Skip to content

4 razones claves para realizar campañas de concienciación de ciberseguridad

campaña de concienciacion de ciberseguridad

¿Sabes cuántos ciberataques a organizaciones se producen por errores humanos cada año? ¿Conoces las claves para que tus empleados tomen conciencia según las necesidades de seguridad cibernética de la empresa?

En este artículo, te contaremos las razones para realizar una campaña de concienciación sobre seguridad cibernética y aprender a ejecutarla de la mejor forma posible, ya dispongas de un amplio presupuesto o de recursos limitados. Una campaña a largo plazo que eduque a tus empleados y que ayude a construir una cultura corporativa en torno a la ciberseguridad.

Las razones son claras, sin conciencia no hay cambio. Si los empleados no son conscientes de los riesgos a los que se enfrentan en el tratamiento de la información, difícilmente serán capaces de actuar en consecuencia. A través del Servicio Anual de Concienciación de Ciberseguridad de Cibernos, recibirás orientación y recursos para concienciar a tus empleados en esta materia.

¡Prepárate!

 

Recordatorio: qué es la ciberseguridad

La ciberseguridad es la práctica de proteger redes, programas y sistemas de ataques informáticos. Estos ataques pueden tener como objetivo obtener información confidencial, extorsionar a los usuarios, dañar el hardware o el software, o interrumpir el funcionamiento normal de los sistemas de una empresa.

Afortunadamente, existen medios para reducir los errores humanos y prevenir este tipo de prácticas. ¡Sigue leyendo!

 

RRHH: 4 motivos para llevar a cabo campañas de concienciación para empleados

Como responsable de la formación y el desarrollo de los empleados, el área de RRHH debe asegurarse de que todos los empleados estén al tanto de los riesgos de ciberseguridad y de cómo protegerse de ellos. A continuación, te contamos las razones por las que son importantes las campañas de concienciación:

  1. Ayudan a los empleados a comprender los riesgos de seguridad cibernética y cómo protegerse a sí mismos y a la empresa. 
  2. Ayudan a los empleados a identificar y reportar actividades sospechosas, lo que puede ayudar a prevenir o minimizar el daño de un ataque cibernético.
  3. Involucra a los empleados en su rol e importancia en la prevención, teniendo en cuenta que el ciberespacio es una amenaza constante para la seguridad y que es crucial que todos los empleados estén al tanto de las mejores prácticas.
  4. Apoyar en desarrollar y mantener una cultura en torno a la ciberseguridad.

Los empleados son el primer eslabón de la cadena de seguridad de una organización, y, por lo tanto, deben estar al tanto de los riesgos y las amenazas existentes. Solo así, podremos minimizar el impacto de un ciberataque y evitar que se produzcan daños irreparables. 

¿Tienes alguna necesidad en particular? Habla con uno de nuestros expertos en ciberseguridad

soluciones concienciacion en ciberseguridad

Fases para la campaña de concienciación en ciberseguridad

Vivimos en un mundo digitalmente conectado. Las aplicaciones de mensajería instantánea, la banca online y el comercio electrónico son parte de nuestra vida cotidiana. La información que circula en ellas, las infraestructuras que la sostienen y las redes que la conectan  son vulnerables a las ciberamenazas. Sin embargo, prevenirlas no es solo responsabilidad del CEO, el CISO, el CIO o cualquier otro rol profesional de la empresa, sino que es un esfuerzo de todos los empleados de la misma.

Por eso, es importante poner en marcha campañas de concienciación en ciberseguridad que sigan estas fases imprescindibles:

  • Planificación

La campaña debe comenzar en una fase de planificación en la que se traza el plan de actuación a llevar a cabo. Se ajusta el servicio a las necesidades concretas de la empresa, el público objetivo y aquello en lo que hacer mayor hincapié. En esta fase es necesario decidir el tipo de ataque a realizar, los destinatarios, el tipo de mensaje y la cartelería para la concienciación.

  • Ataque dirigido

La campaña continúa en una segunda fase con un ataque dirigido a los empleados, según se haya planificado en la etapa anterior. De esta manera, podemos evaluar el nivel de concienciación mientras despertamos el interés de la plantilla por aprender más. Se intenta que el ataque pase desapercibido por la mayor parte de la plantilla y que quienes sepan del mismo sea un conjunto mínimo de personas para que sea un ataque sorpresa.

Ejemplo de ataque phishing 

Se realiza una campaña de envío de email a las direcciones que nos proporciona la organización y se elige el tipo de campaña para que se ajuste a lo planificado inicialmente. Por ejemplo, algunas opciones de campañas de phishing son:

  • Invitación de calendario: se envía una invitación para unirse a una reunión online solicitando pulsar un enlace modificado.
  • Actualización de antivirus: con mensajes del tipo “el departamento IT acaba de terminar de migrar a una nueva plataforma, pulse aquí para activar el nuevo antivirus”.
  • Correo lleno: con mensajes del tipo “su carpeta de correo está llena y no podrá seguir recibiendo correo, por favor, entre aquí para…”.

No te preocupes por los riesgos, te garantizamos que ninguna de estas campañas implica amenazas para los sistemas de la organización.

  • Evaluación de resultados

Tras la campaña, se hace una evaluación de los resultados basado en la tasa de clics y otros criterios de comportamiento que nos den una idea del conocimiento y de los riesgos a los que se expone la organización. De esta forma, se podrá atajar de inmediato aquellos que sean más graves.

  • Formación 

Una vez generado el interés, se inicia el proceso de formación y concienciación por varias vías: formación online mediante vídeos sencillos, cartelería, consejos, etc. Será opcional la organización de charlas presenciales. Cada una de las píldoras se emplea para transmitir información útil sobre seguridad de la información y consejos o buenas prácticas a la hora de manejar información corporativa. Cada píldora formativa estará enfocada en un ámbito relevante de la seguridad en la empresa y es desarrollada por nuestro partner especializado Legitec. Algunas opciones son:

  • Confidencialidad de la información y protección de datos.
  • Soportes con medidas de seguridad a aplicar en ellos.
  • Medidas y buenas prácticas para un puesto de trabajo seguro.
  • Medidas de seguridad para dispositivos móviles usados en el trabajo.
  • Uso adecuado del correo electrónico y sus principales riesgos.
  • Qué tener en cuenta en el entorno cloud, qué se puede usar y qué no.
  • Qué revisar en una web antes de hacer una compra por internet.

 

  • Cartelería

La siguiente fase de la campaña de concienciación es la de distribuir distintos tipos de material gráfico y cartelería en diferentes zonas de la organización, especialmente en las que se puedan observar riesgos. Además, se dan distintos salvapantallas y fondos de escritorio que pueden ser usados en los equipos como refuerzo de la concienciación. Las comunicaciones también se llevan a cabo a través del correo electrónico, en la intranet, envío de emails de comunicación interna, etc.

  • Consejos mensuales

Tras realizar el ataque y una vez conocido el mismo y sus consecuencias, se inicia la distribución de consejos mensuales por correo electrónico para reforzar la concienciación en seguridad cibernética, así como envío de emails de comunicación interna, entre otros. Es otra forma de reforzar la concienciación e identificar nuevos riesgos por parte de los propios usuarios.

  • Ataque final

En esta fase, se vuelve a realizar un ataque de phishing para ver la evolución y mejora conseguida respecto al ataque inicial.

  • Replanificación 

Por último, se puede planificar el año siguiente con un nuevo ataque dirigido y con la reactivación de consejos y formaciones. Todo esto dependerá de lo que veamos necesario para asegurar el conocimiento de nuevos riesgos y estar actualizados para evitar la materialización de las amenazas a la seguridad de la información.

¡Reserva una reunión con nuestro equipo de ciberseguridad! Conocerás nuestro Servicio Anual de Concienciación en Ciberseguridad y convertirás tu plantilla en un aliado perfecto para la seguridad cibernética de la empresa.

Sobre el autor: Rogelio Toledo

Rogelio Toledo

Director General de Cibernos y Agile Plan con más de 15 años de experiencia en proyectos de transformación digital en empresas de diversos sectores.