Please enable JavaScript.
Coggle requires JavaScript to display documents.
La construcción de una Cultura de Seguridad (¿Que es pinshing? (Es un…
La construcción de una Cultura de Seguridad
¿Que es pinshing?
Es un término informático que denomina a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza para manipularla y hacer que realice acciones que no debería realizar
(por ejemplo revelar información confidencial o hacer click en un enlace)
Habitualmente el objetivo es robar información pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes
El pinshing a aumentado en las ultimas fechas, en 2016 aumento un 65%, entre el año 2004 y el año 2016 se observo un aumento del 5,753%
Durante el 2016 se aumento un 33% a las 5 principales industrias, mientras que las industrias financieras siguieron siendo el objetivo mas popular
Correos electrónicos de phishing a menudo enlazan a sitios web
maliciosos diseñados para verse y sentirse legítimos
Los sitios phishing pueden ser bloqueados pero la velociad con la que surgen nuevos es impresionante por lo cual es imposible bloquear todos estos sitios
Incluso los actores de amenaza de bajo nivel son capaces de establecer sitios de
phishing de forma extremadamente rápida utilizando los llamados “kits de
phishing”
Estos se distribuyen libremente en redes sociales
Los ataques de pinshing no son precisamente dirigidos por profesionales, a veces los novatos los pueden realizar ya que compran malware, por lo cual esta técnica no necesita de una gran habilidad
Los pinshing detonan todas las vulnerabilidades de seguridad de una empresa
¿Por qué los controles técnicos no son
suficientes?
Se realiza un filtro de spam que bloquea el 99% de correos maliciosos, sin embargo se recibirán 11 correos maliciosos cada día.
Dos correos de pinshing puros y 9 correos de malware. Es decir
4.015 posibles infracciones al año.
Dado que el malware se aprovecha de las vulnerabilidades conocidas, los parches perfectos, anulan la mayoría de los ataques
Lamentablemente cuando la empresa crece tanto el uso de parches perfectos ya no es una opción factible ya que el malware entre en múltiples sitios
Nunca estaremos preparados para un ataque de día cero, ni siquiera el mejor antimalware lo puede prevenir
Un virus troyano por ejemplo puede causar un daño tremendo, mas si lo ejecuta un usuario privilegiado
Como resultado, los usuarios en
todas las empresas están constantemente en riesgo de estar expuesto a correos
electrónicos de phishing de diversa complejidad.
Creación de una Cultura de Seguridad
Requiere energía, la planificación cuidadosa y la inversión, por no hablar de un
mecanismo para el seguimiento de la mejora
por lo cual la información debe de ser un papel crucial, por lo cual se necesita de un cambio en la perspectiva
Formación antiphishing
obtener buy-in ejecutiva
Hay un problema con la obtención de buyin ejecutivo: los altos ejecutivos que tradicionalmente no tienen una fuerte comprensión de la seguridad y no pueden entender la necesidad de invertir en un programa de cambio de comportamiento a largo plazo
Regular campañas de phishing para medir los niveles actuales de susceptibilidad e e informar a las intervenciones de entrenamiento
específicas
Debe comenzar con una clase o sesión de e-learning a los objetivos de cobertura y proporcionar formación inicial. Después de eso, una vez por mes (por ejemplo) los
usuarios reciben un correo electrónico de phishing simulado
La experiencia demuestra que cualquier empresa puede traer su tasa de susceptibilidad phishing hasta alrededor de 5 por ciento, en
algunos casos, tan bajos como de 1 a 2 por ciento.
1 more item...
Cuando los usuarios reciben un correo electrónico de suplantación de identidad, por lo
general tienen dos opciones: Eliminar o cumplen con ella
La simple verdad es que reportan información de correos electrónicos de phishing son exponencialmente más valioso que ignora o se elimina correos electrónicos de phinshing
Parches de vulnerabilidad humana
Algunos expertos sostienen que la formación de los usuarios suele ser una pérdida de dinero,los presupuestos de seguridad se podrían
invertir mejor en controles técnicos más rigurosos
Otros expertos dicen que los controles técnicos no son perfectos por lo cual igual se debe de invertir en el usuario
La gran cantidad de programas introductorios a la seguridad son completamente inútiles
Para determinar un error se debe tomar en cuneta la funcionalidad TI
La seguridad es una actividad, no un concepto, por lo cual comprender algo no es lo mismo que hacerlo
La palabra formación se debe tomar mas literalmente
comprende un ciclo constante y continuo de educación y practica, donde debemos de incorporar un bucle de retroalimentación