Muchas veces comentado, analizado, etc, ¿pero realmente hay consciencia del riesgo que entraña desatender este aspecto dentro de la seguridad de un sistema?. Muchas compañías de seguridad desdeñan este im
portante factor a la hora de auditar la seguridad de un sistema, considerándolo fuera de lo estrictamente técnico, dejando un factor clave, y a mi entender el mas débil, dentro de la seguridad informática.
portante factor a la hora de auditar la seguridad de un sistema, considerándolo fuera de lo estrictamente técnico, dejando un factor clave, y a mi entender el mas débil, dentro de la seguridad informática.Hace años se le dio un nombre a la tarea de violar la seguridad por medio del factor humano, creando un campo de estudio y acción orientado a la explosión de la inexperiencia, falta de capacitación, sentido común, etc, de los empleados técnicos y no técnicos que trabajan con sistemas informáticos: “Ingeniería Social”.
A pesar de la demostrada existencia de esta técnica de "hacking", muchas empresas (tanto las dedicadas a la seguridad, como aquellas que no) siguen haciendo caso a omiso a este riesgo, sin darle mayor importancia. ¿A que se debe esto?. La respuesta es sencilla: es mas fácil y requiere menos tiempo, correr 100 exploit´s y/o realizar un “test de penetración” con “test de fugas” para corta fuegos, que capacitar a cientos de empleados, sobre como deben actuar ante ciertas situaciones, que puedan poner en peligro la integridad de la seguridad de un sistema.
Como mencioné en el artículo anterior, para hacer frente a la inseguridad, por lo menos de manera efectiva, es necesario hacer un enfoque holístico de los posibles riesgos que entrañan los sistemas, debido a errores en los programas, como así también el riesgo que representa un personal no capacitado al ejercer actividades potencialmente peligrosas, dentro de lo que a seguridad se refiere.A pesar de la demostrada existencia de esta técnica de "hacking", muchas empresas (tanto las dedicadas a la seguridad, como aquellas que no) siguen haciendo caso a omiso a este riesgo, sin darle mayor importancia. ¿A que se debe esto?. La respuesta es sencilla: es mas fácil y requiere menos tiempo, correr 100 exploit´s y/o realizar un “test de penetración” con “test de fugas” para corta fuegos, que capacitar a cientos de empleados, sobre como deben actuar ante ciertas situaciones, que puedan poner en peligro la integridad de la seguridad de un sistema.
Debido a esto, y a falta de las inversiones necesarias (si!!!, las erogaciones que se realizan en capacitar al personal son inversiones), cualquier atacante con un poco de habilidad para tratar con las personas y un troyano (o sin el) puede obtener acceso total a un sistema informático, ya pertenezca a un banco, una empresa, el estado, etc.
No es por nada, que el “hacker” mas famoso del mundo, Kevin Mitnick, sea reconocido como un experto en el campo de la ingeniería social, sobre el cual escribió el famoso libro "The Art of Deception". Sin duda, además de ser quien seguramente llevo la ing. social a su mayor exponente, es quien logro demostrar de manera irrefutable que el factor humano es el eslabón mas débil, logrando tomar el control de un sistema con tan solo cinco llamadas telefónicas.
La seguridad informática, por el momento sigue siendo una quimera imposible de alcanzar, en tanto y en cuanto se sigan manejando los esquemas actuales sobre seguridad / inseguridad. Es preciso realizar un cambio en la manera de apreciar cada elemento que hace o no seguro a un sistema, teniendo un enfoque totalizante y previsor, sin desdeñar aspectos por pequeños e inofensivos que parezcan. Hasta entonces, seguiremos oyendo de casos escandalosos, donde por culpa de un empleado la seguridad del sistema en su conjunto fue violada.
No hay comentarios.:
Publicar un comentario