1-844-USA-GOV1
Menu

¿Por qué usted no debe – capacitar a los empleados camisetas de la conciencia de seguridad


¿Por qué usted no debe – capacitar a los empleados camisetas de la conciencia de seguridad

¿Por qué usted no debe - capacitar a los empleados camisetas de la conciencia de seguridad (ataques de ingeniería social)

Lo lamento

Usted puede ver el razonamiento detrás de él, por supuesto. RSA fue hackeado desde un documento de Word con una vulnerabilidad de Flash incrustado. Pocos días después, la franquicia SecureID de toda la compañía estaba en riesgo de ser irrelevantes una vez que los atacantes habían ido con las claves privadas que gobernaron el sistema.

Pero, ¿los ataques de phishing como RSA demuestran que la capacitación de los empleados es una necesidad, o todo lo contrario? Si los empleados y / o directivos en RSA, Google, eBay, Adobe, Facebook, Laboratorio Nacional de Oak Ridge y otras organizaciones tecnológicamente sofisticados pueden phishing, no hace que sugieren que las personas incluso bien informados y capacitados todavía son víctimas de ataques?

MÁS SOBRE OSC: 10 maneras de PREP para – y as – una entrevista de trabajo de seguridad

Uno de los mejores ejemplos siempre de las limitaciones de la formación es 2.004 experimento phishing de West Point llamada "Carronade." Los cadetes se enviaron correos electrónicos de phishing para probar su seguridad. Incluso después de someterse a cuatro horas de entrenamiento en seguridad informática, el 90 por ciento de los cadetes todavía hace clic en el enlace incrustado.

Fundamentalmente lo que los profesionales de TI están diciendo cuando piden un programa de capacitación para sus usuarios es, "No es culpa nuestra." Pero esto es falso, un usuario no tiene ninguna responsabilidad sobre la red, y no tienen la capacidad de reconocer o proteger contra las amenazas modernas seguridad de la información más que un cajero puede proteger a un banco. Después de todo, es un empleado en realidad cualquier partido contra una Operación Shady RAT. Operación Aurora o la Noche del Dragón. Culpar a una alta tasa de infección en usuarios es misguided- especialmente teniendo en cuenta el nivel avanzado de muchos ataques.

Voy a admitir, es difícil encontrar una amplia evidencia estadística que apoya este punto de vista, no es sorprendente que las empresas de seguridad no suelen compartir datos sobre cómo la formación exitosa o no es un órgano de la organización, la forma en West Point lo hizo. Pero puedo compartir algunas anécdotas de propio trabajo de consultoría de mi empresa que debería arrojar algo de luz sobre este problema.

Los clientes nos suelen consultar con grandes empresas de servicios financieros o de fabricación. Todas ellas disponen de sofisticados programas de sensibilización y formación de los empleados de seguridad en su lugar y, sin embargo, incluso con estos programas, que todavía tienen una tasa promedio de clics sobre los ataques del lado del cliente de por lo menos 5 a 10 por ciento.

También con frecuencia a cabo ataques de ingeniería social contra mesas de ayuda y otros bancos telefónicos corporativos para los clientes. Si bien cada uno de los trabajadores de dichos rollos sensibles de seguridad tiene una amplia formación y se les advierte contra los ataques de ingeniería social, lo único que detiene nuestros probadores son medidas técnicas. En otras palabras, si un empleado del servicio de asistencia técnica puede cambiar su contraseña sin obtener una respuesta válida de usted sobre el apellido de soltera de su madre, entonces una empresa como Inmunidad encontrará una manera de convencerlos de que lo haga.

En lugar de gastar tiempo, dinero y recursos humanos en tratar de enseñar a los empleados a ser seguro, las empresas deben centrarse en asegurar el medio ambiente y la segmentación de la red. Es mucho mejor la filosofía corporativa de TI que los empleados deben ser capaces de hacer clic en cualquier enlace, abrir cualquier archivo adjunto, sin riesgo de dañar a la organización. Porque van a hacerlo de todos modos, así que usted puede ser que también planificar para ello. Es el trabajo de la OSC, CISO, o el gerente de seguridad de TI para asegurarse de que las amenazas se detienen antes de llegar a un empleado, y si estas medidas fracasan, que la red está correctamente segmentada para limitar la propagación de la infección.

READ  11 cursos gratuitos en línea

Esto es lo que las organizaciones deben hacer en lugar de tiempo en la capacitación de los empleados perder:

  • Auditar sus Alrededores – Páginas web, back-end de bases de datos, servidores y redes debe ser auditado a fondo sobre una base regular para vulnerabilidades&msdash; tanto por el personal de seguridad interna y pen-testers externos. Deben ser rigurosamente probados contra los ataques actuales y más probables. La página web de Citigroup había sido probado por defectos básicos de aplicaciones web, se podría haber evitado el ataque junio 2011 que comprometió 200.000 cuentas de clientes. Esto es barato y fácil de tomar de la mesa.
  • Perímetro de Defensa / Monitoreo – Defensas perimetrales robustos deben estar en su lugar, y probado con regularidad. Estos deben estar protegiendo la red de ambos intrusiones y exfiltración de datos. Monitoreo exfiltración de datos también debe ser continua.
  • Aislar & Protegen la información crítica – ¿Qué información valiosa que hace su negocio de las tiendas en las bases de datos en línea? Clasificación de los datos de negocio deben estar cerca de la parte superior de la lista de tareas del CSO / del CISO. Él o ella debe examinar a fondo la información almacenada en línea y fuera de línea localizar datos críticos o detrás estricta segmentación de la red.
  • Segmento de la Red – Segmento de sus redes y la información para que un ataque cibernético exitoso no puede extenderse lateralmente a través de toda la red. RSA hubiera hecho esto, podría haber evitado el robo de sus tokens SecurID. Si está infectado PC de un empleado no debería ser capaz de extenderse lateralmente a través de todo el sistema.
  • Fluencia de Acceso -¿Qué Nivel de acceso tiene cada empleado tiene a la red y los datos críticos? ¿Qué tan bien se controla esto? Limitar el acceso innecesario es otro elemento clave de una postura de seguridad eficaz.
  • Respuesta al incidente – Examinar proactivamente cajas importantes para los rootkits. Usted se sorprenderá de lo que encuentre. Y hallazgo es el primer paso para la construcción de realidad una defensa contra "Amenazas Persistentes Avanzadas."
  • Liderazgo Seguridad Fuerte – Para que una empresa tenga una OSC / CISO no es suficiente. El presidente ejecutivo de seguridad debe tener autoridad significativa también. Él o ella debe tener "interruptor de matar" autoridad sobre proyectos que no tienen en cuenta adecuadamente para la seguridad, y reales decir sobre el porcentaje de la seguridad del presupuesto. Un programa de seguridad fuerte debe tener al menos el mismo presupuesto que el departamento de marketing.

Hay un montón de dinero y buena sensación en el funcionamiento de los programas de formación de los empleados, pero las organizaciones será mucho mejor si el CSO / CISO se centra más bien en la prevención de las amenazas de red y limitando su rango potencial. Los empleados no pueden esperar para mantener la empresa de seguridad; de hecho, es justo lo contrario. Formación en seguridad dará lugar a la confusión más que otra cosa.

Al seguir un programa de seguridad ofensiva, las empresas pueden mantener sus redes, y los empleados, protegido.

David Aitel, CEO de Inmunidad Inc .. es un ex “informático” para la Agencia de Seguridad Nacional. Su firma se especializa en la seguridad ofensiva y consulta para las grandes instituciones financieras y de Fortune Global / 500s. www.immunityinc.com

Siga todo, desde las OSC en línea

También se puede pedir aquí

.

Tags: