Formación y concienciación en ciberseguridad según ENISA

En el ámbito de la Seguridad de la Información, los «controles» son medidas o procedimientos específicos implementados para proteger sistemas, redes e información contra amenazas cibernéticas, como ataques de hackers, malware o intrusiones.

Estos controles están diseñados para prevenir, detectar o mitigar posibles riesgos de seguridad informática. Pero los controles automáticos, no pueden eliminar la necesidad de formación y concienciación de los usuarios. Por un lado, para gestionar la Seguridad de la Información se requiere expertise. Por otro, para un adversario es más sencillo engañar a un usuario mediante ingeniería social para que inadvertidamente realice una acción en su favor, que desgastarse intentando sortear las barreras electrónicas. Por ello se considera a las personas “el eslabón más débil en la cadena de la ciberseguridad”.

Así, es necesario implantar un programa de formación (cualificación) y concienciación robusto. Y no solo porque sea conveniente o una buena práctica, sino porque es de obligado cumplimiento para adherirse a ciertas normas certificables, como pueden ser la ISO 27001 o el Esquema Nacional de Seguridad.

Para entender hasta qué punto es clave el contar con un buen programa de formación y concienciación en materia de ciberseguridad, baste conocer que el rol de Educador en Ciberseguridad es uno de los 12 perfiles definidos en el EUROPEAN CYBERSECURITY SKILLS FRAMEWORK de ENISA, publicado en Septiembre de 2022.

A continuación recopilo las principales características de esta figura:

  • Título del Perfil: Educador de Ciberseguridad
  • Título Alternativo: Especialista en Concienciación de Ciberseguridad, Instructor de Ciberseguridad, Profesor de Ciberseguridad
  • Resumen: Mejora el conocimiento, las habilidades y las competencias en ciberseguridad de las personas.
  • Misión: Diseña, desarrolla y lleva a cabo programas de concienciación, formación y educación en temas relacionados con la ciberseguridad y la protección de datos. Utiliza métodos, técnicas e instrumentos adecuados de enseñanza y formación para comunicar y mejorar la cultura, las capacidades, el conocimiento y las habilidades en ciberseguridad de los recursos humanos. Promueve la importancia de la ciberseguridad y la consolida en la organización.
  • Entregables: Programa de Concienciación en Ciberseguridad, Material de Formación en Ciberseguridad
  • Tareas Principales:
    • Desarrollar, actualizar y entregar planes de estudio y materiales educativos en ciberseguridad y protección de datos para la formación y la concienciación, basados en el contenido, el método y las necesidades de los estudiantes.
    • Organizar, diseñar y ofrecer actividades de concienciación en ciberseguridad y protección de datos, seminarios, cursos y formación práctica
    • Supervisar, evaluar e informar sobre la efectividad de la formación.
    • Evaluar e informar sobre el rendimiento de los estudiantes.
    • Encontrar nuevos enfoques para la educación, la formación y la concienciación.
    • Diseñar, desarrollar y ofrecer simulaciones de ciberseguridad, laboratorios virtuales o entornos de ciberseguridad.
    • Brindar orientación sobre programas de certificación en ciberseguridad para individuos.
    • Mantener y mejorar continuamente la experiencia; fomentar y potenciar la mejora continua de las capacidades y habilidades en ciberseguridad.
  • Habilidades Clave:
    • Identificar necesidades en concienciación, formación y educación en ciberseguridad.
    • Diseñar, desarrollar y ofrecer programas de aprendizaje para cubrir las necesidades en ciberseguridad.
    • Desarrollar ejercicios de ciberseguridad, incluyendo simulaciones utilizando entornos de ciberseguridad.
    • Ofrecer formación para certificaciones profesionales en ciberseguridad y protección de datos.
    • Utilizar recursos de formación relacionados con la ciberseguridad ya existentes.
    • Desarrollar programas de evaluación para las actividades de concienciación, formación y educación.
    • Comunicar, presentar e informar a las partes interesadas relevantes.
    • Identificar y seleccionar enfoques pedagógicos apropiados para el público objetivo.
    • Motivar y alentar a las personas.
  • Conocimientos Clave:
    • Estándares, metodologías y marcos pedagógicos.
    • Desarrollo de programas de concienciación, educación y formación en ciberseguridad.
    • Certificaciones relacionadas con la ciberseguridad.
    • Normativas, regulaciones y legislaciones relacionadas con la ciberseguridad.
    • Recomendaciones y mejores prácticas en ciberseguridad.
    • Normas, metodologías y marcos de trabajo en ciberseguridad.
    • Controles y soluciones en ciberseguridad.

En todo esto, hay dos aspectos fundamentales desde mi punto de vista, que son:

  • Evaluación precisa de las necesidades.

Tanto a nivel de formación como de concienciación, hay herramientas automáticas que mediante encuestas, permiten obtener este feedback para luego trazar planes adecuados. También puede recabarse esa información mediante entrevistas a personas clave, managers o empleados en general.

  • Programación efectiva de campañas.

Además de las sesiones obligatorias por normativa si aplica, una campaña trimestral en un período de 3 años, priorizando aquellas áreas en las que se observa mayor nivel de riesgo en base a las evaluaciones realizadas, pero intentando cubrirlas todas, sería ideal. Puede ser campañas selectivas o customizadas por target, pero cuidando el no sobrecargar al personal con demasiadas interacciones.

Una recomendación sería contactar con RRHH y el área Legal, para asegurar que no hay solapes entre las diferentes campañas formativas de Seguridad de la Información y otras iniciativas de la compañía con las que pudieran colisionar.

En los planes anuales, los aspectos clave serán:

  • El desarrollo y creación de contenidos (posters, píldoras online, comunicados, ciberejercicios simulando situaciones reales…)
  • La comunicación y el enganche adecuado con los interlocutores clave
  • La medición de la efectividad de las campañas.

Hay multitud de literatura acerca de cómo crear programas educativos eficientes y eficaces. Una buena opción para comenzar son los materiales de INCIBE. En el kit de concienciación hay buen material teórico-práctico que cubre las necesidades más generales, incluyendo una propuesta de cronograma de despliegue de las diferentes actividades.

Si en tu empresa necesitas preparar campañas ad-hoc, también puedes contactarme. Tengo ya experiencia en hacerlo para PyMEs o grandes empresas, de forma directa o a través de alguno de mis clientes. Tras entender la necesidad, podemos hacer formaciones en directo o incluso orquestarlo para que los empleados puedan realizarlo offline y de manera asíncrona a lo largo del tiempo, a través de la plataforma de e-learning de Escuela Tecnológica Daferra, de manera sencilla, ágil, y a un coste razonable (no de gran consultora).

Suscríbete a nuestra newsletter para estar al tanto de las novedades, ofertas y promociones, y tener acceso libre a la Masterclass de ciberseguridad donde te contaremos todo acerca del por qué, qué es y cómo trabajar en ciberseguridad. Comparte con amigos o conocidos que puedan estar interesados en estos contenidos o nuestra formación.

Recuerda que tenemos disponible el formato de formación tradicional en nuestro curso de ciberseguridad GRC, o el de trabajo garantizado, en el que solo pagarás si encuentras trabajo, y lo harás de manera cómoda: ¡te ayudaremos a buscarlo!

Deja un comentario