Tag: Simulación de Phising

Conciencia de seguridad, prevención de amenazas internas

Desafortunadamente, las amenazas internas no son simplemente cosa de películas y dramas criminales. Esto no significa que no pueda confiar en los miembros de su empresa. Significa que necesita crear conciencia en toda su organización sobre cómo y por qué ocurren las amenazas internas.

¿Qué son las amenazas internas?

Las amenazas internas son amenazas de personas con acceso a sistemas e información privilegiada sobre su organización. Esto puede incluir empleados, ex empleados, trabajadores temporales, socios o contratistas que tienen acceso autorizado a sus datos, aplicaciones, archivos, etc.

Crear conciencia es importante porque, estas amenazas y las filtraciones de datos asociadas, pueden ser intencionales o accidentales

Es importante que todos en su organización comprendan lo fácil que es convertirse accidentalmente en una amenaza interna y cómo reconocer comportamientos deliberados de amenazas internas.

Una investigación reciente detallada la realidad de las amenazas internas para las organizaciones, los datos y los empleados:

  • La frecuencia de incidencias por empresa se ha triplicado desde 2016 de una media de 1 a 3,2
  • El costo promedio ha aumentado de USD $ 493,093 a USD $ 871,686 en 2019
  • El 60% de los incidentes están relacionados con negligencia.
  • El 23% de los incidentes están relacionados con delincuentes internos.
  • El 14% de los incidentes están relacionados con el robo de credenciales de usuario.

Diez mejores prácticas de concientización sobre seguridad para ayudar a prevenir amenazas internas

Estas 10 mejores prácticas de concientización sobre la seguridad pueden ayudar a los líderes de seguridad a evitar que las amenazas internas dañen su organización:

  1. Establezca una red interna sólida y permisos del sistema para todos los empleados. Dar acceso a los sistemas solo a las personas que lo requieran para cumplir con sus funciones laborales.
  2. Asegúrese de que todos los empleados, contratistas, pasantes, etc. reciban capacitación regular y constante sobre conciencia de seguridad. Utilice simulaciones de phishing y ransomware para controlar el conocimiento y la comprensión de los riesgos de las amenazas cibernéticas.
  3. Verificaciones completas de antecedentes de los empleados, en particular de aquellos que requieren acceso a datos sensibles.
  4. Defina controles estrictos de acceso a los datos, para que los empleados solo tengan acceso a la información que necesitan. Revise y analice cuidadosamente las solicitudes de acceso adicional a la red o al sistema.
  5. Establezca una política de clasificación y manejo de datos y aproveche las tecnologías de pérdida de datos para datos de alto riesgo.
  6. Recuerde a los empleados que toda la actividad de la red está registrada y monitoreada. Asegúrese de que las personas comprendan que las cuentas de usuario y los permisos deben usarse solo con fines comerciales.
  7. Establezca permisos y reglas firmes para traer su propio dispositivo (BYOD) sobre cómo se utilizan, comparten y almacenan los datos.
  8. Asegúrese de que los empleados conozcan las mejores prácticas de seguridad cibernética del trabajo remoto y las mejores prácticas de seguridad de dispositivos móviles.
  9. Defina políticas estrictas de contraseñas y privilegios de cuentas de usuario. Supervise regularmente las cuentas, asegurándose de que todas las cuentas se cierren o actualicen cuando un empleado deja su organización o cambia de función.
  10. Establezca reglas de acceso a la red para limitar el uso de dispositivos personales y el intercambio de información fuera de su red corporativa.

Recuerda

Si ve algo que no se siente bien, dígalo. El aspecto complicado de las amenazas internas es que pueden desencadenarse por pequeñas acciones que no parecen ser peligrosas o maliciosas.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 12 marzo, 2021
  • More

Spear Phishing vs Phishing: ¿Cuál es la diferencia?

La mayor diferencia entre el spear phishing y el phishing radica en el enfoque que utilizan los ciberdelincuentes para llevar a cabo actividades maliciosas.

El spear phishing está dirigido y personalizado para un individuo, grupo u organización específicos. Por el contrario, los correos electrónicos de phishing regulares utilizan un enfoque general que implica el envío de correos electrónicos masivos a listas masivas de contactos desprevenidos. Estos mensajes de phishing a menudo se elaboran rápidamente y no suelen incluir información personal sobre el destinatario.

Debido a su naturaleza hiperactivada, el spear phishing puede ser incluso más peligroso que el phishing tradicional. El tono familiar y el contenido de un mensaje de spear phishing hacen que sea más difícil de detectar para el usuario promedio, lo que aumenta el nivel de amenaza de este tipo de ciberataque.

The 5 Jackasses of Fitness | T Nation buy dianobol Your Guide to Navigating the Fitness Floor

Comprender y evitar los ataques de spear phishing y phishing

Muchas personas siguen siendo propensas a hacer clic en archivos adjuntos o enlaces de correo electrónico de phishing, o a no verificar la dirección de un remitente antes de responder.

Como amenaza cibernética, el spear phishing es mucho más sofisticado y refinado que la técnica de “rociar y rezar” del phishing masivo por correo electrónico. Los ciberdelincuentes tienen éxito con este tipo de ataque dirigido porque, en esencia, los mensajes de spear phishing parecen creíbles debido a la inclusión de información personalizada sobre el objetivo, como detalles de contacto, pasatiempos o intereses.

Estos mensajes bien escritos a menudo incluyen enlaces a sitios web falsos o archivos adjuntos infectados con malware, ransomware o spyware. En algunos casos, no hay archivos adjuntos o enlaces maliciosos, pero contienen instrucciones para que el destinatario las siga, lo que los hace aún más difíciles de detectar con los filtros de seguridad del correo electrónico.

El nivel de dificultad de detección del spear phishing, junto con el aumento de la mano de obra remota y las precauciones técnicas debilitadas, lo ha convertido en una herramienta de elección para los ciberdelincuentes en todo el mundo.

Los datos recientes han descrito el spear phishing como una amenaza de rápido crecimiento para personas y organizaciones por igual. En 2019, antes de los desafíos adicionales provocados por la pandemia COVID-19, el 65% de los grupos de ataque ya usaban el spear phishing como su principal vector de infección.

Además de eso, un enorme 95% de todas las brechas en la red empresarial son el resultado de un spear phishing exitoso.

7 formas de proteger a su organización contra el spear phishing

Si bien el peligro del spear phishing es real y complejo, hay varias formas en que las organizaciones pueden limitar fácilmente el riesgo asociado con esta amenaza cibernética.

  1. Educar, educar, educar. Evitar los impactos negativos de un ataque de phishing exitoso comienza con una educación eficaz. Eduque a los empleados sobre el spear phishing.
  2. Utilice soluciones de simulación de phishing y capacitación de concientización sobre seguridad comprobadas, para mantener el spear phishing y las amenazas relacionadas como una prioridad en todo el lugar de trabajo. Además, asegúrese de que su capacitación sea accesible para todos los usuarios y en varios formatos
  3. Monitorear y medir resultados. Empodere y recuérdeles a los líderes de seguridad y a los embajadores del programa de su organización que monitoreen la conciencia de los empleados sobre el phishing con herramientas de simulación de phishing. Asegúrese de que sus programas respalden los objetivos de seguridad cibernética a largo plazo y realice los ajustes necesarios.
  4. Difunda la palabra correcta. Lanzar una campaña de concientización organizacional que proporcione comunicación continua sobre seguridad cibernética, spear phishing e ingeniería social. Esto incluye establecer políticas de contraseñas seguras y recordar a los empleados los riesgos que pueden surgir en el formato de archivos adjuntos, correos electrónicos y URL.
  5. Limite el acceso a información sensible. En la era actual, es esencial establecer reglas de acceso a la red que limiten el uso de dispositivos personales y el intercambio de información fuera de su red corporativa.
  6. Mantenga el software actualizado. Asegúrese de que todas las aplicaciones, el software interno, las herramientas de red y los sistemas operativos estén actualizados y sean seguros. Instale protección contra malware y software anti-spam.
  7. Cree una cultura centrada en la seguridad. Incorpore políticas y procedimientos, mejores prácticas, conciencia de seguridad ejecutiva, gestión de cambios y soporte en su cultura corporativa.

Los programas de capacitación en concientización sobre seguridad que brindan a los empleados el conocimiento y las habilidades que necesitan para proteger los datos personales y organizacionales. Son una necesidad absoluta, particularmente a medida que las amenazas cibernéticas se vuelven cada vez más complejas.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 11 febrero, 2021
  • More

Octubre: mes de la Concientización sobre la Seguridad Cibernética

El Mes de la Concientización sobre la Seguridad Cibernética es una campaña internacional que se lleva a cabo anualmente cada octubre para recordar a las personas la importancia de la seguridad cibernética. Con la cultura de la movilidad a la vanguardia, la campaña 2020 subraya lo importante que es para todos estar al tanto de la seguridad cibernética en todo momento.

La importancia de las mejores prácticas de seguridad cibernética de dispositivos móviles se ha incrementado con la forma en que la pandemia COVID-19 ha cambiado cómo, cuándo y dónde trabajamos, nos relajamos y seguimos con nuestros hábitos diarios. Estamos en nuestros teléfonos inteligentes, tabletas, computadoras portátiles y otros dispositivos móviles más que nunca, lo que nos convierte en el objetivo principal de los ciberdelincuentes inteligentes que son expertos en explotar los cambios en la rutina y los hábitos.

Un informe reciente sobre las tendencias de los ciberataques en 2020 destaca cómo los ciberdelincuentes arremeten contra todas las industrias, organizaciones y ciudadanos con temáticas respecto a la pandemia. Se está explotando con éxito las vulnerabilidades de la seguridad cibernética y las brechas de conciencia en todos los dominios, incluidos el gobierno, la educación, la atención médica, el comercio minorista, la industria de servicios y los consumidores.

  • Los ataques de phishing y malware relacionados con COVID-19 aumentaron de menos de 5,000 por semana en febrero a más de 200,000 por semana a fines de abril.
  • En mayo y junio, cuando muchos países relajaron las medidas de bloqueo, los ciberdelincuentes respondieron aumentando sus ataques cibernéticos distintos de COVID-19, lo que resultó en un aumento global del 34% en todos los tipos de ataques cibernéticos a fines de junio en comparación con marzo y abril.

Dado que todos hemos estado trabajando desde casa durante algunos meses, es útil tener un repaso de nuestras mejores prácticas y lecciones recomendadas de seguridad cibernética.

Para mantener la seguridad cibernética, recuerde:

  • Comuníquese siempre con el departamento de TI si tiene alguna pregunta sobre el software, el sistema operativo, las actualizaciones de aplicaciones, la conexión VPN, la solución de problemas de software y hardware, y cualquier otro problema técnico.
  • Utilice la conexión segura que le proporcionamos para conectarse a la red de la empresa.
  • No se conecte a la red de la empresa mediante una red Wi-Fi pública no segura.
  • Solo trabaje en computadoras y dispositivos que tengan instaladas las últimas actualizaciones de seguridad del navegador y del sistema operativo. Si tiene preguntas sobre las versiones, comuníquese con el departamento de TI.
  • Actualice sus contraseñas para su computadora portátil, dispositivos móviles corporativos y correo electrónico. Haga esto incluso si actualizó sus contraseñas cuando comenzamos a trabajar desde casa hace unos meses.
  • Utilice solo aplicaciones de videoconferencia aprobadas por la empresa y no acepte llamadas de videoconferencia de personas desconocidas.
  • Comparta y almacene datos utilizando solo aplicaciones en la nube aprobadas por la empresa. Si tiene dudas sobre las aplicaciones aprobadas, comuníquese con el departamento de TI.

El Mes de la Concientización sobre la Seguridad Cibernética, es el momento ideal para recordar cómo cerrar la brecha entre el trabajo y la vida, con mejores prácticas y concientización sobre la seguridad cibernética.

Aproveche nuestro webinar gratuito “Sensibilización y Concientización en Ciberseguridad”, donde presentamos la plataforma que proporciona flexibilidad y apoyo para implementar sus simulaciones de ciberestafa y programas de concientización en toda la organización.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 15 octubre, 2020
  • More

Ciberestafa (phishing) y estafas en medios sociales relacionadas a COVID-19

En las últimas semanas ha aumentado la frecuencia de la ciberestafa (phishing) y las estafas en las redes sociales relacionadas con el tema COVID-19.

Los cibercriminales utilizan correos electrónicos convincentes y publicaciones en redes sociales disfrazadas de autoridades sanitarias y departamentos gubernamentales legítimas para aprovecharse de los temores y las preguntas sin respuesta sobre el nuevo coronavirus.

Siga estos hábitos de sensibilización sobre la seguridad cibernética para mantenerse protegido frente al phishing y otras amenazas cibernéticas:

  • Si no reconoce al remitente del correo electrónico, no abra el correo electrónico.
  • Preste atención a la ortografía de las direcciones de correo electrónico, las líneas de asunto y el contenido del correo electrónico.
  • Tenga cuidado con los mensajes de correo electrónico que utilizan un lenguaje urgente y piden ayuda mediante la transferencia de fondos o el intercambio de información confidencial.
  • No haga clic en los enlaces de correos electrónicos no solicitados.
  • Nunca envíe información confidencial en un correo electrónico.
  • Al comprar en línea, inspeccione siempre la URL y verifique que utiliza “https”.
  • No acepte seguidores de redes sociales o amigos de cuentas que no reconozca. Si una cuenta en la que no confía le sigue o se hace amigo de usted, bloquee la cuenta.

Si no está seguro de la validez de un correo electrónico u otro mensaje, no responda. Si recibe un correo electrónico extraño de un compañero o jefe, hable con la persona y pregúnteles sobre el correo electrónico.

Recuerde a los empleados que las mejores prácticas de sensibilización en seguridad de la información y ciberseguridad se aplican en cualquier lugar: En la oficina, en casa, en el autobús, en el aeropuerto, en la cafetería y en cualquier lugar donde se conecten a Internet.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 5 junio, 2020
  • More

Seguridad Cibernética y Trabajo Desde Casa

COVID-19 está cambiando rápidamente la forma en que trabajamos, nos comunicamos e interactuamos unos con otros.

Algunas empresas privadas, instituciones públicas y departamentos gubernamentales están disponiendo que todos los empleados que pueden, deban trabajar desde casa. Para muchos, esta es la primera vez. No sólo existe el estrés de la incertidumbre en torno a COVID-19, sino también un período de ajuste para las personas que realizan la transición de sus hábitos de trabajo hacia su casa.

Como líder de la seguridad, usted sabe lo desafiante que puede ser que las personas se mantengan ciberseguras en un entorno de oficina en el que la seguridad cibernética forma parte de la cultura. Ahora que los empleados trabajan de forma remota, es un desafío adicional asegurarse de que las personas mantengan sus mejores prácticas y hábitos de seguridad cibernética.

Cómo mantener la seguridad de su equipo doméstico

Recuerde a los empleados estos puntos clave para la seguridad cibernética de los equipos domésticos:

  • Mantener todo el software actualizado.

Asegurarse de que los sistemas operativos, exploradores y aplicaciones más recientes están instalados en los equipos y dispositivos que se conectan a Internet.

  • Instalar un cortafuego (firewall) doméstico y utilizar una conexión wi-fi segura.

Estas medidas protegen los activos de la empresa y a usted mismo de los ciberataques.

  • Usar software antivirus.

Utilizar software antivirus para analizar automáticamente sitios web, archivos descargados, archivos adjuntos de correo electrónico y contenido almacenado en unidades de disco duro externas, tarjetas de memoria y dispositivos USB.

  • Crear contraseñas seguras.

Las contraseñas seguras son tan importantes en el equipo y los dispositivos domésticos como en los equipos y dispositivos del trabajo. No utilice nombres, colores favoritos o re-use contraseñas para dispositivos domésticos y de trabajo.

  • Manténgase consciente de dónde hace clic.

Es fácil olvidar las mejores prácticas de seguridad cibernética cuando está fuera de la oficina. La mejor estrategia es permanecer vigilante y escéptico de todos los correos electrónicos no solicitados, mensajes de texto, chats de redes sociales y archivos adjuntos. En caso de duda, no haga clic.

Recuerde a los empleados que son la primera línea de defensa contra los ciberataques. Remarque a los empleados que desea que duden de la legitimidad de los correos electrónicos, mensajes de texto y chats en redes sociales. El mejor enfoque es ser extremadamente cauteloso.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 27 mayo, 2020
  • More