Breaking

3/4/17

@gelorb El Momento es Ahora...

Bien sabido es por quienes son responsables de controlar y administrar la seguridad de la información en corporaciones; que por más soluciones técnicas que se implementen; siempre estará presente entre los riesgos el eslabón más débil en la cadena de seguridad:

“el usuario final”


... y a ese usuario final se dirigen quienes intentan obtener beneficios mediante ataques a la seguridad de la información de una empresa;     mediante el “secuestro” de  acceso a la información;  o para esclavizar equipos en redes (“botnet”) que utilizan para diversos usos;   generalmente orientados a atacar a otros equipos a través de Internet. 

      

Para lograr esos objetivos, las técnicas de ingeniería social son un elemento fundamental que utilizan…    y muy bien;  aprovechando el desconocimiento o la falta de concientización de usuarios que no aplican al momento de “dar un click” un análisis mínimo que les permita interpretar que están siendo víctimas de un “Phishing”;  que les traerá consecuencias que pueden ser graves para la red corporativa o bien para sus intereses personales. 


…Y en este orden,  durante el último año fue creciente (y se espera que esa tendencia aumente aún más durante 2017) el uso del phishing para instalar ataques indentificados como “ransomware”. 
Este tipo de ataques necesita que el usuario “de ese click” que instala  a su vez un software qué, a partir de su activación genera una “llave criptográfica” que transmite al atacante,  e inmediatamente comienza a encriptar los datos de todas las unidades de red sobre las que el usuario atacado  tiene permisos de acceso desde el equipo infectado; y pidiendo luego un rescate para  entregar la “llave criptográfica” que supuestamente permitirá acceder nuevamente a los datos “secuestrados por el atacante”.

Para evitar este tipo de consecuencias la prevención y concientización es fundamental para reducir los riesgos de ocurrencia; 
…y si de prevenir y concientizar se trata, cuanto antes mejor; por lo que:

 “Siempre, el Momento es Ahora”

Considerando lo expuesto, comparto un posible enfoque sobre cómo se puede orientar  un contenido inicial y nivelatorio para  los usuarios finales de una organización; estableciendo un comienzo básico; que luego se puede ir escalando en nuevas difusiones.
 Como experiencia particular, el resultado obtenido en más de 500 usuarios finales fue muy positivo; generando conciencia de buenas prácticas  y aplicación efectiva de las mismas en la operación diaria de quienes fueron asistiendo a las  diferentes realizaciones  de la presentación. 

Concientización a Usuarios Finales de procesos informáticos 
Objetivos: 
Generar una presentación con contenidos orientados a difundir principios de seguridad y prevención contra riesgos provocados por ataques a la red informática corporativa mediante códigos maliciosos. 
Difundir esos contenidos al personal de la organización mediante charlas  presenciales preventivas; que permitan generar en los usuarios la interacción con el disertante y los conocimientos necesarios para detectar y evitar intentos de infecciones en el equipamiento, con consecuencias importantes que afecten a la información y al negocio de la organización. 

Contenidos a incluir: 
·                    En Internet no todo es verdadero
o    Muestra de página conocida pero falsa, con funcionalidad preparada para  el robo de contraseñas a usuarios engañados.

·                    Información – Valor e Importancia 
o        Se destaca el valor de la información como activo importante y fundamental para la operatividad y continuidad del negocio de la organización,  y principios de prevención que hacen a las precauciones  que cada uno de los usuarios debe tomar,  respecto del tratamiento de la información que su empresa le está confiando para poder cumplir su rol,  como eslabón importante integrante  de la cadena operativa del negocio  de la organización.

·                    Conceptos básicos sobre seguridad de la información 
o        Se enfocan los objetivos principales perseguidos por la seguridad de la información, destacando la importancia y conceptos sobre Disponibilidad; Confidencialidad e Integridad y el compromiso que cada uno debe asumir sumándose personalmente al cuidado de la información que su rol en la organización  le permite acceder, utilizar y mantener para el desarrollo diario de sus actividades. 

·                    Identidad Física y Digital 
o        Conceptos sobre mundo real, mundo virtual y mundo digital.    Internet como medio digital y su importancia como tecnología que provocó la convergencia en un solo medio de todos los tipos de tratamiento de la información (datos, voz, videos, equipos industriales, empresariales, hogareños, etc).  La importancia del uso adecuado de nuestras identidades respecto de los riesgos que pueden afectarnos.   

·                    Protección de Identidades digitales personales 
o        Destacar la importancia de la privacidad de nuestra identidad digital,  que nos representa y compromete ante la organización en cada transacción que se realice con la misma.  El valor fundamental de las contraseñas; técnicas para hacerlas seguras y facilitar su memorización.  Cuidados en el uso diario del puesto de trabajo.

·                    Riesgos – Código Malicioso 
o        Se hace una introducción al concepto,  como marco global de todo el software malicioso,  que aprovecha la convergencia de medios de transmisión digital para lograr objetivos,  que en su mayor parte se relacionan con fraudes y denegación de servicios.  Mención a la variedad de tipos de códigos maliciosos y enfoque a lo que vamos a tratar específicamente en la charla. 
o        Troyanos – Gusanos 
§     Que es un troyano, su analogía con el caballo de Troya, y objetivos principales perseguidos por este tipo de código malicioso enfocando al concepto del punto siguiente,  que es paso previo para que estos troyanos puedan instalarse y llevar a cabo el ataque para el que fueron creados. 
·                    Phishing  
o        Qué es 

§     Conceptos sobre ingeniería social y encuadre del phishing dentro de este tipo de ataques. 
o        Consecuencias que pueden provocar 
§     Mención a sus riesgos y consecuencias  que pueden provocar en el negocio de la organización y en nuestras actividades personales (home banking por ejemplo) 
o        Cómo prevenirlos 
§     Importancia de mantener actualizados sistema operativo, antivirus, antispam. Cuidados en el uso de herramientas operativas; tanto en el puesto de trabajo como en dispositivos móviles corporativos y personales. Cuidados en la navegación en Internet. 
o        Cómo detectarlos/evitarlos 
§     Muestra de casos de intento de phishing vía correo electrónico. Puntos clave a tener en cuenta para evitar hacer click cuando no corresponde.

·                    Ransomware 
o        Qué es 
§     Breve explicación sobre el accionar de este tipo de código malicioso, como se instala y consecuencias sobre la información del negocio corporativo. 
o        Tipos de ransomware 
§     Mención a los más conocidos (Locky, Criptolocker, Criptolocker.F, Mamba) y su modo de infección. 
o        Mitigaciones 
§     Actitud como usuarios para evitar ser víctimas de este tipo de ataques 
§     Enseñanzas a partir de casos ocurridos 
§     Recomendaciones sobre mejores prácticas en el uso del  correo electrónico
·                    Conclusiones    
o        Ejercicio práctico breve sobre conocimientos adquiridos



           
Rogelio J. Biolatto
T.E. 3493 420657   Cel. 3493 665207
Skype rogelio j biolatto

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar