Voltar
Formazione Cybersecurity per Aziende | MetaCompliance

Produtos

Descubra o nosso conjunto de soluções personalizadas de formação em sensibilização para a segurança, concebidas para capacitar e educar a sua equipa contra as ciberameaças modernas. Desde a gestão de políticas a simulações de phishing, a nossa plataforma equipa a sua força de trabalho com os conhecimentos e as competências necessárias para proteger a sua organização.

eLearning em Cibersegurança

Cyber Security eLearning para explorar a nossa biblioteca de eLearning premiada, adaptada a cada departamento

Automação da Sensibilização para a Segurança

Programe a sua campanha anual de sensibilização em apenas alguns cliques

Simulação de phishing

Impeça os ataques de phishing no seu caminho com o premiado software de phishing

Gestão de políticas

Centralize as suas políticas num único local e faça uma gestão sem esforço dos ciclos de vida das políticas

Gestão de privacidade

Controlar, monitorizar e gerir a conformidade com facilidade

Gestão de Incidentes

Assuma o controlo dos incidentes internos e corrija o que é importante

Voltar
Indústria

Indústrias

Explore a versatilidade das nossas soluções em diversos sectores. Desde o dinâmico sector tecnológico até aos cuidados de saúde, descubra como as nossas soluções estão a fazer ondas em vários sectores. 


Serviços Financeiros

Criando uma primeira linha de defesa para organizações de serviços financeiros

Governos

Uma solução de sensibilização para a segurança para os governos

Empresas

Uma solução de formação de sensibilização para a segurança para grandes empresas

Trabalhadores à distância

Incorporar uma cultura de sensibilização para a segurança - mesmo em casa

Sector da Educação

Formação de sensibilização para a segurança no sector da educação

Trabalhadores do sector da saúde

Veja a nossa sensibilização para a segurança personalizada para profissionais de saúde

Indústria tecnológica

Transformar a formação em sensibilização para a segurança na indústria tecnológica

Conformidade NIS2

Apoie os seus requisitos de conformidade Nis2 com iniciativas de sensibilização para a cibersegurança

Voltar
Recursos

Recursos

Desde cartazes e políticas a guias definitivos e estudos de casos, os nossos recursos de sensibilização gratuitos podem ser utilizados para ajudar a melhorar a sensibilização para a cibersegurança na sua organização.

Cyber Security Awareness For Dummies - MetaCompliance

Um recurso indispensável para criar uma cultura de ciberconsciência

Guia de Segurança Cibernética para Principiantes Elearning

O melhor guia para implementar uma aprendizagem eficaz sobre cibersegurança

Guia definitivo para phishing

Educar os funcionários sobre como detetar e prevenir ataques de phishing

Cartazes de consciencialização gratuitos

Descarregue estes cartazes gratuitos para aumentar a vigilância dos empregados

Política Anti Phishing

Criar uma cultura consciente da segurança e promover a sensibilização para as ameaças à cibersegurança

Estudos de casos

Saiba como estamos a ajudar os nossos clientes a promover comportamentos positivos nas suas organizações

Terminologia de Segurança Cibernética A-Z

Glossário de termos de cibersegurança obrigatórios

Modelo de maturidade comportamental da cibersegurança

Audite a sua formação de sensibilização e compare a sua organização com as melhores práticas

Coisas grátis

Descarregue os nossos activos de sensibilização gratuitos para melhorar a sensibilização para a cibersegurança na sua organização

Voltar
MetaCompliance | Formazione Cybersicurezza per Aziende

Sobre

Com mais de 18 anos de experiência no mercado da cibersegurança e da conformidade, a MetaCompliance oferece uma solução inovadora para a sensibilização do pessoal para a segurança da informação e para a automatização da gestão de incidentes. A plataforma MetaCompliance foi criada para responder às necessidades dos clientes de uma solução única e abrangente para gerir os riscos pessoais relacionados com a cibersegurança, a proteção de dados e a conformidade.

Porquê escolher-nos

Saiba por que a Metacompliance é o parceiro de confiança para o treinamento de conscientização sobre segurança

Especialistas em envolvimento de empregados

Facilitamos o envolvimento dos funcionários e a criação de uma cultura de consciencialização cibernética

Automação da Sensibilização para a Segurança

Automatize facilmente a formação de sensibilização para a segurança, o phishing e as políticas em minutos

MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

Porque os utilizadores privilegiados são um grande risco de segurança

utilizadores privilegiados

sobre o autor

Partilhar esta publicação

Os utilizadores privilegiados têm acesso adicional a recursos empresariais e sistemas informáticos; estas contas estão abertas a abusos, contratempos e exploração, e são um tipo de ameaça privilegiada.

Estes direitos de acesso adicionais significaram que um recente inquérito Bitglass "Spies in the Enterprise" identificou os utilizadores privilegiados como a maior fonte de risco dentro de uma organização.

Um relatório da Gurucul, concorda com isto, concluindo que 63% das organizações acreditam que os utilizadores privilegiados de TI representam a maior ameaça interna.

Estes dois relatórios não são os primeiros a descobrir que os utilizadores privilegiados são uma fonte de risco de segurança e certamente não serão os últimos. Mas porque é que este grupo de utilizadores deixa uma organização aberta a ameaças à segurança e o que pode ser feito para mitigar o risco de um utilizador privilegiado?

O Utilizador Privilegiado na Máquina

A pista para as ameaças à segurança colocadas por utilizadores privilegiados está no nome - privilegiado.

É dado acesso privilegiado a certos tipos de papéis ou grupos dentro de uma organização. Os indivíduos que possuem acesso privilegiado, necessitam de direitos de acesso adicionais a utilizadores normais porque gerem infra-estruturas de TI, ou necessitam de acesso a recursos empresariais sensíveis, etc.

Mas, infelizmente, uma vez atribuído o acesso privilegiado, estes utilizadores têm as chaves do seu reino empresarial.

O problema com o privilégio é que ele cria uma espada de dois gumes. Por um lado, estes utilizadores precisam de direitos adicionais para aceder a áreas seguras e sensíveis, mas estes direitos têm o potencial de serem abusados, mal utilizados, ou desviados.

Como conciliar esta ronda é uma das áreas mais difíceis com que um departamento de TI deve lidar. Algumas das questões com utilizadores de acesso privilegiado incluem:

Utilizadores de Acesso Privilegiado são um alvo para os Cibercriminosos

Aqueles que possuem a chave dos dados são os alvos principais. Os cibercriminosos concentrar-se-ão em determinados papéis e grupos dentro de uma organização para tirar partido dos seus direitos de acesso. Se um cibercriminoso conseguir obter esses direitos de acesso, pode deslocar-se por uma organização, entrando em áreas sensíveis de uma rede, sem ser detectado.

Devido a isto, os utilizadores privilegiados tornam-se alvos de ataques de caça submarina. Os hackers que criam campanhas de spear-phishing conhecem bem o seu alvo. Passam o tempo a compreender quem são e a que é que desencadeia a sua reacção.

Departamentos como as contas a pagar, por exemplo, são frequentemente vítimas de ataques de pesca submarina, porque podem potencialmente aceder a contas financeiras e transferir dinheiro. Para pôr isto em perspectiva, um relatório de 2019 da Symantec descobriu que os e-mails de pesca submarina eram utilizados por 65% de todos os grupos conhecidos que realizavam ataques cibernéticos direccionados.

Gestão e Controlo de Conformidade

Os utilizadores privilegiados têm frequentemente acesso a permissões e controlos de segurança. Com o acesso vem o controlo. Se um utilizador privilegiado, mesmo inadvertidamente, fizer uma alteração a uma permissão ou configuração de segurança, isto pode mover uma organização para fora do cumprimento de regulamentos como o GDPR do Reino Unido, DPA2018, PCI, etc.

Mudanças e Evoluções dos Privilégios

Os utilizadores privilegiados deslocam-se frequentemente por uma organização. Ao fazê-lo, os seus direitos de acesso podem ter de mudar. No entanto, fazer esta mudança pode ser complicado se não for cuidadosamente monitorizado.

Além disso, os que saem da empresa, que têm acesso privilegiado, podem muitas vezes cair pela rede de segurança, deixando uma empresa enquanto ainda mantém direitos de acesso privilegiado. Um relatório do Delta de Haia descobriu que aqueles que deixam uma empresa representam a maior ameaça interna à exposição de dados. Além disso, o relatório concluiu que 89% dos que abandonam a empresa ainda têm acesso aos dados após deixarem a organização.

Formas de prevenir abusos e contratempos de utilizadores privilegiados

Existem várias formas de desarrolhar as ameaças internas associadas a utilizadores privilegiados. Aqui estão algumas das mais eficazes:

Gerir Privilégios

Há um princípio conhecido como "menor privilégio" que é um princípio fundamental de controlo numa organização. É algo do género: dê aos seus empregados apenas as permissões necessárias para fazer o seu trabalho, e não mais.

Uma forma de fazer este trabalho é ser granular na forma como se estabelecem as permissões. Assim, por exemplo, solicitar permissões numa base per capita em vez de global e estabelecer direitos de acesso com base num utilizador em vez de num grupo inteiro de utilizadores. Quanto mais direitos der a alguém, maior será o risco.

Formar Utilizadores Privilegiados Sobre Engenharia Social

Porque os utilizadores privilegiados estão no centro das atenções dos cibercriminosos, estão frequentemente sob ataque utilizando a engenharia social. Os cibercriminosos utilizam normalmente a recolha e vigilância de informações, visando utilizadores privilegiados, para se prepararem para um ataque ou esquema ou para informar uma campanha de pesca submarina.

Eduque os seus utilizadores privilegiados sobre o elevado risco associado aos seus direitos de acesso e como detectar os sinais de engenharia social usados para atingir os utilizadores privilegiados.

Educar Utilizadores Privilegiados em Truques e Tácticas de Phishing

As campanhas de Spear-phishing que visam utilizadores privilegiados podem ser extremamente difíceis de detectar. No entanto, se adaptar os modelos de simulação de phishing para reflectir os sinais mais subtis de uma mensagem de spear-phishing, pode dar aos seus utilizadores privilegiados as ferramentas para ajudar a identificar mensagens suspeitas.

Estas simulações de spear-phishing devem ser utilizadas em combinação com formação de sensibilização em engenharia social.

Processo e política

Criar políticas formais em torno da emissão de contas de acesso privilegiado. Estas políticas devem ser concebidas para impor a responsabilização. Devem também reflectir o princípio do privilégio mínimo e oferecer orientação sobre como os controlos de contas privilegiados são determinados, utilizando revisões e aprovações formais através de uma hierarquia de partes interessadas.

Políticas e processos para gerir, educar, e controlar utilizadores privilegiados, devem ser uma parte fundamental da sua estratégia de segurança.

Credenciais Robustas

Aplique uma política de autenticação robusta, multi-factor, e baseada no risco, à sua estratégia global de segurança. Isto ajuda como parte de uma estratégia global na mitigação de ameaças externas com base na tomada de conta privilegiada por parte de quem está por dentro.

Os utilizadores privilegiados são um elo fraco numa organização devido ao acesso a dados sensíveis e sistemas informáticos. Mas os utilizadores privilegiados são necessários para o bom funcionamento de uma organização. Ao aplicar as melhores práticas a utilizadores privilegiados, incluindo a educação, os processos e a aplicação de políticas, uma organização pode desriscar este importante tipo de conta.

Guia Supremo de eLearning de Segurança Cibernética

Outros artigos sobre a formação em sensibilização para a cibersegurança que poderão ser do seu interesse