No puede impedir por completo la ingeniería social, por lo que necesita trabajar en la limitación de daños. La ingeniería social solo funciona con personas que tienen el privilegio de hacer algo o saber algo importante. Si elimina la información confidencial y los privilegios riesgosos, reducirá enormemente su huella de seguridad.
Lo que estás buscando es separación de funciones , combinado con la autenticación adecuada. Es decir, le da a cada usuario los privilegios mínimos absolutos que necesita para hacer su trabajo, pero les permite escalar una tarea o procedimiento a un superior que tenga los privilegios requeridos, o pasar la operación a un departamento alternativo que tenga el privilegio requerido. También proporciona mecanismos de autenticación adecuados para imponer la identidad.
Por ejemplo, en un banco puede otorgar al personal del centro de llamadas la capacidad de cambiar su límite de crédito, pero no la capacidad de marcar una transacción como fraudulenta. El departamento de fraude podría marcar una transacción, pero no cambiar su límite de crédito. Además, el personal del centro de llamadas no pudo aprobar un préstamo directamente, pero podría enviar la solicitud de préstamo a su gerente, quien puede aprobar o rechazar la solicitud. Todos los accesos al sistema deben hacerse cumplir con una contraseña y un token de hardware (por ejemplo, tarjeta magnética, RSA Securekey, etc.) como mínimo, para que la identidad se cumpla y se pueda probar una cadena de custodia.
Para acceder a ubicaciones privilegiadas (por ejemplo, sala de servidores o un inicio de sesión a través de SSH), debe requerir una autenticación multifactor. La ingeniería social es efectiva para obtener cosas que usted sabe, pero de ninguna manera tan efectiva para obtener cosas que tiene o es. Use la seguridad física y la autenticación digital adecuadas que requieren autenticación de dos o tres factores para obtener acceso. En los casos en los que se accede a un activo altamente sensible, se requiere la autenticación de múltiples factores de más de un empleado.
Además de todo esto, use el registro de auditoría en todas partes. Todos los cambios que realice una persona deben registrarse, y se deben tomar las medidas adecuadas para garantizar que los registros no se puedan destruir ni falsificar. Esto proporciona una manera de identificar problemas y lo deja con un recurso legal en caso de que un empleado haga algo malévolo.