Productos

Descubra nuestra formación personalizada en concienciación sobre ciberseguridad y las soluciones para la gestión del riesgo humano – Brinde a su equipo las habilidades esenciales para protegerse de las amenazas cibernéticas actuales. Nuestra plataforma pone a su disposición herramientas avanzadas, desde simuladores de phishing hasta la gestión integral de políticas, para fortalecer a su personal, mejorar la seguridad y garantizar el cumplimiento total de las normativas.

Concienciación ciberseguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación phishing

Detenga los ataques de phishing en seco con el galardonado software de phishing

Contenidos eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Cumplimiento normativo

Simplifique la gestión de políticas, privacidad e incidencias para un cumplimiento total de la normativa

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Recursos
Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Carreras

Únase a nosotros y personalice la ciberseguridad

Equipo directivo

Conozca al equipo directivo de MetaCompliance

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Mejores prácticas para la seguridad de los usuarios privilegiados

Formación en ciberseguridad para usuarios privilegiados

sobre el autor

Compartir esta entrada

El usuario privilegiado de una red se llama así porque puede acceder a recursos sensibles y a menudo altamente confidenciales. Si un ciberdelincuente puede comprometer la cuenta de un usuario privilegiado, tiene las llaves del castillo corporativo.

Una investigación realizada por FINN Partners and Centrify reveló que en el 74% de los casos de violación de datos, el ataque comenzó en la puerta de un usuario con privilegios. La firma de análisis Forrester establece que el 80% de las violaciones de datos están asociadas a credenciales privilegiadas.

No importa cuál sea la estadística más precisa, la cuestión es que el acceso privilegiado conduce a violaciones de datos. Por lo tanto, la formación en materia de seguridad para los usuarios con privilegios es vital.

He aquí las mejores prácticas para garantizar el éxito de esta formación.

Por qué el acceso de usuarios con privilegios debe protegerse con formación sobre concienciación en materia de seguridad

Los usuarios con privilegios aportan un nivel de riesgo único a una organización. Este nivel de riesgo justifica centrarse en este grupo y crear una campaña de concienciación sobre la seguridad que tenga en cuenta el papel del usuario privilegiado en un ciberataque.

Los ciberdelincuentes atacan a los usuarios privilegiados por sus derechos de acceso. Pero los usuarios privilegiados necesitan estos derechos de acceso para llevar a cabo su trabajo: este enigma es un escenario perfecto que permite el spear-phishing y otras estafas de ingeniería social.

Un solo error de un usuario privilegiado, y ¡bang! El hacker está en el sistema. Una vez en la red corporativa, los atacantes pueden utilizar diversas técnicas y tecnologías para moverse por la red, incluso mejorando los derechos de acceso (movimiento lateral), para localizar datos y/o instalar malware como el ransomware.

Los ataques contra cuentas de usuarios privilegiados suelen implicar una gran cantidad de vigilancia. La inteligencia recopilada se utiliza para crear correos electrónicos de spear-phishing a medida y muy creíbles. El trabajo híbrido ha agravado el problema, según informa el FBI en un aviso reciente. El aviso contiene detalles de estafas que implican ciberataques en varias partes contra usuarios privilegiados, ciberdelincuentes que utilizan el reconocimiento, el phishing de voz por teléfono (Vishing) y páginas web falsas que luego se utilizan para robar códigos de autenticación de segundo factor y eludir medidas de seguridad como las VPN.

Esta compleja mezcla de inteligentes tácticas cibercriminales significa que la tecnología por sí sola no puede evitar un ciberataque contra un usuario con cuenta privilegiada. La concienciación en materia de seguridad es imprescindible para garantizar que estos usuarios no entreguen inadvertidamente las claves corporativas.

Tres importantes prácticas recomendadas en la formación sobre seguridad de usuarios con privilegios

Las siguientes tres líneas de base para las mejores prácticas se utilizan cuando se desarrolla un paquete de formación de concienciación sobre la seguridad para usuarios privilegiados:

1. Reconocer a los usuarios con privilegios como rol de superusuario

La formación de concienciación sobre la seguridad basada en funciones es un marco para proporcionar formación a medida basada en un tipo de función en una organización. ¿Por qué es una buena idea la formación basada en roles? Los ciberdelincuentes ajustan sus tácticas para reflejar un rol de la empresa o apuntan a ciertos puestos corporativos para ciertos tipos de ciberataques y estafas.

Por ejemplo, alguien que trabaje en el departamento de contabilidad es una propuesta atractiva para un ciberdelincuente que quiera llevar a cabo una estafa de compromiso de correo electrónico empresarial (BEC) que engañe a un empleado para que transfiera dinero a la cuenta bancaria del estafador. Alguien con acceso privilegiado en RRHH puede ser el objetivo para obtener información de los empleados para estafas fiscales.

Los usuarios con privilegios deben ser considerados como un "rol de superusuario" y las campañas de formación en materia de concienciación sobre seguridad deben diseñarse para reflejar esto. A partir de aquí, se puede desarrollar un paquete personalizado de concienciación sobre el phishing y la ingeniería social que se ajuste a los tipos de ataques que se centran en los usuarios con acceso privilegiado.

2. Incluya la ingeniería social en su formación de concienciación sobre seguridad

La ingeniería social se utiliza para construir el perfil de una organización y de un usuario privilegiado al que se dirige para que un ciberataque tenga éxito. Los recientes ataques de ransomware del grupo Lapsus$ contra múltiples empresas utilizaron la ingeniería social. Un post de Microsoft que analiza los ataques explica la importancia de la ingeniería social:

"(El grupo Lapsus$) centró sus esfuerzos de ingeniería social en reunir conocimientos sobre las operaciones empresariales de su objetivo. Dicha información incluye el conocimiento íntimo de los empleados, las estructuras de los equipos, las mesas de ayuda, los flujos de trabajo de respuesta a la crisis y las relaciones de la cadena de suministro. Ejemplos de estas tácticas de ingeniería social incluyen el envío de spam a un usuario objetivo con avisos de autenticación multifactor (MFA) y la llamada al servicio de asistencia de la organización para restablecer las credenciales de un objetivo."

Las estafas de ingeniería social adoptarán cualquier forma que el ciberdelincuente necesite para reunir esta información. Esto incluye el uso de las redes sociales, las llamadas a un servicio de asistencia y las llamadas generales a la oficina que ayudan a formar una relación; incluso las visitas a una oficina podrían utilizarse para construir la información necesaria para llevar a cabo un ataque. Los intentos de ingeniería social pueden llevar meses de trabajo para construir el perfil de un usuario privilegiado, en preparación para llevar a cabo un ataque exitoso. 

Asegúrese de que sus usuarios privilegiados comprendan los niveles a los que llegará un ciberdelincuente para hacer creíbles sus correos electrónicos de spear-phishing y sus sitios web falsos.

3. Concienciación sobre Spear-Phishing

Sepa qué tipos de amenazas se centrarán en el rol de superusuario. Normalmente, las personas con acceso privilegiado serán el objetivo de ese acceso. Sin embargo, esto también puede significar que forman parte de una cadena de ataque más amplia y compleja.

Normalmente, se utiliza el spear-phishing o spear-vishing (phishing basado en la voz) para robar las credenciales de acceso de este grupo de usuarios. La información recopilada por los ciberdelincuentes durante la ingeniería social ayuda a crear escenarios creíbles, correos electrónicos y sitios web falsos para engañar al usuario privilegiado.

Proporcione ejercicios de simulación de phishing personalizados y basados en roles para educar a los empleados sobre los trucos utilizados por los estafadores.

Lea más sobre spear-phishing en estos artículos: "Qué es el spear-phishing y cómo evitarlo" e "Identificación de un ataque de spear-phishing".

Cerrando la puerta al compromiso de cuentas privilegiadas

Una organización necesita dar a ciertos usuarios acceso privilegiado; de hecho, crear una jerarquía de acceso es una parte importante de la gestión de identidades y accesos. Pero los privilegios también son una vulnerabilidad potencial en la armadura de una organización; un hecho que no se les escapa a los ciberdelincuentes. Utilizando una base de buenas prácticas en la formación de concienciación sobre la seguridad para los usuarios con privilegios, se puede endurecer este blindaje y controlar los privilegios.

Para reforzar realmente su postura de seguridad, es esencial reconocer el papel vital que desempeñan los altos ejecutivos en la creación de una cultura cibersegura. Su liderazgo, compromiso y participación activa en las iniciativas de seguridad pueden marcar la pauta para toda la organización. Al dar prioridad a la seguridad en los niveles superiores de la dirección, las empresas pueden fomentar una cultura de concienciación, vigilancia y responsabilidad.

Explore cómo los ejecutivos pueden defender la ciberseguridad y liderar el camino hacia un entorno organizativo más seguro.

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes