Capacitar al Personal para Reconocer Ataques de Ingeniería Social
Descripción
Capacitar a los miembros de la fuerza laboral para reconocer ataques de ingeniería social, como phishing, pretexto y seguimiento no autorizado.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de capacitación en concienciación de seguridad con phishing simulado, módulos de capacitación interactivos e informes de cumplimiento
KnowBe4 · Suscripción por usuario
Plataforma adaptativa de concienciación en seguridad y cambio de comportamiento con capacitación dirigida basada en datos reales de amenazas
Proofpoint · Suscripción por usuario
Plataforma de simulación de phishing y concienciación en seguridad con inteligencia de amenazas en tiempo real y respuesta a incidentes
Cofense · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Ataque de Spear-Phishing con Carga de Recolección de Credenciales
ConfidencialidadUn atacante envía un correo electrónico de spear-phishing dirigido imitando a un ejecutivo interno, y el destinatario ingresa credenciales en una página de inicio de sesión falsa porque nunca fue capacitado para identificar indicadores de phishing.
Compromiso de Correo Empresarial mediante Pretexto
IntegridadUn atacante suplanta a un CEO por correo electrónico e instruye al personal de finanzas a transferir fondos a una cuenta fraudulenta, teniendo éxito porque los empleados no han sido capacitados para reconocer pretextos y verificar solicitudes inusuales.
Seguimiento Físico a Instalación Segura
ConfidencialidadUna persona no autorizada sigue a un empleado a través de una puerta controlada por tarjeta cargando cajas y aparentando necesitar ayuda, obteniendo acceso físico porque el personal no ha sido capacitado en conciencia de seguimiento.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Fuerza Laboral Incapaz de Identificar Técnicas de Ingeniería Social
Sin capacitación específica en reconocimiento de ingeniería social, los empleados no pueden distinguir correos de phishing de correspondencia legítima ni identificar intentos de pretexto, vishing y seguimiento.
Sin Ejercicios Simulados de Phishing o Ingeniería Social
La ausencia de ejercicios de capacitación práctica significa que los empleados no tienen aprendizaje experiencial para reforzar el reconocimiento de tácticas de ingeniería social en escenarios del mundo real.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |