Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

Automatización de la concienciación sobre la seguridad

Automatice fácilmente la formación sobre concienciación en materia de seguridad, phishing y políticas en cuestión de minutos

Liderazgo

Conozca al equipo directivo de MetaCompliance

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Cómo reducir el cyber security risk en la empresa con estrategias humanas

Security awareness training | Cómo reducir el cyber security risk con estrategias humanas

sobre el autor

Compartir esta entrada

El "human in the machine" (ser humano en la máquina) es una consideración fundamental al crear una estrategia eficaz para minimizar el cyber security risk. Sin embargo, esta afirmación tiene muchos aspectos, ya que nuestros empleados son una parte vital del éxito de nuestra organización; en lugar de repartir culpas, debemos separar lo malicioso de lo accidental, detectando lo primero y previniendo lo segundo.

Mediante una formación centrada en la concienciación sobre la seguridad, se pueden mitigar los factores humanos que conducen a los fallos humanos. He aquí cómo y por qué se puede gestionar el riesgo de ciberseguridad a través de la concienciación sobre la seguridad.

Cyber security risk: Por qué los factores humanos provocan riesgos de ciberseguridad

El factor humano en el riesgo de ciberseguridad suele denominarse "amenaza interna". El "insider" adopta la forma de empleados y no empleados, como los consultores. El simple hecho de que las personas con información privilegiada formen parte de los procesos de una organización y utilicen los recursos informáticos con permiso, hace que sea difícil abordar los fallos humanos que conducen al riesgo de ciberseguridad.

El riesgo de ciberseguridad relacionado con información privilegiada es un problema importante: un informe sobre amenazas internas de 2020 elaborado por Cyber Security Insiders señala que el 68% de las organizaciones se sienten "entre moderada y extremadamente vulnerables" a las amenazas internas. Esto no es sorprendente cuando se observan algunos de los titulares de ciberataques del año pasado, como el ataque a Twitter de 2020, en el que se accedió a cuentas de Twitter de alto perfil, incluida la de Barack Obama, y se utilizaron para engañar a los usuarios de Twitter para que realizaran transacciones ilícitas de bitcoin. Las pérdidas se estiman en unos 180 millones de dólares (129 millones de libras) y el precio de las acciones de Twitter se desplomó un 4%. El pirateo consistió en la suplantación de identidad de empleados de Twitter y el robo de credenciales privilegiadas.

Los factores humanos son utilizados por los ciberdelincuentes para efectuar accesos no autorizados, robar credenciales e infectar los sistemas informáticos y los puntos finales con malware como el ransomware. Sin el efecto humano en la máquina, la ciberdelincuencia sería mucho más difícil.

Los factores humanos que conducen a los fallos humanos

Según un estudio de IBM, las tres principales áreas en las que hay que centrar la atención a la hora de crear estrategias de seguridad para mitigar los riesgos de ciberseguridad son:

  1. Phishing
  2. Escanear y explotar
  3. Uso no autorizado de credenciales

Los tres vectores tienen un elemento que implica un factor humano en algún punto de la cadena de ataque.

Phishing y spear-phishing - factores humanos: Esto requiere que un objetivo humano haga clic en un enlace o abra un archivo adjunto infectado para iniciar la cadena de infección. A menudo, el phishing se utiliza para atacar a usuarios con privilegios (spear phishing) con el fin de obtener sus credenciales. Los usuarios con privilegios tienen acceso a los recursos más importantes: el robo de credenciales privilegiadas es el cáliz de oro de la piratería informática. Aquí entra en juego un factor humano, como la respuesta automática al clic.

Escanear y explotar - fallo humano: los hackers utilizan cualquier cosa que les facilite la vida y poder escanear automáticamente las vulnerabilidades es un vector útil para la infección de malware. Los componentes de los sistemas informáticos, como los servidores web, las bases de datos y las aplicaciones en la nube, pueden acabar mal configurados si no se conoce bien el impacto de una seguridad deficiente. Las aplicaciones y los componentes web inseguros dan lugar a agujeros de seguridad que los hackers pueden explotar. En este caso, el fallo humano conduce al riesgo de ciberseguridad.

Uso no autorizado de credenciales - fallos y factores humanos: el robo de credenciales conduce a un acceso no autorizado a los sistemas y recursos informáticos. Las formas en que las credenciales pueden ser utilizadas sin autorización incluyen:

  • Shoulder surfing: las credenciales se roban cuando una persona malintencionada observa a alguien introducir una contraseña.
  • Phishing: engañar a una persona para que introduzca sus credenciales de acceso en una página de acceso falsa.
  • Ingeniería social: engañar a una persona para que entregue una credencial de inicio de sesión por teléfono, medios sociales o utilizando otros métodos de comunicación, como correos electrónicos, mesas de ayuda y textos.

En los tres vectores de piratería más exitosos, tanto el factor humano como los fallos humanos ocupan un lugar destacado. El riesgo de ciberseguridad se concentra en nuestros empleados y no empleados, pero ¿cómo podemos reducir este riesgo?

Mejores prácticas para evitar que los factores humanos se conviertan en fallos humanos

Un estudio de Kaspersky, centrado en el papel que desempeñan los factores humanos en el riesgo de la ciberseguridad, descubrió que el "personal descuidado o desinformado"" es la segunda causa más probable de una violación grave de la seguridad; la infección por malware es la primera, pero a menudo es causada a su vez por personal descuidado o desinformado. Con los altos niveles de riesgo asociados a los factores humanos, reducir los fallos es vital para mitigar el riesgo de seguridad.

Destacan dos áreas que abarcan tanto al personal descuidado como al desinformado:

Decisiones descuidadas que conducen a un fallo de seguridad: tomar malas decisiones de seguridad, como desconfigurar los sistemas y componentes de TI, o hacer clic en un enlace de phishing antes de pensar, son fallos humanos que conducen a un mayor riesgo de ciberseguridad. La mala configuración de los sistemas y componentes de TI es un ejemplo de decisión de seguridad descuidada. Hacer clic en un enlace de phishing es otro. Tanto el personal de TI como el que no lo es son capaces de tomar decisiones descuidadas que conducen a fallos de seguridad. Garantizar que todo el personal, tanto técnico como no técnico, sea consciente del impacto de sus decisiones, es una forma fundamental de mitigar el riesgo de ciberseguridad.

El personal desinformado provoca fallos de seguridad: si el personal no es consciente de sus acciones, ¿cómo puede conocer las consecuencias para la seguridad? Las empresas forman habitualmente al personal en otras áreas de la empresa, y esto debería extenderse a la formación en materia de seguridad. La formación del personal en materia de seguridad incluye la comprensión del funcionamiento del phishing, así como de otros fallos de seguridad comunes, como el uso compartido de contraseñas y el envío erróneo de correos electrónicos. Según el Informe de Verizon sobre Investigación de Fallas de Datos (DBIR), los errores de envío siguen aumentando como forma de error humano.

Mitigación del factor humano en los riesgos de ciberseguridad

El estudio de Kaspersky identificó un elemento crucial del fracaso humano en materia de seguridad: el afán por ocultar los errores. El estudio descubrió que en el 40% de las empresas, los empleados ocultaban los incidentes de seguridad. Esta cifra debería hacer saltar las alarmas y hacer que la gente intensifique su formación en materia de seguridad. Incluso si el empleado entendía la implicación de un evento de seguridad, se sentía obligado a ocultar la información. Esto plantea la pregunta de por qué, con una respuesta en dos partes:

Hacer de la seguridad una cultura: puede sonar a cliché, pero si la noción de seguridad está arraigada en su cultura corporativa, es menos probable que el personal se sienta abrumado y temeroso cuando ocurra algo. La cultura de la seguridad se crea mediante la formación de concienciación sobre la seguridad para ayudar a formar hábitos de seguridad positivos en los empleados.

Facilite la notificación de un incidente de seguridad: es necesario notificar los incidentes para que pueda actuar sobre ellos el personal cualificado adecuado que refleje el nivel de riesgo. Un sistema de notificación, diseñado para que la notificación sea superfácil para los empleados, eliminará el dolor de la notificación de incidentes y hará que sea más probable que se produzca.

Los factores humanos provocan fallos humanos. Mediante la formación en ciberseguridad, las organizaciones pueden abordar los comportamientos humanos que provocan errores por descuido y malas decisiones, reduciendo así el riesgo de ciberseguridad.

riesgo de ciberseguridad

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes