Las compañías no son concientes del robo de información
Traducido para Segu-Info por Raúl Batista.
En una entrevista en una emisión de audio de hoy en www.infosecurityadvisor.com, Peter Wood miembro del Comité de la Conferencia de ISACA y fundador de First Base Technologies, reveló la facilidad con que los criminales son capaces de robar datos y dio 3 pasos críticos que las organizaciones pueden dar para bloquearlos.
Wood reveló como él y su colega caminaron sin problemas dentro de una compañía de seguros y pudieron robar todos su información como parte de un ejercicio de seguridad. Y no es el único que se marcha con información robada; muy a menudo las compañías sin darse cuenta contratan personas cuyo único propósito es robar información.
Woods explica "gente en la comunidad bancaria me ha dicho discreta y anónimamente que durante el último año encontraron empleados que habían sido puestos en sus compañías por bandas criminales y que habían estado operando como "topos" durante ese tiempo."
Las compañías también cometen el error de almacenar datos sensibles y confidenciales en un lugar que le hace muy fácil a los criminales robar la información.
Woods dice, "la propiedad intelectual o una gran base de datos de tarjetas de crédito son probablemente el objetivo primario y alguien me dijo, una compañía Japonesa de hecho, que se puede almacenar toda su información, toda su propiedad intelectual y cosas que verdaderamente los diferencian en una memoria usb, como resultado un golpe en esto es más que adecuado para darle a los criminales lo que quieren."
"El ataque físico es algunas veces el más sencillo y probablemente la modalidad futura para muchas bandas de criminales", sin embargo según Wood "uno no necesita estar en el lugar, los ataques por control remoto mediante correos phishing, phishing dirigido, troyanos adjuntos o incluso los ataque desde sitios web están aumentando en popularidad y alguien que recibe un correo que lo dirige a un sitio que parece inocente y donde algo se instala en su PC rápidamente es igualmente vulnerable."
Wood cree que la gente es extremadamente importante para prevenir estos ataques. Dice "Si se le da a la gente una educación de base sobre como buscar la actividad criminal, entonces podrían ser el activo más importante que cualquier organización podría desplegar."
Y agrega, "Pienso hay un enorme abismo entre los controles técnicos que las firmas ponen y el ser humano y el control de RRHH y las premisas de control físico. Hay una pequeña o nula comunicación entre las tres areas y es entre esos espacios por donde los criminales pueden caminar sin problemas."
Sin embargo hay una luz al final de este muy oscuro túnel de las brechas de seguridad de la información. Según a Peter Wood hay tres pasos críticos que puede dar una organización para protegerse a si misma.
• Una selección de rigurosa buena calidad del personal y de terceros.
• Una campaña de concientización que sea diseñada inteligentemente con un fuerte enfoque en alentar e informar a la gente.
• Realizar reuniones periódicas con RRHH, seguridad física, seguridad de TI y el negocio para proveer una defensa holística contra los ataques.
Autor: ISACA
Fuente:
http://www.securitywatch.co.uk/2008/10/06/companies-unaware-of-moles-operating-under-their-noses/
En una entrevista en una emisión de audio de hoy en www.infosecurityadvisor.com, Peter Wood miembro del Comité de la Conferencia de ISACA y fundador de First Base Technologies, reveló la facilidad con que los criminales son capaces de robar datos y dio 3 pasos críticos que las organizaciones pueden dar para bloquearlos.
Wood reveló como él y su colega caminaron sin problemas dentro de una compañía de seguros y pudieron robar todos su información como parte de un ejercicio de seguridad. Y no es el único que se marcha con información robada; muy a menudo las compañías sin darse cuenta contratan personas cuyo único propósito es robar información.
Woods explica "gente en la comunidad bancaria me ha dicho discreta y anónimamente que durante el último año encontraron empleados que habían sido puestos en sus compañías por bandas criminales y que habían estado operando como "topos" durante ese tiempo."
Las compañías también cometen el error de almacenar datos sensibles y confidenciales en un lugar que le hace muy fácil a los criminales robar la información.
Woods dice, "la propiedad intelectual o una gran base de datos de tarjetas de crédito son probablemente el objetivo primario y alguien me dijo, una compañía Japonesa de hecho, que se puede almacenar toda su información, toda su propiedad intelectual y cosas que verdaderamente los diferencian en una memoria usb, como resultado un golpe en esto es más que adecuado para darle a los criminales lo que quieren."
"El ataque físico es algunas veces el más sencillo y probablemente la modalidad futura para muchas bandas de criminales", sin embargo según Wood "uno no necesita estar en el lugar, los ataques por control remoto mediante correos phishing, phishing dirigido, troyanos adjuntos o incluso los ataque desde sitios web están aumentando en popularidad y alguien que recibe un correo que lo dirige a un sitio que parece inocente y donde algo se instala en su PC rápidamente es igualmente vulnerable."
Wood cree que la gente es extremadamente importante para prevenir estos ataques. Dice "Si se le da a la gente una educación de base sobre como buscar la actividad criminal, entonces podrían ser el activo más importante que cualquier organización podría desplegar."
Y agrega, "Pienso hay un enorme abismo entre los controles técnicos que las firmas ponen y el ser humano y el control de RRHH y las premisas de control físico. Hay una pequeña o nula comunicación entre las tres areas y es entre esos espacios por donde los criminales pueden caminar sin problemas."
Sin embargo hay una luz al final de este muy oscuro túnel de las brechas de seguridad de la información. Según a Peter Wood hay tres pasos críticos que puede dar una organización para protegerse a si misma.
• Una selección de rigurosa buena calidad del personal y de terceros.
• Una campaña de concientización que sea diseñada inteligentemente con un fuerte enfoque en alentar e informar a la gente.
• Realizar reuniones periódicas con RRHH, seguridad física, seguridad de TI y el negocio para proveer una defensa holística contra los ataques.
Autor: ISACA
Fuente:
http://www.securitywatch.co.uk/2008/10/06/companies-unaware-of-moles-operating-under-their-noses/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!