Ingeniería social

Evalúe el elemento humano en la protección de los datos

Próximos pasos:

Visión general

Los piratas informáticos han usado durante años el término "ingeniería social" para referirse a la técnica de usar la persuasión o el engaño para obtener acceso a los sistemas de información. Este acceso generalmente se obtiene a través de la conversación u otro tipo de interacción humana. El medio elegido suele ser el teléfono, pero también puede ser una comunicación por correo electrónico, un comercial de televisión o innumerables medios más para provocar una reacción humana. Imagine un disquete o un CD titulado "Nómina de pagos" que se encuentra abandonado en un vestíbulo o en el baño en la organización. El medio contiene código malicioso. ¿Alguna persona de su organización insertaría este medio en su computadora y accedería al contenido?

Foundstone realiza el tipo de ingeniería social más adecuado para su organización. Nuestra metodología refleja nuestro enfoque con respecto a las evaluaciones de seguridad. Comenzamos con la identificación de un objetivo y la recopilación de información y seguimos con intentos de ataques. Aplicamos estos principios de manera sistemática en un enfoque personalizado que depende de los objetivos de la situación en particular.

Beneficios clave

  • Identifica las debilidades dentro de la organización
    Foundstone utiliza un método personalizado con respecto a la metodología de evaluación de la seguridad.
  • Mide la eficacia de sus programas de concientización sobre la seguridad
    ¿Sus usuarios están conscientes de la seguridad y concentrados en proteger los activos de TI de su organización?
  • Obtenga recomendaciones sobre los pasos a seguir
    Entregamos un Informe técnico sobre ingeniería social, un Resumen ejecutivo y un taller de medio día con una Presentación sobre ingeniería social.

Metodología

Trabajamos estrechamente con nuestro cliente para definir los escenarios de prueba. Los escenarios de prueba se adaptan a las políticas y procesos específicos de su organización. Algunas organizaciones pueden tener procedimientos de respuesta ante incidentes implementados para informar sobre llamadas telefónicas sospechosas. Foundstone puede poner a prueba estos procedimientos al realizar intentos evidentes de obtener información confidencial sin la debida autorización. Esta es una excelente manera de probar la eficacia de un programa de concientización con respecto a la seguridad o de sentar las bases para crear un programa de esta naturaleza.

Tres de los vectores de ataques comunes identificados incluyen:

  • Llamadas telefónicas a personas dentro de la organización. Esto normalmente incluye el mesón de ayuda y personas específicas identificadas como personal fundamental de la empresa.
  • Correos electrónicos creados cuidadosamente para hacer phishing, destinados a grupos o personas específicas con la intención de obtener engañosamente información del destinatario.
  • Una unidad de disquete o CD con código malicioso y con una etiqueta tentadora como "Nómina de pagos" o "Resultados preliminares de fin de trimestre", que se deja en un vestíbulo o en un baño en lugares identificados específicamente.

Sin importar el tipo de prueba de ingeniería social que se realice, al finalizarla proporcionaremos un informe detallado sobre las políticas probadas y los resultados de cada infracción que hayamos intentado.