http://www.cio.com/article/2374578/security0/a-security-awareness-success-story.html
Por Ira Winkler y Samantha Manke
El tema de la seguridad es muy importante, más aún cuando no se reconocen las historias de éxito sobre éste tema. Es muy raro que las organizaciones compartan esas historias, incluso internamente. En toda empresa dedicada a los aspectos humanos de la seguridad y la conciencia entorno a esta, vemos historias de éxito a diario, sin embargo no podemos revelar esas historias sin autorización.
Así que fue una agradable sorpresa cuando vimos la columna de la CSO Salado Hash, “Dentro de un ataque hecho por el ejército electrónico Sirio”, que pone de relieve una importante historia de éxito en temas de seguridad. El artículo señala cómo la orientación en temas de seguridad, le permitió a IDG Enterprises, la empresa matriz de CIO y de Computerworld, entre otras publicaciones importantes de tecnología, rechazar por completo el ataque del ejército electrónico Sirio (EES), también conocido como SEA en inglés.
Como telón de fondo, el SEA se opuso a una presentación que Ira Winkler ofreció en la Conferencia RSA que detallaba a la SEA; sus ataques, y las experiencias que podían ayudar a las empresas a responder a sus ataques, y los métodos para prevenirlos.
La SEA respondió tratando de hackear el sitio de la Conferencia RSA, y nosotros detallamos exactamente cómo se logró . En respuesta el SEA hackeó las cuentas de Twitter de The Wall Street Journal y Buzzfeed en un intento de insultar a Ira. Winkler preparó un artículo de Computerworld, donde analizó la secuencia de los acontecimientos. Basados en nuestra experiencia y trabajando con el FBI sobre los ataques del pasado, advertimos a Computerworld sobre la posibilidad, (segura), de que esperara un ataque de la SEA, y detalladamente le informamos sobre los métodos podrían a utilizar, así como orientación sobre la manera de prevenir el ataque esperado.
En respuesta, el equipo Computerworlds trabajó con las personas adecuadas para garantizar que se tomaron las precauciones técnicas, así como la creación de un programa de sensibilización proactiva advirtiendo a los empleados IDG del inminente ataque.
Se proporcionaron detalles a los empleados para que estuviesen atentos en sus lugares de trabajo o de observación para prevenir cualquier hackeo, y se hizo un esfuerzo especial para asegurar que las personas con acceso crítico fueran advertidas acerca de qué esperar.Principio del formulario
Como era de suponer, los mensajes spearphishing comenzaron a llegar el día en que el artículo se puso en marcha en el sitio web. Los mensajes eran en el formato esperado. A los destinatarios del mensaje se les avisó e informó de manera apropiada. Cuando los mensajes de correo electrónico fallaron, el SEA aparentemente recurrió a los ataques de ingeniería social, que fueron igualmente infructuosos. Esto es fundamental, ya que demuestra que cuando las personas se hacen conscientes de la probabilidad de un ataque, buscan la manera correcta de evitarlo o liquidarlo.
Claves de una exitosa protección
La razón de que esto funcionó es que un buen programa de sensibilización se llevó a cabo. No fue un video genérico sin refuerzo. La información que proporciona todos los elementos críticos contó con buenos materiales de sensibilización:
- El conocimiento de cuál es el problema,
- Acciones definitivas y pertinentes a tomar en respuesta a la cuestión, y
- La motivación para tomar la acción apropiada.
Es cierto que el equipo de IDG ya tiene un conocimiento general que le permiten observar y bloquear mensajes no deseados. Sin embargo, sólo se hace evidente cuando usted está bajo ataque. Eso sí es un éxito en temas de seguridad.
El hecho de que hemos sido capaces de predecir con exactitud cómo y cuándo el SEA atacaría fue un claro beneficio. Sin embargo, todavía me sorprende gratamente saber que nadie fue víctima de los atentados. Como indiqué anteriormente, todas las contramedidas de seguridad podían fallar en algún momento en el tiempo, y es imposible crear una seguridad perfecta. Es por eso que todo el mundo debía practicar la defensa en profundidad.
Si bien hay muchas características en una campaña de sensibilización con éxito, lo que hizo que el programa de concienciación lograra sus objetivos internacionales en este caso fue:
- La orientación clara a la gente y lo que debían tener en cuenta. Esto incluyendo la orientación pertinente sobre las circunstancias actuales y futuras, y la justificación de por qué era relevante.
- Hubo motivación clara, ya que era obvio lo que significaría un fracaso para el individuo y la organización.
- Las personas fueron informadas exactamente cómo informar de ataques.
- Una vez que el ataque fue detectado, la organización fue informada sobre los atentados.
La organización ayudó a la gente mediante la adopción de las medidas adecuadas para impedir el acceso a los sitios web peligrosos, eliminación de mensajes sin abrir, e informar a la gente acerca de los detalles de los ataques en curso. Esto último proporciona una motivación adicional para que las personas se comporten y actúen de forma más segura, en general, y que conduzcan la denuncia de los ataques al área de ingeniería social.
Supongo que antes de la publicación de este artículo, IDG habría enviado mensajes recordatorios para informarle a la gente acerca de la orientación anterior, y para tener la vista preparada para posibles nuevos o próximos ataques que utilicen estrategias similares. Esto debería producir resultados similares, es decir, repeler todos los ataques, pero incluso si no lo hace, cualquier daño debe ser proactivamente mitigado con la defensa en profundidad.
Cuando usted tiene un buen programa de concienciación sobre la seguridad, usted tendrá un montón de historias de éxito, ya que no sólo se evitarán muchos incidentes, sino que además, usted sabrá acerca de ellos.Principio del formulario