1.4.-Concienciación y formación

4.1. Plan de Formación y Concienciación en Ciberseguridad¶

La formación y concienciación complementan las medidas técnicas de seguridad, permitiendo que los empleados sean un eslabón fuerte en la protección de la organización. Todas las medidas de seguridad, como cortafuegos, antivirus, sistemas de detección de intrusos o políticas de seguridad, pueden ser inútiles si los empleados no están formados y concienciados en ciberseguridad.

1. Introducción al plan de formación y concienciación¶

La ciberseguridad no solo depende de tecnologías avanzadas, sino también del personal que las utiliza. Un Plan de Formación y Concienciación busca capacitar a los empleados para prevenir, mitigar y responder a posibles amenazas que puedan afectar a la organización. Este enfoque integral permite que todas las personas, desde perfiles técnicos hasta personal administrativo, desempeñen un papel activo en la protección de los activos digitales.

1.1. Misión del Plan de Formación y Concienciación¶

El objetivo principal del plan es crear una fuerza laboral consciente y preparada. Esto significa que cada empleado o empleada debe ser capaz de:

Identificar amenazas potenciales, como correos de phishing o enlaces sospechosos.
Mitigar riesgos, tomando decisiones informadas al interactuar con los sistemas corporativos.
Responder adecuadamente en caso de un incidente, como notificar a los equipos de seguridad o desconectar dispositivos afectados.

Una organización con personal formado y concienciado no solo mejora su postura de seguridad, sino que también reduce significativamente la posibilidad de incidentes.

1.2. Inclusividad y continuidad de la formación y concienciación¶

El Plan de Formación y Concienciación debe ser inclusivo y continuo. Es decir:

Debe llegar a todos los niveles de la organización, adaptando el lenguaje y los contenidos a cada perfil.
No puede ser una acción puntual: necesita repetirse y actualizarse para seguir siendo efectivo.

1.2.1. Formación para todo el personal¶

La formación inicial es crucial para que todas las personas comiencen con un conocimiento básico de seguridad.

Formación técnica:
- Dirigida al personal especializado, como administradores de sistemas y técnicos de TI.
- Enfocada en temas como configuración segura de sistemas, gestión de vulnerabilidades y respuesta a incidentes.
- Ejemplo: Un técnico aprende a aplicar parches de seguridad en los sistemas críticos y a revisar alertas de un IDS.
Formación básica:
- Diseñada para el resto del personal, centrada en el reconocimiento de correos de phishing, uso seguro de contraseñas y manejo responsable de dispositivos corporativos.
- Ejemplo: Una empleada aprende a comprobar el remitente y los enlaces de un correo antes de abrir un archivo adjunto.

1.2.2. Concienciación general para todos los empleados¶

La concienciación no requiere conocimientos técnicos avanzados, pero sí busca que todo el mundo comprenda la importancia de la seguridad y cómo su comportamiento influye en el bienestar de la organización. En definitiva, se pretende generar una cultura de seguridad.

Temas clave:
- No hacer clic en enlaces ni descargar archivos de correos desconocidos.
- Mantener los dispositivos bloqueados cuando no están en uso.
- Utilizar redes Wi-Fi públicas de manera segura (por ejemplo, mediante una VPN).
Ejemplo: Una persona que trabaja desde una cafetería contrasta con el establecimiento el nombre de la red Wi-Fi y se conecta usando una VPN para proteger la comunicación.

1.2.3. Actualización y refuerzo¶

La formación y la concienciación deben actualizarse periódicamente para incorporar nuevas amenazas y cambios tecnológicos.

Formación técnica actualizada: Cuando se introducen herramientas o sistemas nuevos, el personal técnico recibe formación específica para utilizarlos y administrarlos con seguridad.
Refresco de normativas de seguridad: Periódicamente se recuerdan las políticas internas (contraseñas, uso de dispositivos, trabajo remoto, etc.) para que no caigan en el olvido.

1.3. Ejemplo: Un día en la vida de una empleada concienciada¶

Imaginemos a Laura, que trabaja en el departamento de Recursos Humanos. Durante su formación inicial aprendió a identificar correos de phishing. Un día recibe un mensaje que parece provenir de su jefe con un archivo adjunto titulado "Salarios_2024.xlsx". Aunque el correo tiene apariencia legítima, Laura nota que el dominio del remitente no es el habitual. Gracias a su formación, no abre el archivo, avisa al equipo de TI y evita un ataque que podría haber comprometido datos sensibles de la empresa.

2. Criterios para el diseño del Plan de Formación y Concienciación¶

El diseño de un Plan de Formación y Concienciación en ciberseguridad debe garantizar que todas las personas estén capacitadas y preparadas para proteger los activos de la organización. Para ello, el plan debe seguir unos criterios claros que permitan que cada persona:

Conozca y entienda las normativas y medidas de seguridad.
Sea capaz de identificar comportamientos sospechosos o incidentes.
Sepa cómo notificar de manera efectiva cualquier anomalía al personal especializado.

Además, el diseño debe adaptarse a las características de la organización, de sus empleados y de los servicios que utiliza, asegurando que sea práctico, comprensible y aplicable para todos.

2.1. Nivel de inicio¶

Antes de desarrollar los contenidos de formación, es necesario evaluar los niveles de conocimiento de los empleados para diseñar una capacitación adecuada. Esto evita que la formación sea demasiado básica para algunos o demasiado compleja para otros, y aumenta su efectividad.

Para lograr esto, se realiza una evaluación inicial con preguntas como:

¿Saben reconocer un correo de phishing?
¿Conocen las buenas prácticas para crear contraseñas seguras?
¿Están familiarizados con los procedimientos para reportar un incidente?

Esta evaluación se puede realizar mediante cuestionarios, pruebas de conocimiento o simulaciones de ataques, y permite adaptar la formación a las necesidades reales de los empleados.

Por ejemplo, si se detecta que una mayoría no sabe cómo verificar la autenticidad de un enlace en un correo, la formación inicial incluirá ejercicios prácticos para analizar correos falsos y aprender a identificar señales de phishing.

2.2. Factores clave en el diseño¶

El diseño de la formación debe considerar varios elementos que influyen en las necesidades específicas de los empleados.

2.2.1. Roles existentes en la organización¶

Cada rol tiene responsabilidades y necesidades diferentes según las tareas que realiza y la información que maneja. La formación debe adaptarse para que sea relevante para cada grupo.

Por ejemplo:

El personal técnico, como administradores de sistemas, necesitará formación avanzada en áreas como gestión de vulnerabilidades o análisis de incidentes.
El personal administrativo recibirá formación básica orientada a evitar errores comunes como el uso de contraseñas débiles o la apertura de archivos adjuntos sospechosos.
Los perfiles de dirección necesitarán conocer cómo se gestiona un incidente y qué decisiones deben tomar para minimizar su impacto.

Es fundamental evitar el uso de jerga técnica con empleados no especializados. Por ejemplo, en lugar de explicar que "un ransomware cifra archivos utilizando un algoritmo de clave asimétrica", se puede decir: "un ataque ransomware bloquea tus archivos y exige un pago para desbloquearlos".

2.2.2. Tipos de información en la organización¶

Además de contraseñas y credenciales, las organizaciones manejan diferentes tipos de información confidencial que deben protegerse, como:

Documentos financieros.
Datos de RR.HH., como nóminas y contratos de empleados.
Información sobre salud, en caso de manejar historiales médicos o datos sensibles.
Proyectos de infraestructuras críticas, como planos o especificaciones técnicas.
Datos confidenciales, como estrategias de negocio o propiedad intelectual.

Por ejemplo, en un hospital, el personal debe ser entrenado para evitar compartir información médica de los pacientes por canales no seguros, como correos sin cifrar o mensajería instantánea no corporativa.

2.2.3. Servicios disponibles en la organización¶

Los servicios que utiliza la organización también deben considerarse en el diseño de la formación. Esto incluye herramientas como:

Páginas web corporativas: En el caso del personal técnico, formación sobre cómo protegerlas frente a ataques como inyecciones SQL o DDoS.
Almacenamiento en la nube: Enseñar a gestionar permisos en plataformas como Google Drive o OneDrive, evitando compartir documentos confidenciales de forma pública.
Redes sociales corporativas: Entrenar a quienes las gestionan para detectar intentos de suplantación de identidad o manipulación de cuentas oficiales.

2.2.4. Políticas de la empresa¶

Las políticas internas también afectan a cómo se diseña la formación. Dos aspectos clave son:

Trabajo presencial y remoto:
- Para empleados remotos, se debe incluir formación en el uso de redes Wi-Fi seguras y herramientas como VPN para proteger las conexiones.
Uso de dispositivos corporativos o personales (BYOD):
- Para dispositivos personales, es importante enseñar prácticas de seguridad como mantener los sistemas actualizados y utilizar herramientas de cifrado.

2.2.5. Características específicas del negocio¶

Las características propias de la organización también influyen en el diseño del plan:

Tamaño de la empresa:
- En organizaciones grandes, se pueden realizar capacitaciones en grupos separados por departamentos o roles.
- En empresas pequeñas, se pueden realizar talleres más personalizados e interactivos.
Ámbito de negocio:
- Una empresa de comercio electrónico priorizará la seguridad en transacciones y la protección de datos de clientes, mientras que una compañía de transporte público se centrará en proteger sistemas críticos como el control de flotas.
Horarios y turnos de trabajo:
- Para empleados con turnos nocturnos o roles de atención 24/7, es útil implementar capacitaciones en línea que puedan realizarse de manera flexible.
Ubicación y sedes:
- Empresas con oficinas en diferentes países deben ajustar la formación para cumplir con normativas locales, como el RGPD en Europa.

2.3. Ejemplo del diseño del plan¶

Imaginemos una empresa que maneja información financiera, tiene personal administrativo y técnico, y aplica políticas de trabajo híbrido. El diseño del plan podría incluir:

Evaluación inicial: Una encuesta para identificar el conocimiento actual del personal, detectando, por ejemplo, que muchas personas tienen dificultades para identificar correos de phishing.
Formación por roles:
- El equipo técnico recibe capacitación sobre cómo gestionar actualizaciones y proteger servidores.
- El equipo administrativo aprende a manejar documentos financieros de manera segura y a reconocer intentos de phishing.
Políticas de trabajo híbrido: Empleados remotos reciben formación sobre uso de VPN, riesgos de redes Wi-Fi públicas y almacenamiento de información en plataformas corporativas seguras.
Adaptación a horarios: Se ofrecen talleres en línea para que el personal con turnos nocturnos o rotativos pueda acceder a la formación en horarios flexibles.
Actualización continua: Periódicamente se realizan simulacros (por ejemplo, campañas de phishing simulado) para evaluar si el personal aplica lo aprendido y para refrescar los contenidos.

Con estos criterios, el diseño del plan será inclusivo, continuo, efectivo y orientado a las necesidades reales de la organización y su personal.

3. Contenidos de la formación¶

La formación en ciberseguridad debe partir de los conocimientos previos de los empleados para asegurar que todos comprendan los conceptos básicos antes de profundizar en aspectos más avanzados. Esto permite adaptar la capacitación a los niveles de experiencia detectados durante la evaluación inicial y mantenerla relevante y efectiva.

3.1. Conceptos básicos¶

La formación comenzará con temas esenciales que son comunes a todos los empleados, independientemente de su rol. Estos contenidos se centran en comportamientos seguros y buenas prácticas que reducen los riesgos de seguridad en la organización. Algunos temas a trabajar son:

3.1.1. Uso de contraseñas y sistemas de verificación¶

Objetivo: Enseñar a crear y gestionar contraseñas seguras y a utilizar sistemas de autenticación de múltiples factores (MFA).
Ejemplo: Generar una contraseña usando las iniciales de una frase, como "Me gusta el café con leche" → MgECCL2024!.
Consejo: Introducir gestores de contraseñas para evitar contraseñas repetidas o débiles.

3.1.2. Reconocimiento de phishing¶

Objetivo: Capacitar para identificar correos electrónicos y mensajes sospechosos que intenten robar información confidencial.
Ejemplo: Presentar simulacros de correos de phishing con errores comunes, como un dominio falso (empresaa.com en lugar de empresa.com).
Consejo: Enfatizar la importancia de no hacer clic en enlaces ni descargar archivos de remitentes desconocidos.

3.1.3. Peligros de descargas y uso de software no autorizado¶

Objetivo: Concienciar sobre los riesgos de instalar software no aprobado, que podría contener malware o comprometer la seguridad de la red.
Ejemplo: Mostrar casos donde programas descargados de sitios no oficiales infectaron sistemas empresariales.

3.1.4. Uso apropiado de internet¶

Objetivo: Establecer normas para navegar de manera segura y evitar visitar sitios web sospechosos o inapropiados.
Ejemplo: Enseñar a verificar certificados de seguridad en páginas web para compras en línea o transferencias bancarias.

Objetivo: Detectar y prevenir intentos de manipulación psicológica diseñados para obtener información confidencial.
Ejemplo: Relatar un escenario donde una llamada telefónica pretende ser del soporte técnico para obtener credenciales.

3.1.6. Uso de dispositivos de almacenamiento externos¶

Objetivo: Explicar los riesgos de conectar dispositivos externos no verificados, como pendrives, a los sistemas corporativos.
Ejemplo: Describir cómo un USB infectado podría contener malware capaz de robar información.

3.1.7. Políticas de trabajo remoto¶

Objetivo: Enseñar prácticas seguras para trabajar desde casa o en ubicaciones externas.
Ejemplo: Mostrar cómo usar una VPN para proteger las conexiones a la red corporativa.

3.1.8. Uso de redes inalámbricas¶

Objetivo: Prevenir conexiones inseguras a redes Wi-Fi públicas.
Ejemplo: Comprobar con el establecimiento el nombre del punto de acceso antes de conectarse.

3.1.9. Actualización del software¶

Objetivo: Fomentar la instalación de actualizaciones y parches para reducir vulnerabilidades en sistemas y aplicaciones.
Ejemplo: Explicar cómo un sistema desactualizado puede ser vulnerable a exploits conocidos, como ocurrió en el caso del ransomware WannaCry.

3.1.10. Copias de seguridad¶

Objetivo: Destacar la importancia de realizar copias de seguridad regularmente para proteger la información ante incidentes.
Ejemplo: Mostrar cómo una copia de seguridad bien hecha puede salvar datos tras un ataque de ransomware.

3.1.11. Notificación de incidentes¶

Objetivo: Establecer procedimientos claros para reportar incidentes de seguridad.
Ejemplo: Indicar a quién avisar y por qué canal cuando se detecta un correo malicioso o actividad sospechosa.

3.1.12. Leyes y normativas (RGPD, LOPD GDD)¶

Objetivo: Proporcionar una visión general de las leyes de protección de datos relevantes para la organización.
Ejemplo: Explicar cómo manejar datos personales de acuerdo con el RGPD, como obtener el consentimiento explícito antes de recopilar información de clientes.

3.1.13. Políticas de “mesa limpia”¶

Objetivo: Promover el hábito de mantener los escritorios y estaciones de trabajo libres de documentos o dispositivos confidenciales cuando no estén en uso.
Ejemplo: Guardar contratos, informes u otros materiales sensibles en armarios cerrados al final de la jornada laboral.

3.2. Personalización y profundización¶

A medida que se dominen los conceptos básicos, la formación podrá incluir contenidos más avanzados basados en los roles o departamentos.

Por ejemplo: - Equipo de TI: Profundización en análisis forense, gestión de firewalls y detección de intrusos. - RR.HH.: Manejo de datos personales de empleados según el RGPD. - Finanzas: Identificación de fraudes en transferencias bancarias y protección de sistemas de pago.

3.3. Ejemplos de capacitación¶

Escenario 1: Se realiza una sesión donde se muestran ejemplos de correos de phishing reales. El personal aprende a identificar señales sospechosas, como direcciones de remitente inusuales o errores gramaticales, y participa después en un simulacro donde debe decidir si un correo es legítimo o fraudulento.

Escenario 2: En una capacitación sobre dispositivos de almacenamiento externos, se deja en un espacio común un USB ficticio con una etiqueta llamativa. Después se comenta en grupo qué habría pasado si alguien lo hubiera conectado a un equipo corporativo.

Con esta estructura, la formación será práctica, accesible y efectiva para crear una cultura de seguridad sólida dentro de la organización.

4. Elaboración del Plan de Formación y Concienciación¶

Ciclo Plan de Formación y Concienciación

La elaboración de un Plan de Formación y Concienciación es el primer paso hacia la creación de una cultura de ciberseguridad en la organización. Este proceso debe ser estratégico, considerando los objetivos generales, las necesidades específicas de formación y la variedad de roles dentro de la empresa.

4.1. Objetivos del plan¶

El principal objetivo del plan es fomentar una cultura de ciberseguridad, es decir, lograr que el personal no solo siga políticas de seguridad, sino que entienda y valore su importancia. Esto ayuda a minimizar el riesgo de incidentes y fortalece la protección de los activos corporativos.

Objetivos específicos:

Proteger los datos corporativos: Reducir la exposición de información sensible a amenazas internas y externas.
Promover prácticas seguras: Enseñar hábitos cotidianos que reduzcan riesgos, como el uso de contraseñas robustas y la identificación de correos maliciosos.
Concienciar sobre amenazas potenciales: Lograr que los empleados sean capaces de reconocer tácticas de ingeniería social, intentos de phishing y otras amenazas comunes.

Un plan con estos objetivos no solo refuerza la seguridad, sino que también crea personal más consciente y responsable.

4.2. Evaluación de las necesidades de formación¶

Antes de diseñar los contenidos y estrategias formativas, es imprescindible realizar una evaluación inicial que permita identificar:

Áreas de debilidad: ¿Dónde existen brechas en el conocimiento o en la práctica de la ciberseguridad?
Recursos necesarios: ¿Qué materiales, herramientas o tiempo se requieren para abordar estas debilidades?

Los pasos para la evaluación pueden incluir:

Encuestas y pruebas de conocimiento:
- Cuestionarios para medir el nivel de comprensión sobre temas clave, como phishing o uso de contraseñas.
Entrevistas con líderes de equipos y responsables técnicos:
- Recopilar información sobre incidentes pasados o puntos críticos en la seguridad de cada departamento.
Simulaciones de ataques:
- Realizar pruebas prácticas, como campañas de phishing simuladas, para medir el comportamiento real del personal frente a amenazas.

A partir de esta evaluación, se obtendrá una lista de debilidades, una priorización de áreas críticas y una estimación de recursos necesarios para el plan.

4.3. Roles incluidos en el plan de formación y concienciación¶

Cada empleado tiene un papel importante en la seguridad de la organización. Por ello, el plan debe segmentar los contenidos y estrategias según los roles, departamentos y características específicas de los empleados.

4.3.1. Inclusión por roles y departamentos¶

Empleados técnicos:
- Formación en gestión de vulnerabilidades, configuración de firewalls y respuesta a incidentes.
Personal administrativo:
- Formación básica en manejo seguro de datos y prevención de errores comunes (contraseñas débiles, apertura de adjuntos sospechosos, etc.).
Perfiles de dirección y gerencia:
- Capacitación en la toma de decisiones en caso de incidentes y en la supervisión del cumplimiento de políticas.
Empleados con trabajo remoto:
- Formación específica en el uso de redes Wi-Fi seguras y herramientas como VPN.

4.3.2. Adaptación por características logísticas¶

La segmentación del plan también debe considerar factores como:

Geografía: Formación adaptada a normativas locales, como el RGPD en Europa.
Horarios y turnos: Asegurar que el personal en diferentes horarios pueda acceder a las formaciones, ya sea en vivo o grabadas.

4.3.3. Subdivisión de grupos según necesidades específicas¶

En algunos casos, puede resultar útil subdividir los grupos para personalizar aún más los contenidos en función del nivel de exposición a riesgos o las responsabilidades del rol.

Por ejemplo:

Grupo 1: Técnicos que manejan sistemas críticos → formación sobre detección de intrusiones.
Grupo 2: Personal administrativo → talleres sobre phishing e ingeniería social.

4.4. Contenidos del plan¶

Los contenidos del Plan de Formación y Concienciación deben ser relevantes, prácticos y adaptados a las necesidades de la organización. El propósito es que el personal:

Comprenda la situación actual en materia de seguridad.
Conozca las amenazas más relevantes.
Entienda las políticas corporativas que debe cumplir.
Sepa cómo proteger los activos y servicios de la empresa.

Algunos bloques de contenido habituales son:

Involucrar y notificar: Explicar de manera clara cuál es la situación de la organización en términos de seguridad, destacando incidentes pasados, vulnerabilidades conocidas o tendencias de amenazas actuales.
Formar y concienciar sobre amenazas: Proporcionar información sobre las amenazas más relevantes, como phishing, ransomware, ataques por ingeniería social o malware.
Políticas corporativas: Detallar las normativas internas que los empleados deben cumplir, como el uso de contraseñas, políticas de mesa limpia o la prohibición de instalar software no autorizado.
Protección de activos y servicios: Enseñar cómo proteger datos y sistemas específicos de la organización, como documentos financieros, datos de clientes o sistemas críticos.

4.5. Asociación de roles y contenidos¶

La efectividad del plan depende en gran medida de su capacidad para adaptarse a las necesidades de cada rol en la organización. Esto implica asociar los contenidos a los grupos de empleados según sus responsabilidades, niveles de conocimiento y riesgos específicos.

4.5.1. Criterios de diseño¶

Adaptación por rol: Los contenidos deben ser relevantes para las tareas y riesgos de cada grupo.
Lenguaje y ejemplos claros: Usar un lenguaje comprensible para cada grupo, evitando jerga técnica innecesaria con empleados no técnicos.
Escenarios específicos: Presentar situaciones prácticas relacionadas con el entorno laboral de cada grupo.

4.5.2. Ejemplo de asociación de contenidos¶

Rol/Grupo	Contenidos clave	Ejemplo
Administrativos	Phishing, políticas de mesa limpia	Identificar errores en un correo sospechoso y cerrar sesión al salir del puesto.
Técnicos	Configuración segura, respuesta a incidentes	Taller práctico para configurar firewalls o analizar alertas de un IDS.
Comerciales remotos	Uso seguro de redes Wi-Fi, 2FA	Verificar un punto de acceso antes de conectarse y activar autenticación en dos pasos.
Gerentes	Gestión de incidentes	Simulación de toma de decisiones frente a un ransomware que afecta datos clave.

4.6. Metodologías formativas¶

Para alcanzar los objetivos del plan, las estrategias formativas deben ser viables, dinámicas y adaptadas a las características de la organización. La clave es combinar diferentes metodologías para maximizar el impacto y garantizar que todo el personal participe activamente.

4.6.1. Estrategias formativas¶

División por grupos o subgrupos:
- Separar a las personas según sus roles, horarios o ubicaciones para personalizar las sesiones.
Variedad de materiales:
- Infografías: Resúmenes visuales de conceptos clave, como uso de contraseñas seguras o detección de phishing.
- Manuales: Guías detalladas sobre procedimientos de seguridad, como respuesta a incidentes o configuración de redes.
- Simulaciones: Pruebas prácticas de ataques, como phishing o ransomware, para evaluar la respuesta de los empleados.
- Módulos online: Cursos interactivos que permiten aprender a su propio ritmo.
- Estudios de caso: Análisis de incidentes reales o simulados para aprender de experiencias pasadas.
Variedad de metodologías:
- Jornadas presenciales o virtuales con ejemplos y ejercicios prácticos.
- Correos educativos con consejos breves y recordatorios periódicos.
- Simulacros como campañas de phishing simulado o simulaciones de ataques de ransomware.
- Materiales de apoyo que refuercen los conceptos clave.
Calendario de implementación:
- Establecer una periodicidad para las formaciones (mensual, trimestral o anual).

4.6.2. Ejemplo de planificación¶

Roles/Grupo	Contenidos	Materiales	Metodologías
Administrativos	Uso de contraseñas seguras, phishing	Infografías, simulaciones	Taller interactivo
Técnicos	Respuesta a incidentes, VPN	Manuales, laboratorios prácticos	Simulación técnica
Comerciales remotos	Redes Wi-Fi seguras, 2FA	Guías digitales, ejemplos prácticos	Módulo online
Gerentes	Gestión de incidentes, supervisión	Estudios de caso	Simulación de decisión

4.7. Evaluación y actualización del plan¶

El Plan de Formación y Concienciación debe ser dinámico y evolutivo, adaptándose a los cambios en el entorno de amenazas y a las necesidades internas de la organización. Para asegurar su efectividad, es fundamental evaluar el plan y ajustarlo según los resultados obtenidos.

4.7.1. Objetivos de la evaluación¶

La evaluación del plan tiene varios objetivos:

Comprobar resultados: Verificar si el personal ha adquirido los conocimientos y habilidades necesarios para prevenir y responder a incidentes de seguridad.
Identificar brechas: Detectar grupos o áreas que requieran formación adicional o refuerzo específico.
Actualizar el plan: Adaptar los contenidos y metodologías según los resultados de la evaluación y las nuevas necesidades de seguridad.

4.7.2. Métodos de evaluación¶

La evaluación puede realizarse a través de diferentes métodos, como:

Pruebas de conocimiento: Cuestionarios para medir la comprensión de los conceptos clave.
Encuestas de opinión: Recoger retroalimentación sobre la calidad, relevancia y utilidad de la formación.
Simulaciones prácticas: Realizar simulacros de ataques, como phishing o ransomware, para evaluar el comportamiento real del personal.
Revisiones periódicas de incidentes: Analizar incidentes reales ocurridos en la organización y su posible relación con carencias formativas.

4.7.3. Mejora continua y refuerzos¶

Tras la evaluación, el plan debe actualizarse para mejorar su efectividad y adaptarse a las necesidades cambiantes de la organización.

Si una simulación muestra que el personal cae con frecuencia en ataques de ingeniería social, se refuerza este tema en la siguiente formación.
Las sugerencias recogidas en las encuestas se utilizan para ajustar formatos, duración o ejemplos de las sesiones.
Las personas que no alcanzan los objetivos mínimos reciben formación de refuerzo adaptada a sus necesidades.

4.8. Planificación y revisión periódica¶

Un buen plan debe ser constante y recurrente. La aplicación y revisión periódica asegura que se mantenga actualizado y relevante en un entorno de amenazas cambiante, que la concienciación y la formación no pierdan vigencia y que el personal mantenga una postura activa frente a la seguridad.

4.8.1. Frecuencia de la formación y revisión¶

La formación debe ser continua y adaptativa, con diferentes tipos de actividades y una frecuencia de revisión que garantice la efectividad y la actualización del plan.

Formación inicial: Impartida a nuevas incorporaciones como parte de su acogida.
Refrescos regulares: Sesiones periódicas (por ejemplo, trimestrales o semestrales) para reforzar conceptos clave y abordar nuevas amenazas.
Formaciones especiales: Impartidas en respuesta a cambios importantes, como una actualización masiva de sistemas o la implantación de nuevas normativas.
Revisiones tras cada ciclo formativo: Analizar resultados y ajustar contenidos y metodologías.

4.8.2. Continuidad en la concienciación¶

La concienciación en ciberseguridad debe ser un proceso continuo, no un evento aislado.

Campañas informativas: Correos electrónicos, infografías y alertas periódicas para mantener la ciberseguridad presente en el día a día.
Gamificación y retos: Concursos y actividades que refuercen conceptos de seguridad de manera participativa.

5. Materiales para la formación y concienciación¶

La efectividad de un Plan de Formación y Concienciación depende en gran medida de los materiales utilizados para transmitir los contenidos. Estos materiales deben ser atractivos, claros y prácticos, adaptándose a las necesidades y perfiles del personal. Además, deben basarse en información actualizada sobre las amenazas cibernéticas y los contenidos previstos en el plan.

Por otra parte, la distribución adecuada de estos materiales es crucial para asegurar que lleguen a todos los empleados y se utilicen de manera efectiva.

5.1. Tipos de materiales¶

A continuación, se describen los tipos de materiales más comunes y su utilidad dentro del proceso formativo.

Pósteres y carteles: Los pósteres son ideales para comunicaciones rápidas y visuales. Sus mensajes breves y diseños llamativos captan la atención y refuerzan conceptos clave de seguridad.
Presentaciones multimedia: Las presentaciones son útiles para profundizar en temas específicos durante jornadas de formación o reuniones, combinando texto, imágenes y, en ocasiones, vídeo.
Trípticos: Los trípticos combinan la atracción visual de un póster con la capacidad de resumir información clave en su interior. Son versátiles y fáciles de distribuir en formato físico o digital.
Ataques simulados de malware: Las simulaciones de malware permiten que el personal experimente cómo sería un ataque real y aprenda a responder de manera segura, siempre en un entorno controlado.
Campañas de simulación de phishing: Las simulaciones de phishing son una de las herramientas más efectivas para evaluar y reforzar la capacidad para reconocer correos maliciosos. Tras cada campaña, se analizan los resultados y se refuerza la formación donde sea necesario.

5.2. Otros materiales complementarios¶

Vídeos y salvapantallas con mensajes breves de concienciación.
Plataformas de entrenamiento online con ejercicios interactivos.
Boletines informativos con resúmenes de amenazas recientes y consejos prácticos.

5.3. Recursos para autoaprendizaje¶

Dado que la ciberseguridad también afecta al ámbito personal, es útil ofrecer recursos de autoaprendizaje:

Cursos sobre ciberseguridad personal.
Guías para navegar de forma segura desde casa.
Enlaces a plataformas de entrenamiento en línea.

5.4. Distribución de materiales¶

Los materiales deben llegar al personal a través de canales accesibles y efectivos:
- Correo electrónico.
- Intranet corporativa.
- Espacios comunes físicos (en el caso de carteles y pósteres).
- Talleres presenciales o virtuales.

5.5. Fuentes y recursos para acceder a materiales¶

Los materiales para el Plan de Formación y Concienciación pueden obtenerse de diversas fuentes confiables, que proporcionan contenidos actualizados, adaptables y orientados a la sensibilización en ciberseguridad.

Fuentes oficiales
- INCIBE (Instituto Nacional de Ciberseguridad): Kit de concienciación con carteles, trípticos, vídeos y campañas de simulación de ataques.
- ENISA (European Union Agency for Cybersecurity): Pósteres, ilustraciones, guías y plataformas de formación para fomentar la ciberseguridad en las organizaciones.
Plataformas de entrenamiento
- Plataformas de formación en ciberseguridad (gratuitas o de pago) diseñadas para capacitar en simulaciones prácticas y temas específicos.
- Recursos interactivos gratuitos, como retos y laboratorios en línea.
Recursos internos
- Documentación propia (políticas, guías internas, incidentes pasados) para generar contenidos personalizados.
- Intranet corporativa para publicar boletines y materiales formativos en un espacio accesible.
Boletines y actualizaciones
- Boletines periódicos de organismos como INCIBE, ENISA u otros CERTs, que informan sobre amenazas emergentes y buenas prácticas.

6. Auditorías internas de cumplimiento en materia de prevención¶

La realización de auditorías internas es un componente esencial en la estrategia de ciberseguridad de cualquier organización. Estas auditorías permiten evaluar periódicamente la eficacia de las medidas implementadas, comprobar el cumplimiento de normativas legales y determinar si el personal está aplicando lo aprendido durante la formación y concienciación.

6.1. Objetivos de las auditorías¶

Medir la efectividad del plan de formación y concienciación: Identificar si se han adoptado prácticas seguras y si los contenidos formativos están dando resultados.
Evaluar las medidas de seguridad implementadas: Verificar que las tecnologías, políticas y procedimientos funcionan según lo previsto.
Comprobar el cumplimiento normativo: Asegurarse de que la organización cumple con regulaciones como el RGPD o la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPD GDD).

6.2. Métricas e indicadores de logro¶

Para evaluar el éxito del plan y las medidas de ciberseguridad, es fundamental establecer indicadores de rendimiento clave (KPIs), tanto sobre el comportamiento del personal como sobre aspectos técnicos:

Número de denuncias o notificaciones sobre posibles incidentes.
Tasa de participación en jornadas y cursos.
Resultados de simulaciones de phishing.
Número de reinstalaciones de sistemas por malware.
Comparativa de incidentes antes y después del plan.

6.3. Límites y acciones correctivas¶

Para que las métricas sean útiles, es importante definir qué resultados se consideran satisfactorios y qué acciones se tomarán en caso de no alcanzar las metas:

Establecer umbrales aceptables (por ejemplo, porcentaje máximo de personas que caen en una simulación de phishing).
Planificar acciones correctivas (refuerzo formativo, revisión de políticas, mejora de materiales, etc.).
Reconocer a equipos o personas que destaquen por su buen comportamiento en materia de seguridad.

6.4. Frecuencia de las auditorías y beneficios¶

La periodicidad de las auditorías dependerá del tamaño de la organización, del sector, del marco normativo y del entorno de amenazas.

Realizar auditorías con una frecuencia adecuada permite:

Reducir incidentes al detectar puntos débiles y solucionarlos a tiempo.
Mantener el cumplimiento normativo y evitar sanciones.
Mejorar de forma continua el Plan de Formación y Concienciación, ajustándolo a la realidad de la organización.

Por ejemplo, una empresa mediana puede realizar auditorías trimestrales para comprobar el cumplimiento de su política de uso de contraseñas y simulaciones semestrales de phishing. Esto le permitirá ajustar su plan de formación y concienciación según las necesidades detectadas y las amenazas emergentes.

Además, es importante tener en cuenta que no todas las mejoras en los indicadores se deben exclusivamente al plan de formación y concienciación. Algunos cambios pueden deberse a una reducción en ciertos tipos de ataques en el sector o a mejoras generales en las prácticas de ciberseguridad. Por ello, es fundamental realizar un análisis detallado de los resultados y adaptar las auditorías al entorno cambiante de la ciberseguridad.

Por último, es esencial involucrar a todos los departamentos en la preparación y ejecución de las auditorías, asegurando así una visión integral de la seguridad en toda la organización.

7. Kit de Concienciación en Ciberseguridad de INCIBE¶

Podemos implantar los mejores antivirus, cortafuegos y otras herramientas de seguridad a nuestro alcance para mejorar la ciberseguridad de nuestra empresa. Podemos establecer políticas internas para tener copias de seguridad y para configurar y administrar nuestros sistemas de forma segura. Pero, estas herramientas y políticas no serán muy útiles si los empleados no siguen una serie de buenas prácticas. Si no están atentos y no conocen qué puede pasar, podrán cometer errores que deriven en incidentes o los delincuentes encontrarán la forma de engañarlos para atacar a nuestra empresa.

Por todo esto, los empleados son siempre el eslabón más importante en la cadena de la seguridad para proteger nuestros recursos y la buena marcha de nuestro negocio. Por ello, para concienciarlos en un uso seguro de la tecnología actualizamos el kit de concienciación. Con esta herramienta podrás mejorar la ciberseguridad de tu organización desde el corazón de esta: sus empleados.

El kit de concienciación cuenta con:

Materiales gráficos como posters, trípticos y consejos;
9 recursos formativos temáticos en formato texto para su lectura con apoyo de presentaciones para el aula, cada uno de ellos con un test de evaluación;
3 tipos distintos de ataques dirigidos para evaluar el nivel de ciberseguridad del personal de la organización, antes de realizar el plan de formación y después de haberlo concluido.

A la hora de implantar el kit de concienciación cada empresa puede hacerlo como mejor se adapte a sus necesidades. Para facilitar esta tarea se recomienda utilizar el manual diseñado para su implantación durante un año, también incluido en el kit. Este manual describe una forma práctica para utilizar los diferentes elementos del kit, además del tiempo estimado que se deberá emplear en cada uno.

7.1. Elementos del kit de concienciación¶

Las diferentes secciones por las que está formado el kit de concienciación son:

Ataques dirigidos especialmente diseñados para evaluar el nivel de concienciación del personal en el uso del correo electrónico. El correo electrónico es el medio más utilizado por los ciberdelincuentes para realizar campañas de malware y robar información confidencial. Mediante los ataques dirigidos se simulan las campañas realizadas por los ciberdelincuentes, tanto de distribución de malware como del tipo phishing, para comprobar cuan concienciados están los empleados frente a estos ataques. Ten en cuenta que tendrás que evaluar si en tu organización, el correo electrónico es el medio más utilizado por los ciberdelincuentes para realizar campañas de malware y robar información confidencial.
Posters con imágenes diseñadas para imprimir y ubicar en diferentes estancias de la empresa con contenido y mensaje para concienciar en aspectos concretos. Cada temática en la que se centra el kit de concienciación consta de dos tipos de posters diferentes, además de dos posters con los que dar el pistoletazo de salida a la formación.
Trípticos que servirán para reforzar los contenidos incluidos en los diferentes recursos formativos. El objetivo de estos elementos es que sean impresos y colocados en lugares visibles de la organización para que el personal puedan acceder a su contenido de manera ágil.
Recursos formativos en los que consiste la formación dirigida al personal de la organización. Consta de 9 recursos formativos divididos en 6 temáticas distintas: la información, fraudes a través de correo electrónico, contraseñas, el puesto de trabajo, BYOD y teletrabajo y las redes sociales. Cada recurso formativo consta de varios elementos:
- Documento en formato PDF para su lectura o consulta con la información específica de cada temática a tratar.
- Presentación en PowerPoint con un extracto de la información de cada PDF, diseñada para facilitar su exposición en el aula.
- Consejos asociados en forma de imágenes con un texto asociado que servirán para reforzar los contenidos de cada recurso formativo vía correo electrónico, mensajes al móvil o mediante otros medios de difusión interna.
- Test de evaluación con los que el personal podrán comprobar si han asimilado los conocimientos de cada recurso y reforzar aquellos necesarios.
Encuesta de satisfacción. Formulario en PDF donde se evaluará cómo ha sido la implantación del kit y los diferentes recursos. La información facilitada servirá de ayuda para mejorar futuras versiones del kit de concienciación.