Capacitar al Personal en Mejores Prácticas de Autenticación
Descripción
Capacitar a los miembros de la fuerza laboral en mejores prácticas de autenticación. Los temas de ejemplo incluyen MFA, composición de contraseñas y gestión de credenciales.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de capacitación en concienciación de seguridad con phishing simulado, módulos de capacitación interactivos e informes de cumplimiento
KnowBe4 · Suscripción por usuario
Plataforma adaptativa de concienciación en seguridad y cambio de comportamiento con capacitación dirigida basada en datos reales de amenazas
Proofpoint · Suscripción por usuario
Plataforma de simulación de phishing y concienciación en seguridad con inteligencia de amenazas en tiempo real y respuesta a incidentes
Cofense · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Ataque de Relleno de Credenciales Usando Contraseñas Reutilizadas
ConfidencialidadUn atacante usa credenciales filtradas de una brecha de terceros para acceder a cuentas empresariales porque los empleados nunca fueron capacitados sobre la unicidad de contraseñas y los peligros de la reutilización de credenciales entre servicios.
Evasión de MFA a través de Ingeniería Social de Usuario No Capacitado
ConfidencialidadUn atacante engaña a un empleado para que apruebe una notificación push de MFA fraudulenta porque el empleado nunca fue capacitado sobre cómo funcionan los ataques de fatiga de MFA o cómo reconocer solicitudes de autenticación no autorizadas.
Compromiso de Contraseña Débil mediante Fuerza Bruta
ConfidencialidadUn atacante descifra exitosamente por fuerza bruta una cuenta de empleado usando patrones de contraseña comunes porque la fuerza laboral no ha sido educada en crear frases de contraseña fuertes y únicas o usar gestores de credenciales.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Mala Higiene de Contraseñas en la Fuerza Laboral
Sin capacitación en mejores prácticas de autenticación, los empleados comúnmente reutilizan contraseñas, eligen credenciales débiles y almacenan contraseñas de forma insegura, aumentando dramáticamente la superficie de ataque para ataques basados en credenciales.
Malentendido de Mecanismos de MFA
Los empleados que no han sido capacitados en mejores prácticas de MFA pueden compartir códigos de un solo uso, aprobar notificaciones push no solicitadas o no reportar intentos sospechosos de autenticación.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Estado de inscripción de MFA y configuración de aplicación | Revisado mensualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |