El mayor riesgo de seguridad de la información que enfrentan las grandes empresas, que va más allá de la defensa técnica, es la falibilidad humana. La ingeniería social suele ser mucho más fácil y más efectiva que tratar de forzar la entrada a una red. ¿Por qué intentar piratear una red cuando simplemente puede llamar a un miembro del personal y pedir su contraseña, por ejemplo? Las pequeñas empresas son algo menos propensas a esto porque, a) generalmente son un objetivo menos deseable, yb) es más fácil educar y monitorear las actividades de un grupo más pequeño. Una gran cantidad de esfuerzos de seguridad de la información se destina a proteger a los empleados de ellos mismos.
Toda la educación sobre seguridad en el mundo puede no ser necesariamente suficiente para protegerse contra las respuestas humanas innatas. Considera lo siguiente ...
Mary, PA, al CEO de una compañía muy grande, recibe una llamada frenética una noche antes de salir del trabajo ...
"Hola Mary, este es Bill de TI. Estamos detectando alguna actividad sospechosa en la red, y creemos que alguien está intentando piratear la cuenta de Terry (CEO). Su computadora está ejecutando la versión 3.6.4 de Anti- Hacker XYZ, y necesitamos actualizarlo urgentemente a 3.6.5. Estoy fuera del sitio, así que no puedo hacerlo. ¿Puedo enviarle un correo electrónico con el parche requerido y hacer que lo ejecute? "
Ahora Mary no conoce a Bill, pero ¿por qué ella? Hay 50 personas en el equipo de TI. Ella no los conoce a todos. Está llamando desde un móvil desconocido, pero de nuevo, eso no es raro. Ella sabe que no debe abrir archivos adjuntos desconocidos, pero esto no es desconocido, porque recibió esa llamada.
Un ejemplo muy ingenioso, pero potencialmente, con nada más que información fácilmente disponible en el sitio web de la empresa, un pirata informático ha convencido a la AP del CEO para que instale un troyano en la computadora del CEO.