El phishing es un ciberataque en el que un atacante oculta su verdadera identidad con el fin de engañar a la víctima para que realice una acción determinada. A menudo, un ataque de phishing utiliza el correo electrónico para convencer a los destinatarios de que un mensaje procede de una fuente de confianza, como una institución financiera de buena reputación o una empresa. Como el mensaje parece legítimo, es más probable que el usuario comparta datos valiosos de su cuenta o interactúe con malware, que suele presentarse como un archivo adjunto o un enlace oculto en el correo electrónico.
Las empresas deben educar a sus empleados sobre las amenazas potenciales del phishing y la importancia de seguir protocolos de seguridad, como no hacer clic en enlaces o archivos adjuntos sospechosos ni facilitar información personal a fuentes desconocidas.
El objetivo general de la auditoría de prevención del phishing es evaluar la capacidad de la organización para identificar, prevenir y responder a intentos de phishing, y garantizar que las herramientas, políticas y procedimientos de seguridad sean compatibles y estén alineados con las mejores prácticas y normativas.