Seguridade informática - 8 xeitos de evitar ataques de enxeñería social




Social Engineering na súa forma básica é unha conversa de hackers para manipular aos usuarios de computadores fóra do seu nome de usuario e contrasinal. A enxeñaría social realmente excede os nomes de usuario e contrasinais. Un ataque de planificación social ben planificado pode destruír as empresas. Todos os roubos de información máis devastadores usaron algún tipo de ataque de enxeñería social. A enxeñaría social é tan efectiva porque os administradores de computadoras e os expertos en seguridade gastan todo o tempo reparando os sistemas e non formando aos empregados sobre a seguridade da información. A seguridade da información vai máis alá dos parches de ordenadores, é unha combinación de seguridade física, política de rede de computadores e formación de empregados.

Este artigo describirá moitos dos erros de seguridade comúns que os ladróns de información aproveitan e como pode previlos.

1. Información sobre sitios web



Os sitios web da empresa son o mellor lugar para comezar a recoller información. Moitas veces, unha empresa publicará todos os nomes dos seus empregados, enderezos de correo electrónico, posicións e números de teléfono para que todos poidan ver. Quere limitar o número de empregados e números de teléfono listados nun sitio web. Tamén deben evitarse as ligazóns activas en directo a direccións de correo electrónico dos empregados. Un erro común é que o nome de usuario de correo electrónico dunha empresa será o mesmo que o seu inicio de sesión de rede, por exemplo: o enderezo de correo electrónico de [Email protected] ten un nome de usuario de jsmith para a rede co mesmo contrasinal para o correo electrónico e a rede.

2. Fraudes por teléfono



Atrapar a alguén cun teléfono é moi sinxelo. Os empregados da empresa deben ser adestrados para ser amables, pero prudentes ao dar información de chamadas por teléfono. Un golpe de hacking é un hacker que chamará a unha empresa que se fai pasar por vendedores de computadoras. Os vendedores preguntarán á secretaria que tipo de ordenadores teñen, teñen unha rede sen fíos e que tipo de sistemas operativos corren. Os hackers poden usar esta información para planificar o seu ataque á rede. Adestra aos teus empregados para referirse ás preguntas relacionadas coas TIC ao soporte técnico.

3. Contratistas externos



Os contratistas externos deben ter un enlace de seguridade para controlar as súas actividades. As conexións de seguridade deberán ser informadas sobre o traballo que o contratista debe contratar, a área de operación, a identidade do contratista e se o contratista eliminará elementos do lugar de traballo.

4. Dumpster Diving



O xeito máis sinxelo de obter información sobre alguén é pasar o lixo. Os trituradores deben empregarse en todos os casos ou contratar servizos de trituración. Ademais, o Dumpster debería estar nun lugar seguro e baixo vixilancia.

5. Secretarios



Son a túa primeira liña de defensa, adestrándoos para que non deixes que ninguén dentro do teu edificio a menos que estean seguros de quen son. As cámaras de seguridade deben colocarse no camiño da entrada principal e tamén no exterior do edificio. Un ladrón que estea sondeando a súa rede probará para ver se está desafiado ao entrar no edificio, as cámaras poden axudar a identificar patróns e persoas sospeitas.

6. Sen contraseñas



Fai que teña unha política de empresa que o departamento de tecnoloxía nunca che chamará nin enviará un correo electrónico pedindo o seu nome de usuario ou contrasinal Se alguén chama e solicita un contrasinal ou nome de usuario as bandeiras vermellas irán por todas partes.

7. DESCONECTARSE



Os ataques de Ingeniería Social levan ao hacker no edificio e normalmente atoparán moitas estacións de traballo onde o usuario non ten sesión. Fai que a política da empresa sexa que todos os usuarios saian da sesión nas súas estacións de traballo cada vez que o deixan. Se a póliza non é seguida, o empregado debe ser redactado ou atracado. Non fagas o traballo dun hacker máis fácil do que xa é.

8. Formación



A formación en seguridade da información é unha obriga para calquera empresa de tamaño. A seguridade da información é un enfoque en capas que comeza coa estrutura física do edificio ata como está configurada cada estación de traballo. Canto máis capas teña o plan de seguridade máis difícil será para un ladrón de información cumprir a súa misión.