Cómo llevar a cabo una auditoría de contrainteligencia

Cuando usted quiere que su equipo de inteligencia competitiva para probar qué tan seguro es su organización, atacarlo mediante la realización de una auditoría de contrainteligencia. Crear un rojo equipo, un grupo de su propia gente le asigna la tarea de actuar como un agresor fuera de penetrar su seguridad y reportar cualquier áreas de vulnerabilidad. Así es cómo:

1. Arme su equipo rojo, la elección de las personas en la organización que son susceptibles de ser inteligente y persistente en la búsqueda y prueba de las zonas vulnerables.

   Considere incluir una o más personas que tienen el conocimiento técnico para poner a prueba la seguridad de la red y desenterrar información sobre su organización en línea.

2. Instruya al equipo a fingir que está trabajando para su mayor competidor y tratar de recoger información desde fuera del perímetro físico de su organización.

   Aquí hay unos ejemplos:

3. ¿Qué pueden ver desde el perímetro de su empresa? Nombres de clientes en los envíos? Pastillas de clientes de productos?

4. Si usted tiene una puerta de entrada, qué información puede que reunir de ver el tráfico dentro y fuera de su propiedad?

5. ¿Qué pueden aprender si siguen sus vehículos de la empresa cuando salen de su propiedad?

6. Instruya al equipo para evaluar los puntos de acceso externos u otros modos de ingreso que permitan el acceso no autorizado, sin ser detectados a la propiedad.

   En otras palabras, el equipo tiene que saber lo fácil que es para cualquiera que camine por la calle y obtener acceso a información interna o para las personas dentro de la empresa que no tienen autorización de seguridad para acceder a las áreas que requieren dicha autorización.

7. Instruya al equipo a realizar CI en su compañía para averiguar qué información es de acceso público y ver si cualquier información sensible ya está ahí.

   Utilice las mismas técnicas que el equipo de CI utiliza para desenterrar intel sobre los competidores. Si se filtró la información sensible, es posible que necesite para llevar a cabo una investigación interna para identificar el origen de las filtraciones y tapar los agujeros.

8. Desafía el equipo para desenterrar cualquier información potencialmente sensible que puede encontrar en el sitio web de su organización y buscando en la web.

   Este paso a menudo revela una necesidad crítica de-paja webs corporativas de las presentaciones más viejos, libros blancos, y folletos de información que se puede acceder mediante el uso de algoritmos de búsqueda simple en Google y otros motores de búsqueda.

9. Instruya al equipo a examinar todos los puntos de contacto externos de su organización - relaciones con los inversores, marketing, ventas, ingenieros, etc. para identificar cualquier departamentos o personas que son vulnerables a la fuga de información.

   Por ejemplo, por diseño, los grupos de usuarios de la industria y asociaciones comerciales son excelentes para el intercambio de información, pero cualquier empleado que participa en estos grupos pueden convertirse en una fuente de fugas. Ellos necesitan ser asesorado sobre qué decir y lo que es estrictamente fuera de límites. Lo mismo es válido para la gente de marketing y ventas que asisten a ferias comerciales.

Después de que el equipo ha envuelto su trabajo, interrogar al equipo y crear un informe detallado de las debilidades de seguridad. Presentar el informe al jefe ejecutivo o departamento que está a cargo de la seguridad.

El equipo de CI debe seguir vigilando Slideshare, Twitter, Facebook, Pinterest y otros sitios para compartir social para presentaciones, imágenes, y, potencialmente, revelar información corporativa y trabajar hacia la eliminación de dichos contenidos de la web. Recuerde, si su equipo de CI puede encontrarlo, así que puede que sus competidores.