Pasar al contenido principal

Formación y Concienciación

Descripción del proyecto

No cabe duda de que a medida que la efectividad de las medidas técnicas para la protección que se despliegan en las empresas aumenta, las posibilidades de éxito de un atacante disminuyen en la misma proporción. Por ello, el panorama actual de amenazas se encuentra muy focalizado al uso de las personas como medio para lograr el compromiso de un sistema.

Es en este escenario cuando las vulnerabilidades intrínsecas asociadas a la naturaleza humana adquieren un mayor protagonismo, por lo que hay que proporcionar conocimientos y entrenamiento adecuados para poder reaccionar de manera adecuada frente a amenazas que intenten explotarlas.

La formación y concienciación de usuarios en materia de ciberseguridad debería considerarse como una actividad permanente, desarrollando un programa formativo que abarque:

  • Formación específica dirigida a perfiles concretos. Abarca desde sesiones formativas específicas para la Alta Dirección como cursos que desarrollan con mayor profundidad aspectos normativos, técnicos o legales adecuados para perfiles con diferentes responsabilidades en materia de ciberseguridad en la organización.
  • Formaciones de concienciación general en materia de ciberseguridad orientadas a las personas empleadas de la organización.
  • Avisos, consejos, píldoras informativas, … relacionados con aspectos concretos de la ciberseguridad o con noticias de actualidad que de forma periódica mantengan en alerta a las personas usuarias de la organización.

Para poder evaluar y medir el grado de capacitación de las personas usuarias, resulta muy recomendable llevar a cabo ejercicios prácticos que, simulando ataques dirigidos a las personas, permitan obtener conclusiones y aspectos de mejora sobre los objetivos alcanzados con el desarrollo del plan formativo. Este tipo de ejercicios se desarrollan mediante técnicas de ingeniería social que no deben circunscribirse únicamente al ámbito tecnológico (phishing, suplantación de identidad, …), sino que deben poner en práctica otro tipo de técnicas basadas en el mundo físico (intrusión física a instalaciones, ingeniería social, suplantación de identidad telefónica o presencial, etc.).

Objetivos

Los objetivos que persigue este proyecto son los siguientes:

  • Contribuir a la seguridad global de la organización a través de la formación y capacitación del personal en materia de ciberseguridad y, específicamente, de ciberseguridad industrial.
  • Proporcionar medios que permiten que las personas usuarias dispongan de conocimientos de ciberseguridad contextualizados a su puesto de trabajo, de forma que pueda ser consciente de los riesgos que entraña con respecto al resto de la organización.
  • Mantener en alerta y “tensión” constante a las personas usuarias en relación al panorama de amenazas e incidentes que pudieran estar ocurriendo no solo a nivel internacional, sino en empresas similares del entorno más cercano.

Beneficios

Disminución de riesgo

Los beneficios que se alcanzarían con la puesta en marcha de este proyecto serían los siguientes:

  1. Desarrollar capacidades y habilidades en el personal de la empresa que permitan adquirir conocimientos y destrezas relacionados con la ciberseguridad aplicada a su entorno de trabajo de modo que sirvan como una capa adicional de defensa para la organización.
  2. Mantener en permanente alerta al personal para evitar situaciones de materialización de incidentes de seguridad en la empresa.
  3. Al igual que se produce en procesos relacionados con la seguridad física (por ejemplo, simulacros de incendio), experimentar de forma controlada las reacciones del personal frente a una amenaza simulada.
  4. Verificar que los medios de notificación de incidencias de seguridad funcionan de forma adecuada.

Dimensiones de la ciberseguridad que mejora la ejecución del proyecto

Dimensiones de la ciberseguridad que mejora la ejecución del proyecto

Tiempos estimados de ejecución

Los tiempos estimados de ejecución de este tipo de proyectos se indican únicamente a modo orientativo.

Plan de formación y concienciación

Requerimientos de dedicación de recursos de las empresas solicitantes

Requerimientos de dedicación de recursos de las empresas solicitantes

Buenas prácticas durante su ejecución

Para llevar a cabo de forma correcta este tipo de proyectos, hay que considerar las siguientes cuestiones:

  • Formación personalizada: para que una formación sea realmente efectiva, debe ser diseñada de acuerdo a las especificidades de la empresa, de forma que el personal de la misma se vea reflejado, especialmente, en los casos de uso y ejemplos que pudieran ser expuestos a lo largo de la misma.
  • Factor sorpresa: los test de ingeniería social no deben ser comunicados más que al personal implicado en la gestión de los mismos, de forma que pueda aprovecharse el factor sorpresa para evaluar las reacciones del personal. Esto incluye asimismo y especialmente, a los componentes de la Alta Dirección, sobre los que deberían intensificarse las acciones.
  • Anonimización de los resultados: los resultados de los tests o de las evaluaciones que puedan realizarse sobre los conocimientos adquiridos durante el desarrollo del plan formativo, no deben ser expuestos de forma pública señalando a personas concretas. Las conclusiones deben tener carácter general, así como las actividades de refuerzo o mejora que se identifiquen tras el análisis de las mismas.

Servicios relacionados

  • Servicios de formación y capacitación específica.

Otros proyectos relacionados

  • Realización de tests de intrusión empleando técnicas de ingeniería social.

Área de proyecto subvencionable en el programa de ayudas de ciberseguridad industrial

  • Iniciativas para la concienciación de la plantilla de la empresa industrial en el ámbito de ciberseguridad.

Perfil de empresa suministradora de servicios o productos

Las empresas que cuentan con la capacidad de prestación de los servicios incluidos en este tipo de proyectos, y que se encuentran registradas en el “Libro blanco de la Ciberseguridad en Euskadi” son aquellas que se encuentran encuadradas en la siguiente categorización:

CAPACIDAD CATEGORÍA DE LA SOLUCIÓN GRUPO DE PRODUCTO/SERVICIO
PROTEGER Concienciación y formación Sesiones de formación
Cyber Ranges
Mantenimiento Test de penetración / Red Teaming