hornet-security-logo
Ingeniería social: el usuario como puerta de entrada

La continua actualización de las medidas técnicas de protección en el ámbito de la seguridad informática va de la mano de un repunte de los ataques ligados a la ingeniería social en todo el mundo: mientras que, en 2013, un 17% de todos los ciberataques tenían un componente de ingeniería social, hoy en día ya la práctica mayoría de todos los ataques se asocian a la ingeniería social.

La expansión masiva del software malicioso Emotet y sus sucesores muestra la dimensión y la calidad que pueden alcanzar estos ataques. Emotet lee los contactos y el contenido del correo electrónico de las bandejas de entrada en los sistemas infectados, y utiliza esta información para seguir expandiéndose. Estos mensajes de spear phishing apenas suelen ser apenas reconocibles para los no expertos.


La concienciación en seguridad («Security Awareness») refuerza el «cortafuegos humano»

Por eso, en ningún diseño de seguridad de la información puede faltar el factor humano: la palabra clave es «Security Awareness». El «Security Awareness» indica hasta qué punto los empleados son conscientes de la importancia de la seguridad de la información en su empresa y el alcance de su propia responsabilidad en esta materia, sobre todo, describe en qué medida la aplican.

Existen diferentes medidas que se pueden aplicar para aumentar la Security Awareness. Es importante no considerar al usuario como un riesgo sino, más bien, como un elemento esencial de la solución en seguridad informática: «tú eres el cortafuegos de tu empresa». Por eso, se debe integrar a los empleados, no sobrecargarlos y, sobre todo, no atemorizarlos.

Sin embargo, la planificación de medidas para aumentar la Security Awareness encierra numerosos retos:

  • ¿Cómo se puede asegurar que las medidas en materia de Security Awareness son eficaces y sostenibles?
  • ¿Es posible obtener un retorno de la inversión? ¿Merece la pena la inversión?
  • ¿Existe un indicador o comparativa con organizaciones de sectores similares?
  • ¿Pueden recibir los empleados de una organización una formación a medida en lugar de un único método para todos?

Con el Employee Security Index, o ESI®, la conducta de seguridad de los empleados resulta cuantificable de una forma realista, estandarizada y replicable. En este Libro Blanco se detalla el proceso de cálculo y se presenta un índice de referencia extraído de más de 60 empresas europeas.

tasmicro-hornet-security-01
Relacionados