Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

Automatización de la concienciación sobre la seguridad

Automatice fácilmente la formación sobre concienciación en materia de seguridad, phishing y políticas en cuestión de minutos

Liderazgo

Conozca al equipo directivo de MetaCompliance

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Mejores prácticas de formación en materia de seguridad para usuarios con privilegios

Usuarios con privilegios

sobre el autor

Compartir esta entrada

El usuario privilegiado de una red se llama así porque puede acceder a recursos sensibles y a menudo altamente confidenciales. Si un ciberdelincuente puede comprometer la cuenta de un usuario privilegiado, tiene las llaves del castillo corporativo.

Una investigación realizada por FINN Partners y Centrify reveló que en el 74% de los casos de violación de datos, el ataque comenzó en la puerta de un usuario con privilegios. La empresa de análisis Forrester establece que el 80% de las violaciones de datos están asociadas a credenciales privilegiadas.

No importa cuál sea la estadística más precisa, la cuestión es que el acceso privilegiado conduce a violaciones de datos. Por lo tanto, la formación en materia de seguridad para los usuarios con privilegios es vital.

He aquí las mejores prácticas para garantizar el éxito de esta formación.

Por qué hay que proteger el acceso de los usuarios con privilegios mediante la formación en materia de seguridad

Los usuarios con privilegios aportan un nivel de riesgo único a una organización. Este nivel de riesgo justifica centrarse en este grupo y crear una campaña de concienciación sobre la seguridad que tenga en cuenta el papel del usuario privilegiado en un ciberataque.

Los ciberdelincuentes tienen como objetivo a los usuarios privilegiados debido a sus derechos de acceso. Pero los usuarios privilegiados necesitan estos derechos de acceso para llevar a cabo su trabajo: este enigma es un escenario perfecto que permite el spear-phishing y otras estafas de ingeniería social.

Un solo error de un usuario privilegiado, y ¡bang! El hacker está en el sistema. Una vez en la red corporativa, los atacantes pueden utilizar diversas técnicas y tecnologías para moverse por la red, incluso mejorando los derechos de acceso,(movimiento lateral) para localizar datos y/o instalar malware como el ransomware.

Los ataques contra cuentas de usuarios privilegiados suelen implicar una gran cantidad de vigilancia. La información recopilada se utiliza para crear correos electrónicos de spear-phishing adaptados y muy creíbles. El trabajo híbrido ha exacerbado el problema, según informa el FBI en un aviso reciente. El aviso contiene detalles de estafas que implican ciberataques en varias partes contra usuarios privilegiados, los ciberdelincuentes utilizan el reconocimiento, el phishing de voz por teléfono (Vishing) y las páginas web falsas que luego se utilizan para robar los códigos de autenticación de segundo factor y eludir las medidas de seguridad como las VPN.

Esta compleja mezcla de inteligentes tácticas cibercriminales significa que la tecnología por sí sola no puede evitar un ciberataque contra un usuario con cuenta privilegiada. La concienciación en materia de seguridad es imprescindible para garantizar que estos usuarios no entreguen inadvertidamente las claves corporativas.

Tres importantes prácticas recomendadas en la formación sobre seguridad de usuarios con privilegios

Las siguientes tres líneas de base para las mejores prácticas se utilizan cuando se desarrolla un paquete de formación de concienciación sobre la seguridad para usuarios privilegiados:

Reconocer a los usuarios con privilegios como un rol de superusuario

La formación de concienciación sobre la seguridad basada en funciones es un marco para proporcionar formación a medida basada en un tipo de función en una organización. ¿Por qué es una buena idea la formación basada en roles? Los ciberdelincuentes ajustan sus tácticas para reflejar un rol de la empresa o apuntan a ciertos puestos corporativos para ciertos tipos de ciberataques y estafas.

Por ejemplo, una persona que trabaje en el departamento de contabilidad es una propuesta atractiva para un ciberdelincuente que quiera llevar a cabo una estafa de compromiso de correo electrónico empresarial (BEC) que engañe a un empleado para que transfiera dinero a la cuenta bancaria del estafador. Alguien con acceso privilegiado en RRHH puede ser el objetivo para obtener información de los empleados para estafas fiscales.

Los usuarios con privilegios deben ser considerados como un "rol de superusuario" y las campañas de formación en materia de concienciación sobre seguridad deben diseñarse para reflejar esto. A partir de aquí, se puede desarrollar un paquete personalizado de concienciación sobre el phishing y la ingeniería social que se ajuste a los tipos de ataques que se centran en los usuarios con acceso privilegiado.

Incluya la ingeniería social en su formación sobre seguridad

La ingeniería social se utiliza para construir el perfil de una organización y de un usuario privilegiado al que se dirige para que un ciberataque tenga éxito. Los recientes ataques de ransomware del grupo Lapsus$ contra múltiples empresas utilizaron la ingeniería social. Un post de Microsoft que analiza los ataques explica la importancia de la ingeniería social:

"(El grupo Lapsus$) centró sus esfuerzos de ingeniería social en reunir conocimientos sobre las operaciones empresariales de su objetivo. Dicha información incluye el conocimiento íntimo de los empleados, las estructuras de los equipos, las mesas de ayuda, los flujos de trabajo de respuesta a la crisis y las relaciones de la cadena de suministro. Ejemplos de estas tácticas de ingeniería social incluyen el envío de spam a un usuario objetivo con avisos de autenticación multifactor (MFA) y la llamada al servicio de asistencia de la organización para restablecer las credenciales de un objetivo."

Las estafas de ingeniería social adoptarán cualquier forma que el ciberdelincuente necesite para reunir esta información. Esto incluye el uso de las redes sociales, las llamadas a un servicio de asistencia y las llamadas generales a la oficina que ayudan a formar una relación; incluso las visitas a una oficina podrían utilizarse para construir la información necesaria para llevar a cabo un ataque. Los intentos de ingeniería social pueden llevar meses de trabajo para construir el perfil de un usuario privilegiado, en preparación para llevar a cabo un ataque exitoso. 

Asegúrese de que sus usuarios privilegiados comprendan los niveles a los que llegará un ciberdelincuente para hacer creíbles sus correos electrónicos de spear-phishing y sus sitios web falsos.

Concienciación sobre el Spear-Phishing

Sepa qué tipos de amenazas se centrarán en el rol de superusuario. Normalmente, las personas con acceso privilegiado serán el objetivo de ese acceso. Sin embargo, esto también puede significar que forman parte de una cadena de ataque más amplia y compleja.

Normalmente, se utiliza el spear-phishing o spear-vishing (phishing basado en la voz) para robar las credenciales de acceso de este grupo de usuarios. La información recopilada por los ciberdelincuentes durante la ingeniería social ayuda a crear escenarios creíbles, correos electrónicos y sitios web falsos para engañar al usuario privilegiado.

Ofrezca ejercicios de simulación de phishing adaptados y basados en roles para educar a los empleados sobre los trucos utilizados por los estafadores.

Cerrando la puerta al compromiso de cuentas privilegiadas

Una organización necesita dar a ciertos usuarios acceso privilegiado; de hecho, crear una jerarquía de acceso es una parte importante de la gestión de identidades y accesos. Pero los privilegios también son una vulnerabilidad potencial en la armadura de una organización; un hecho que no se les escapa a los ciberdelincuentes. Utilizando una base de buenas prácticas en la formación de concienciación sobre la seguridad para los usuarios con privilegios, se puede endurecer este blindaje y controlar los privilegios.

Cyber Security Awareness para Dummies | Formación de concienciación sobre la seguridad para proveedores de terceros

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes

Qué hacer si sospecha de un ataque de phishing

Qué hacer si sospecha de un ataque de phishing

Los ataques de suplantación de identidad (phishing) siguen siendo una de las ciberamenazas más frecuentes y dañinas, y plantean riesgos significativos tanto para los particulares como para las organizaciones. Según el informe IBM 2023
Leer más "