Overview
Los hackers llevan años utilizando el término “ingeniería social” para describir las técnicas que les permiten acceder a los sistemas de información mediante la persuasión o el engaño. Este tipo de acceso normalmente se lleva a la práctica a través de conversaciones u otro tipo de interacción. El medio escogido suele ser el teléfono, pero también el correo electrónico, los anuncios televisivos o cualquier otro medio que provoque algún tipo de reacción humana. Por ejemplo, imagínese un disquete o un CD que lleve escrito "Nóminas" olvidado en una sala o en los lavabos de una organización y que contenga código malicioso. ¿Habría alguien de la organización que introduciría este soporte en su ordenador y accedería a los contenidos?
Foundstone lleva a cabo las evaluaciones de ingeniería social más adecuada para su organización. Nuestra metodología refleja nuestro planteamiento de las evaluaciones de seguridad. En primer lugar, identificamos los objetivos y recopilamos la información oportuna, tras lo cual iniciamos las tentativas de ataque. Estos principios los aplicamos sistemáticamente con un enfoque personalizado que variará en función de los objetivos en cada caso concreto.
Principales ventajas
- Permite identificar los puntos débiles de la organización
Foundstone adopta un planteamiento personalizado de la metodología para la evaluación de la seguridad. - Podrá medir la eficacia de sus programas de sensibilización en cuestiones de seguridad
¿Conocen los usuarios los problemas de seguridad y se preocupan de proteger los activos de TI de su organización? - Obtendrá recomendaciones ulteriores
Este servicio incluye un informe técnico de Social Engineering acompañado de un resumen ejecutivo, y un taller de media jornada con una presentación sobre este programa.
Methodology
Colaboramos estrechamente con nuestros clientes para definir los escenarios de pruebas. Estos escenarios se diseñan a la luz de las directivas y procesos específicos de su organización. Algunas organizaciones pueden disponer, por ejemplo, de un procedimiento de respuesta ante incidentes para notificar las llamadas telefónicas sospechosas. Foundstone puede evaluar estos procedimientos mediante tentativas ostensibles de conseguir información confidencial sin la debida autorización. Ésta es una forma excelente de comprobar la eficacia de los programas de sensibilización en el ámbito de la seguridad o de poner los cimientos para crear un programa formativo de este tipo.
Tres de los vectores de ataque más habituales son:
- Llamadas telefónicas a personas pertenecientes a la organización. Estas llamadas suelen estar dirigidas al personal del help desk y a trabajadores concretos identificados como importantes dentro de la plantilla de la empresa.
- Mensajes de phishing meticulosamente diseñados para grupos destinatario específicos, que tratan de sonsacar información al destinatario.
- Disquetes o CD con código malicioso y etiquetas con un atractivo contenido, tipo “Nóminas” o “Resultados preliminares de fin de trimestre”, olvidados en salas o lavabos estratégicamente ubicados.
Independientemente del tipo de pruebas de ingeniería social llevadas a cabo, una vez completadas le entregaremos un informe detallado con las directivas puestas a prueba y los resultados de cada tentativa de infracción.