COMO COMBATIR EL PHISHING. Formación a empleados mediante simulación y monitorización continuas para evitar el éxito de los ataques de phishing

Transcripción

1 COMO COMBATIR EL PHISHING Formación a empleados mediante simulación y monitorización continuas para evitar el éxito de los ataques de phishing 1

2 LA PROPUESTA DE VALOR EL PROBLEMA El 95% de los incidentes de seguridad tienen que ver con errores humanos El más frecuente, clickar en un archive adjunto infectado o en una URL falsa o maliciosa Incluso aquellas compañías que cuentan con elevadas medidas de seguridad y prevención, son vulnerables a ataques relacionados con el comportamiento humano LA SOLUCIÓN Servicio de Simulación y Monitorización Continuadas que entrena a la organización en la detección efectiva de Ataques de Phishing. Organización Preparada y Segura Solución gestionada e implementada en modo servicio Provisión inmediata. Puesta en marcha en dias. Metodología de aprendizaje basda en la práctica Valor para el empleado: Le es útil fuera de la oficina En cualquier lenguaje que se utilice en la empresa 2

3 INDICE 1 Phishing. El factor humano es el auténtico riesgopara la compañía 2 Riesgo Cuál es el impacto de los ataques de Phishing? 2 Preparación: Cómo formar a la compañía para que pueda defenderse de ataques de phishing 4 Icraitas. Nuestra oferta para empresas en Defensa Digital y Ciberseguridad 3

4 QUÉ ES EL PHISHING Phishing es un tipo de ataque en el que un hacker aprovecha las caraterísticas socio-psicológicas de las víctimas para que realicen alguna acción que le permita evitar las medidas de seguridad de la organización. Qué necesitan del usuario? En la mayoría de los casos, necesitan que se realice una de dos acciones: clickar en un link o abrir un fichero adjunto. Cualquiera de estas acciones abrirá una puerta a la siguiente del ataque del hacker. Cómo atacan? Utilizan el factor humano, que es el eslabón más debil en la cadena de seguridad. El 95% de los incidents relacionados con la seguridad, incluyen algún tipo de error humano... Normalmente, un ataque de Phishing comienza con un . Sólo con que una de las víctimas ejecute la acción sugerida en el correo, los hackers tendrán una puerta abierta que les permitirá pasar a la segunda parte del ataque, que incluye entre otros ataques de denegación de servicio, bloqueo de sistemas, robo de información, e infecciones de malware. Solo los aficionados atacan a las máquinas. Los profesionales atacan a las personas. Phishing es el vector de ataque más común ya que se dirige a todo tipo de compañías, independientemente de su tamaño, desde las PYMES hasta las grandes organizaciones. Es tan común porque se basa en el comportamiento de personas no concienciadas, y porque debido al creciente uso del móvil para todas las actividades, es posible acceder a las compañías mediante ataques dirigidos a perfiles de usuarios particulares. 4

5 ICRAITAS Y CYBEREADY PRESENTAN UN SERVICIO QUE PERMITE MODIFICAR EL COMPORTAMIENTO DE LOS USUARIOS ENFRENTÁNDOLES DE FORMA CONTINUADA A MENSAJES DE PHISHING REALES Y MONITARIZANDO SU REACCION Y COMPORTAMIENTO DESPUËS DE SU RECEPCIÓN NO SE TRATA DE FORMACIÓN, SE TRATA DE COMPORTAMIENTO 5

6 PREPARACIÓN UTILIZANDO UNA METODOLOGÍA PROBADA El Servicio de Cybeready es un método de formación con un éxito probado., que consiste en comprobar el comportamiento de los empleados ante ataques continuados de phishing, formándoles en como detectarlos y monitorizando su comportamiento y sus resultados. Campaña de correos phishing Continuas Frecuentes Diferentes Multilenguaje Ataques Simulados Método de Aprendizaje Aprendizaje Videos formativos para identificar correos maliciosos, si se clicka el link Rotación Retargeting Campañas configurables según los resultados 12 mensajes diferentes por usuario 40 mensajes diferentes por organización. Adaptación Reportes e informes Dashboard detallado que monitoriza las campañas y los resultados para comprobar la evolución. 6

7 EJEMPLO #1: RANSOMWARE Paso 1 MAIL Paso 2 TIPS Customized 7

8 EJEMPLO #2: MULTILENGUAJE Paso 1 MAIL Paso 2 TIPS "Hacker": "Una persona que trata de colarse en los sistemas informáticos de otras personas y sus organizaciones. Un hacker que desea hackearnos, en la mayoría de casos, trabaja para organizaciones criminales y busca hacer dinero robando información personal o de negocios. El hacker utiliza una combinación de herramientas tecnológicas y psicológicas diseñadas para engañarle y hacer que ejecute lo que ellos desean (esto generalmente incluye hacer clic en un enlace, abrir un archivo, acceder a un sitio web malicioso, o insertar un dispositivo USB en su computadora)". 8

9 EJEMPLO #3: ADJUNTOS Paso 1 MAIL Paso 2 TIPS 9

10 EJEMPLO #4: COPIA COMPLETA Paso 1 MAIL Personal data is not stored Paso 2 TIPS 10

11 REPORTING Un Dashboard detallado que muestra de forma gráfica las estadísticas sobre campañas, resultados, comportamiento de usuarios efectividad y ratios de éxito. 11

12 CAMPAÑAS FLEXIBLES El elevado nivel de de customización que incluye multilenguaje, junto con el nivel de detalle de la información que se proporciona, permiten incorporar cambios y modificar las campañas para obtener los mejores resultados y adaptarse a las necesidades de diferentes departamentos, personas o países. Simulate Teach Analyze 12

13 QUE OFRECEMOS? Reducción del riesgo probada y continua Preparación de toda la organización Sin esfuezo adicional por parte del CISO Llevar el discurso de Ciberseguridad a la alta dirección. Cumplimiento de las exigencias legales y regulatorias Nueva aproximación a la formación en CiberSeguridad Formación sencilla y rápida para empleados Adecuado para diversos estilos de aprendizaje Coste asquible Quiere ver una prueba? 13

14 Como podemos ayudar

15 SOBRE ICRAITAS Icraitas es una empresa dedicada en exclusiva a la seguridad de la información y a la protección de la información, la infraestructura, los procesos y las personas de Ciberdelincuentes, Ciberamenazas y amenazas internas Ciberseguridad: Tecnologías, acciones y procesos necesarios para garantizar la protección de la información, la infraestructura, las aplicaciones y los usuarios. Seguridad perimetral, Seguridad de aplicaciones, Seguridad de la información, Gestión de Identidades, Formación a usuarios, Planes de Contingencia Conocimiento El conocimiento, y su forma de transmitirlo, la información, son el activo más importante de las organizaciones. Sin embargo pierde gran parte de su valor si no es fácilmente accesible, y si no se utiliza, se comunica o se comparte. Y se puede convertir en una amenaza si no se protege adecuadamente ante ataques Cumplimiento Acciones de Gobierno Corporativo dirigidas a controlar los riesgos relacionados con los Sistema de Información y a garantizar la eficiencia de los procesos y el cumplimiento normativo mediante las certificaciones oficiales pertinentes y reconocidas internacionalmente: ISO, COBIT, AENOR Infraestructura Elementos Hardware y Software que conforman la plataforma segura de Sistemas de Información y Comunicaciones que soporta la operativa de negocio y actividades auxiliares de las empresas: Cloud, CPD, Puesto de Trabajo, Movilidad, Redes de Comunicaciones 15

16 Cómo podemos ayudarle? Pº de la Castellana 40 8º Madrid Seguridad útil, Seguridad eficaz clientes@icraitas.com