ingenieria social_phishing

 

Sorprenden algunas empresas en las que, el responsable de IT e incluso el responsable financiero, aseguran tener absolutamente controlado cualquier posible incidente de phishing, ataques de ingeniería social, con equipos de hardware que protegen a los usuarios de todos los males.

 

Sin embargo, sorprende aún más escuchar al CEO decir que al primer empleado que se le ocurra caer en una trampa de phishing o ataques de ingeniería social, será despedido.  

Si la primera opción se queda corta en cuanto a medidas de proteccion ante ataques de phishing, la segunda, creo que es excesivamente agresiva.

 

El objetivo de cada política contra el phishing debe ser reducir significativamente la probabilidad de que la organización y sus miembros puedan ser captados con éxito, por ello debemos tratarlo con cautela y cierto escepticismo.

 

La seguridad absoluta no existe pero sí es posible reducir el riesgo a niveles aceptables y es necesario fomentar la cultura que yo llamo de la “alerta permanente”, sin exigir la perfección pero a la vez, sin perder de vista que todos los usuarios pueden ser víctimas de un phishing.

A todos los usuarios que han amenazado o ridiculizado a otros por ser víctimas de un ataque de phishing y a todos aquellos que aseguran tener controlada la situación en la empresa, les diría que me den su dirección de correo electrónico y probaremos si pueden ser o no, víctimas de un engaño.

Cualquiera puede ser engañado para que haga clic en un enlace, abra un adjunto o rellene un formulario con datos confidenciales.

En todas las sesiones de formación y también en las de preparación de ataques phishing, tengo unos ataques preferidos que funcionan a la perfección; en todas las empresas hay usuarios dispuestos a hacer clic a todo, sin saber y sin pensar muy bien los motivos o el destino.

Mi recomendación es realizar cambios de comportamiento en las organizaciones y sin duda, se consigue únicamente con una tarea constante de formación en sensibilización y concienciación en ciberseguridad.

Fomentar buenas prácticas, explicar a los usuarios cuales son los riesgos, implicar a toda la empresa, sin excepciones, en el conocimiento de los ataques de phishing, convierte a los usuarios en personas más felices, motivadas para localizar, detectar y evitar daños directos a la organización, de la cual son parte y acción.

 

Por ello en mis programas de formación para la proteccion del phishing soy partidaria de impulsar mejores prácticas en ciberseguridad complementadas con técnicas de motivación proactiva como son premios a la detección, competencias entre departamentos, reconocimientos corporativos y obsequios a la colaboración de los usuarios.

 

Si conoces a alguien que cree que no puede caer en la tentación de un ataque de phishing, avísame por favor y utilizaré algunas de las técnicas que he usado con éxito en algunas intervenciones para los más incrédulos.

 

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Share This