la Conferencia para Infosecurity Vip 2013


Las contraseñas. Un sobreviviente de las batallas frente a la inseguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


ADN: el medio de almacenamiento más seguro!

Por Nick Goldman

European Bioinformatics Institute

Hinxton - UK

Los investigadores, del Instituto Europeo de Bioinformática (IEB), con sede en Inglaterra, demostraron que es posible guardar textos, imágenes y sonidos en "la molécula de la vida".


Reputación online, un valor en alza

Por Samuel Segarra

Consultor de sistemas de gestión de S2 Grupo

España


El impacto financiero del cibercrimen se incrementa en casi un 40%

HP ha presentado los datos de la tercera edición del “Estudio sobre el cibercrimen 2012”, conducido por el Instituto Ponemon, en el que ha quedado manifiesto que la frecuencia de los ciberataques se ha duplicado.


Desafíos de la Seguridad 2012

Por Juan Ospina
Bit Defender - Colombia


Documentos electrónicos: la inseguridad más allá de la manifestación de la voluntad

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Auditando la inseguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Automatizando ITIL

Por Joaquin Rivas

Grupo CONSISA

Costa Rica


Microsoft Online Services EN LA NUBE: compliance a 10 mil metros de altura

Por Alex Campos

IT Evangelist

Microsoft Chile


SEGURIDAD EN LA NUBE: compliance a 10 mil metros de altura

Por Lisseth Rodríguez

Proyect Manager - Delta Networks Systems


Cloud Computing: Los Retos de la Seguridad

Por Mariangel Hernández Aldana

Channel Manager  - Astaro Región Andina y Venezuela


Seguridad Informática Hoy, tendencias de los ataques informáticos.

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


Pronósticos de seguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


LA RED EL NUEVO CAMPO DE BATALLA
Andrés A. Buendía Ucrós

Sales Engineer – North LatinAmerica & Caribbean


Infosecurity y seguridad informática
Por Frano Capeta Mondoñedo

Country Manager Perú

ISEC Information Security Inc.


Autenticación Segura en un mundo nublado

Por Esteban Lubensky
Gerente General
GMS


Seguridad Multinivel
Por Carlos Moreno Carrascal
Channel Account Manager
Trend Micro Latinoamérica


Seguridad Multinivel
Por Carlos Mario Reyes
Especialista de Producto
TECNASA El Salvador


Cloud & Virtualization Security

Por Carlos Rienzi
System Engineer
CISCO - Argentina


El Factor Gente en la Seguridad de la Información

Por Sandra Da Silva
Analista de Infraestructura TIC
Petrobras Paraguay Distribución Ltd.


Impacto de las Amenazas Físicas y Ambientales en la Seguridad de Data Centers y Cuartos de Cableado

Por Daniel A. Molina

APC by Schneider Electric

Territory Manager - Puerto Rico & Dominican Republic


WikiLeaks: 40 Minutos de Verdad

HÉCTOR MARIO DELGADO
GERENTE GENERAL - SOFTNET S.A
Medellín - Colombia


Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


La lección que nos deja Wikileaks
Alfredo Zuccotti

Subgerente de Seguridad

Cooperativa Universitaria - Paraguay


Administración de Eventos de Seguridad
Stephen Fallas
Security Solution Architect – Latin America
Hewlett Packard - Disertante para Infosecurity Vip - Quito 2010

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

 

Envíenos su Comentario

 

Conferencias 2014, 2013, 2012, 2011 aquí

 

ULTIMAS CONFERENCIAS:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2014 ISEC. Todos los derechos reservados - Política de privacidad