Produtos

Descubra o nosso treinamento personalizado em conscientização sobre cibersegurança e soluções para a gestão de riscos humanos – Ofereça à sua equipe as habilidades essenciais para se proteger contra as ameaças cibernéticas atuais. A nossa plataforma disponibiliza ferramentas avançadas, desde simuladores de phishing até à gestão integral de políticas, para fortalecer o seu pessoal, melhorar a segurança e garantir o pleno cumprimento das normas.

Conscientização cibersegurança

Programe a sua campanha anual de sensibilização em apenas alguns cliques

Simulação de phishing

Impeça os ataques de phishing no seu caminho com o premiado software de phishing

Conteúdos eLearning

Cyber Security eLearning para explorar a nossa biblioteca de eLearning premiada, adaptada a cada departamento

Conformidade normativa

Simplifique a gestão de políticas, privacidade e incidentes para uma conformidade total

Indústrias

Explore a versatilidade das nossas soluções em diversos sectores. Desde o dinâmico sector tecnológico até aos cuidados de saúde, descubra como as nossas soluções estão a fazer ondas em vários sectores. 


Serviços Financeiros

Criando uma primeira linha de defesa para organizações de serviços financeiros

Empresas

Uma solução de formação de sensibilização para a segurança para grandes empresas

Sector da Educação

Formação de sensibilização para a segurança no sector da educação

Indústria tecnológica

Transformar a formação em sensibilização para a segurança na indústria tecnológica

Governos

Uma solução de sensibilização para a segurança para os governos

Trabalhadores à distância

Incorporar uma cultura de sensibilização para a segurança - mesmo em casa

Trabalhadores do sector da saúde

Veja a nossa sensibilização para a segurança personalizada para profissionais de saúde

Conformidade NIS2

Apoie os seus requisitos de conformidade Nis2 com iniciativas de sensibilização para a cibersegurança

Recursos

Desde cartazes e políticas a guias definitivos e estudos de casos, os nossos recursos de sensibilização gratuitos podem ser utilizados para ajudar a melhorar a sensibilização para a cibersegurança na sua organização.

Visão geral dos recursos
Cyber Security Awareness For Dummies - MetaCompliance

Um recurso indispensável para criar uma cultura de ciberconsciência

Guia definitivo para phishing

Educar os funcionários sobre como detetar e prevenir ataques de phishing

Política anti-phishing

Criar uma cultura consciente da segurança e promover a sensibilização para as ameaças à cibersegurança

Terminologia de Segurança Cibernética A-Z

Glossário de termos de cibersegurança obrigatórios

Coisas grátis

Descarregue os nossos activos de sensibilização gratuitos para melhorar a sensibilização para a cibersegurança na sua organização

Guia de Segurança Cibernética para Principiantes Elearning

O melhor guia para implementar uma aprendizagem eficaz sobre cibersegurança

Cartazes de consciencialização gratuitos

Descarregue estes cartazes gratuitos para aumentar a vigilância dos empregados

Estudos de casos

Saiba como estamos a ajudar os nossos clientes a promover comportamentos positivos nas suas organizações

Auditoria de segurança em treinamento de cibersegurança

Audite a sua formação de sensibilização e compare a sua organização com as melhores práticas

Sobre

Com mais de 18 anos de experiência no mercado da cibersegurança e da conformidade, a MetaCompliance oferece uma solução inovadora para a sensibilização do pessoal para a segurança da informação e para a automatização da gestão de incidentes. A plataforma MetaCompliance foi criada para responder às necessidades dos clientes de uma solução única e abrangente para gerir os riscos pessoais relacionados com a cibersegurança, a proteção de dados e a conformidade.

Porquê escolher-nos

Saiba por que a Metacompliance é o parceiro de confiança para o treinamento de conscientização sobre segurança

Carreiras

Junte-se a nós e torne a cibersegurança pessoal

Equipa de liderança

Conheça a Equipa de Liderança da MetaCompliance

Especialistas em envolvimento de empregados

Facilitamos o envolvimento dos funcionários e a criação de uma cultura de consciencialização cibernética

MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

Melhores práticas para a segurança de usuários privilegiados

Treinamento de cibersegurança para usuários privilegiados

sobre o autor

Partilhar esta publicação

O utilizador privilegiado de uma rede é assim chamado porque pode aceder a recursos sensíveis e muitas vezes altamente confidenciais. Se um cibercriminoso pode comprometer a conta de um utilizador privilegiado, ele tem as chaves do castelo corporativo.

Uma pesquisa realizada pela FINN Partners and Centrify revelou que, em 74% dos casos de violação de dados, o ataque começou à porta de um utilizador privilegiado. A empresa de análise Forrester define a taxa ainda mais alta, com 80% das violações de dados associadas a credenciais privilegiadas.

Não importa qual seja o estatuto mais preciso, a questão é que o acesso privilegiado conduz a violações de dados. Por conseguinte, a Formação em Sensibilização para a Segurança para utilizadores privilegiados é vital.

Aqui estão as melhores práticas para garantir o sucesso desta formação.

Porque é que o acesso de utilizadores privilegiados deve ser protegido com formação de sensibilização para a segurança

Os utilizadores privilegiados trazem um nível de risco único a uma organização. Este nível de risco justifica a concentração neste grupo e a construção de uma campanha de sensibilização para a segurança que considere o papel do utilizador privilegiado num ataque cibernético.

Os cibercriminosos visam os utilizadores privilegiados devido aos seus direitos de acesso. Mas os utilizadores privilegiados precisam desses direitos de acesso para realizar o seu trabalho: este enigma é um cenário perfeito que permite o spear-phishing e outras fraudes de engenharia social.

Um único erro de um utilizador privilegiado, e bang! O hacker está no sistema. Uma vez na rede da empresa, os atacantes podem utilizar várias técnicas e tecnologias para se deslocarem através da rede, melhorando mesmo os direitos de acesso (movimento lateral), para localizar dados e/ou instalar malware, como o ransomware.

Os ataques contra contas de utilizadores privilegiados envolvem frequentemente uma grande quantidade de vigilância. As informações recolhidas são utilizadas para criar mensagens de correio eletrónico de spear-phishing personalizadas e altamente credíveis. O trabalho híbrido exacerbou o problema, de acordo com o FBI num aviso recente. O aviso contém pormenores de esquemas que envolvem ataques cibernéticos em várias partes contra utilizadores privilegiados, cibercriminosos que utilizam o reconhecimento, o phishing por voz via telefone (Vishing) e páginas Web falsas que são depois utilizadas para roubar códigos de autenticação de segundo fator e contornar medidas de segurança como as VPN.

Esta mistura complexa de tácticas inteligentes de cibercriminalidade significa que a tecnologia por si só não pode impedir um ataque cibernético contra um utilizador de conta privilegiada. A consciência da segurança é um imperativo para assegurar que estes utilizadores não entreguem inadvertidamente as chaves da empresa.

Três Melhores Práticas Importantes na Formação de Sensibilização dos Utilizadores Privilegiados para a Segurança

As três linhas de base seguintes para as melhores práticas são utilizadas no desenvolvimento de um pacote de Formação de Sensibilização para a Segurança para utilizadores privilegiados:

1. Reconhecer os utilizadores privilegiados como uma função de superutilizador

A formação de sensibilização para a segurança baseada no papel é um quadro para fornecer formação à medida com base num tipo de papel numa organização. Porque é que a formação baseada em papéis é uma boa ideia? Os cibercriminosos ajustam as suas tácticas para reflectir um papel empresarial ou visam certos trabalhos empresariais para certos tipos de ataques e esquemas cibernéticos.

Por exemplo, uma pessoa que trabalhe em contas a pagar é uma proposta atractiva para um cibercriminoso que pretenda levar a cabo uma burla de Business Email Compromise (BEC) que engane um empregado para que este transfira dinheiro para a conta bancária do burlão. Uma pessoa com acesso privilegiado nos RH pode ser alvo de uma tentativa de obter informações sobre os empregados para aplicar fraudes fiscais.

Os utilizadores privilegiados devem ser vistos como um "papel de superutilizador" e as campanhas de Formação de Sensibilização para a Segurança devem ser concebidas para reflectir isto. A partir daqui, é possível desenvolver um pacote personalizado de phishing e de sensibilização de engenharia social que se adapte aos tipos de ataques que se concentram em utilizadores de acesso privilegiado.

2. Inclua a engenharia social na sua formação de sensibilização para a segurança

A engenharia social é utilizada para construir o perfil de uma organização e de um utilizador privilegiado para que um ataque cibernético seja bem sucedido. Os recentes ataques de resgate do grupo Lapsus$ contra múltiplas empresas utilizaram a engenharia social. Um post da Microsoft que analisa os ataques explica a importância da engenharia social:

"(o grupo Lapsus$) concentrou os seus esforços de engenharia social para reunir conhecimentos sobre as operações comerciais do seu alvo. Tal informação inclui conhecimento íntimo sobre empregados, estruturas de equipa, balcões de atendimento, fluxos de trabalho de resposta a crises, e relações na cadeia de fornecimento. Exemplos destas tácticas de engenharia social incluem spamming de um utilizador alvo com autenticação multifactor (MFA) e chamadas ao help desk da organização para redefinir as credenciais de um alvo".

Os esquemas de engenharia social tomarão qualquer forma que o cibercriminoso necessite para reunir esta inteligência. Isto inclui a utilização de meios de comunicação social, chamadas para um help desk, e chamadas gerais de escritório que ajudam a formar uma relação; até mesmo visitas a um escritório poderiam ser utilizadas para construir a informação necessária para levar a cabo um ataque. As tentativas de engenharia social podem levar meses de trabalho para construir o perfil de um utilizador privilegiado, em prontidão para levar a cabo um ataque bem sucedido. 

Assegure-se de que os seus utilizadores privilegiados compreendem os níveis a que um cibercriminoso irá chegar, a fim de tornar credíveis os seus e-mails de phishing de lança e os seus sites de falsificação.

3. Sensibilização para o Spear-Phishing

Saber que tipos de ameaças se concentrarão no papel de superutilizador. Tipicamente, as pessoas com acesso privilegiado serão visadas para esse acesso. Contudo, isto pode também significar que fazem parte de uma cadeia de ataque mais vasta e complexa.

Normalmente, o spear-phishing ou spear-vishing (phishing por voz) é utilizado para roubar as credenciais de login deste grupo de utilizadores. A inteligência recolhida pelos cibercriminosos durante a engenharia social ajuda a criar cenários credíveis, emails, e websites falsos para enganar o utilizador privilegiado.

Forneça exercícios de simulação de phishing personalizados e baseados em funções para educar os funcionários sobre os truques utilizados pelos burlões.

Leia mais sobre spear-phishing nestes artigos: "O que é spear phishing e como evitá-lo" e "Identificar um ataque de spear phishing".

Fechamento da Porta em Compromisso de Conta Privilegiada

Uma organização precisa de dar a certos utilizadores acesso privilegiado; de facto, a criação de uma hierarquia de acesso é uma parte importante da identidade e da gestão do acesso. Mas o privilégio é também uma potencial vulnerabilidade na blindagem de uma organização; um facto que não se perde com os cibercriminosos. Ao utilizar uma base de melhores práticas na Formação de Sensibilização para a Segurança para utilizadores privilegiados, pode endurecer esta blindagem e privilégio de controlo.

Para reforçar verdadeiramente a sua postura de segurança, é essencial reconhecer o papel vital que os executivos seniores desempenham na criação de uma cultura de cibersegurança. A sua liderança, empenho e envolvimento ativo em iniciativas de segurança podem definir o tom para toda a organização. Ao dar prioridade à segurança nos níveis superiores de gestão, as empresas podem promover uma cultura de consciencialização, vigilância e responsabilidade.

Explore a forma como os executivos seniores podem defender a cibersegurança e liderar o caminho para um ambiente organizacional mais seguro.

Outros artigos sobre a formação em sensibilização para a cibersegurança que poderão ser do seu interesse