Empleado completando la formación de concienciación sobre seguridad basada en roles en un portátil

Formación de concienciación sobre seguridad basada en funciones: Cómo proteger a su organización del phishing selectivo

En el complejo mundo empresarial de hoy en día, las organizaciones confían en empleados con diversas habilidades y responsabilidades para mantener el buen funcionamiento de las operaciones. Cada función aporta habilidades únicas y, por desgracia, esto es algo que explotan los ciberdelincuentes. Los estafadores se dirigen cuidadosamente a los empleados en función de sus funciones laborales, utilizando tácticas como el Business Email Compromise (BEC) y el spear-phishing para manipular la confianza y obtener acceso no autorizado.

Por qué los ciberdelincuentes se centran en las funciones de los empleados

Los estafadores saben que los ataques a medida son más convincentes. Al imitar las responsabilidades y el lenguaje de una función específica, aumentan la probabilidad de que los empleados hagan clic en enlaces maliciosos, compartan datos confidenciales o autoricen transacciones financieras. Entre las funciones que suelen ser objetivo de los ataques se incluyen:

  • Ejecutivos de nivel C y asistentes ejecutivos – A menudo en el punto de mira de las estafas de ballenas y BEC, los atacantes pretenden comprometer los correos electrónicos o extraer información confidencial de los altos ejecutivos.
  • Equipos de nóminas – Los empleados que gestionan las nóminas son el objetivo para desviar los pagos a cuentas fraudulentas.
  • Recursos Humanos (RRHH) – Los RRHH gestionan datos confidenciales del personal, lo que los convierte en un objetivo valioso para ataques de varios pasos como el fraude de nóminas y BEC.
  • Finanzas y cuentas por pagar – Este departamento gestiona fondos, lo que lo convierte en un objetivo obvio para el fraude financiero y las sofisticadas campañas de phishing.
  • Usuarios con privilegios – Con derechos de acceso elevados, estos empleados proporcionan a los ciberdelincuentes una ruta directa a las áreas sensibles de la red.

Lea también: Creación de un programa de concienciación sobre seguridad para su C-Suite

Cómo ayuda la formación de concienciación sobre seguridad basada en funciones

Al igual que los defraudadores adaptan los ataques a las funciones, las organizaciones pueden poner en práctica una formación de concienciación sobre la seguridad basada en las funciones para reducir el riesgo cibernético. Al personalizar la formación para cada función, los empleados adquieren conocimientos prácticos sobre las amenazas a las que tienen más probabilidades de enfrentarse, lo que les hace más vigilantes y resistentes.

Phishing simulado para una formación realista

Las campañas de phishing simuladas refuerzan la formación imitando las tácticas utilizadas por los ciberdelincuentes. Las simulaciones de phishing específicas para cada función ayudan a los empleados a reconocer las amenazas a medida antes de que se produzca un ataque real. Para que la formación basada en roles sea eficaz, las plataformas deben admitir plantillas de phishing personalizadas para cada función laboral.

Ejemplos de ataques de phishing basados en roles

  • Usuarios con privilegios – El grupo de piratas informáticos Lazarus ha atacado a administradores de sistemas con ofertas de trabajo falsas para obtener acceso a redes sensibles.
  • Cuentas por pagar – Facebook y Google perdieron más de 100 millones de dólares por ataques de spear-phishing dirigidos a empleados con funciones financieras.
  • Fraude de mandato salarial – Los estafadores envían correos electrónicos al personal de recursos humanos o de nóminas solicitando cambios en los datos de la cuenta bancaria, redirigiendo los salarios a sus propias cuentas.

Lea también: Creación de un programa de concienciación sobre seguridad para su C-Suite

Ventajas de la formación personalizada sobre concienciación en materia de seguridad

La formación personalizada basada en funciones proporciona:

  • Educación sobre las amenazas específicas de cada función – Los empleados aprenden sobre las estafas exactas que tienen como objetivo sus responsabilidades.
  • Mayor compromiso: la formación parece relevante y práctica, lo que mejora la retención y la aplicación.
  • Reducción del riesgo de infracciones: los empleados adquieren confianza para identificar las amenazas antes de que se produzcan daños.
  • Cumplimiento de la normativa: la formación puede ajustarse a las normas del sector y a los requisitos legales.
  • Cultura de seguridad proactiva – Fomenta una mentalidad de vigilancia y responsabilidad en toda la empresa.

Enseñando a los empleados a reconocer las amenazas específicas de sus funciones, las organizaciones pueden evitar costosas infracciones y mejorar la postura general de seguridad.

La formación en concienciación sobre seguridad basada en roles de MetaCompliance ofrece programas a medida y centrados en los departamentos para proteger a los empleados contra el phishing, la ingeniería social y otros riesgos cibernéticos. Explore nuestra plataforma de gestión de riesgos humanos, que incluye concienciación sobre seguridad automatizada, simulación avanzada de phishing y formación específica para mantener a salvo a su organización.

Preguntas frecuentes sobre la formación de concienciación sobre seguridad basada en funciones

¿Qué es la formación de concienciación sobre seguridad basada en roles?

Se trata de un enfoque de formación que adapta el contenido de la concienciación cibernética a las funciones y responsabilidades específicas de los empleados.