Inicio / Protege tu empresa / Blog / ¿No sabes cómo concienciar en ciberseguridad a tus empleados? ¡Nosotros te decimos cómo!

¿No sabes cómo concienciar en ciberseguridad a tus empleados? ¡Nosotros te decimos cómo!

Publicado el 19/10/2015, por INCIBE
¿No sabes cómo concienciar en ciberseguridad a tus empleados? ¡Nosotros te decimos cómo!

<Modo Anuncio ON>

¿Tiene miedo a que haya una fuga de información en su empresa y no sabe cómo evitarlo? Como sabrá, la mejor forma de evitar este tipo de accidentes es la concienciación de los empleados en temas de seguridad y las buenas prácticas diarias en el puesto de trabajo.

  • ¡Ya!, eso está muy bien pero… ¿Cómo se conciencia a los empleados en ciberseguridad?
  • Pues ¡muy fácil! ¡Les presentamos el mejor kit de concienciación del mercado! Ningún empleado podrá a partir de ahora…

<Modo Anuncio OFF>

Ya en serio, en INCIBE disponemos de un kit que os permitirá incrementar los niveles de concienciación en seguridad de vuestros empleados.

  • ¿Y eso? ¿Un kit? No entiendo nada…

Si, el Kit de concienciación de INCIBE es un conjunto de materiales mediante los cuales cualquier empresa será capaz de hacer comprender a sus empleados lo importantes que son para la ciberseguridad de la organización.

El Kit está compuesto por diferentes tipos de materiales: fondos de pantalla, salvapantallas, carteles, posters, presentaciones en PowerPoint para ciclos de formación, videos interactivos y otros tipos de documentación variada.

  • Vale, y todo esto, ¿cómo lo implantamos en la empresa?

En dos palabras: como queráis. Nosotros os proponemos un plan de trabajo que es completamente flexible para que se amolde a las necesidades de vuestra empresa.

Planteamos un proceso de concienciación que podría durar hasta 8 meses. Por supuesto, una duración tan larga no va a implicar que los empleados no puedan realizar sus rutinas diarias. De hecho, los empleados no deberían perder más de una hora al mes en este proceso formativo. La gran mayoría de acciones son de formación pasiva, de la que no requiere esfuerzo: posters, fondos de escritorio/salvapantallas con mensajes…

Cada empresa es libre de usar los materiales que se incluyen en el kit como considere necesario. Nosotros sugerimos un orden de acción que estimamos adecuado para que el empleado no se sienta saturado con tanta información.

Así, nuestro kit de concienciación se basa en 4 pilares formativos:

  • seguridad de la información
  • uso de soportes informáticos
  • seguridad en el puesto de trabajo
  • seguridad en los dispositivos móviles

Con estos cuatro pilares se cubren la mayoría de las necesidades de sensibilización en seguridad de la información para cualquier empresa.

Inicio del plan

Para comenzar con el plan de concienciación lo que proponemos es que el empleado tome conciencia sobre la ciberseguridad. Así el primer paso consiste en desplegar uno o los dos «ataques dirigidos» incluidos en el «kit de concienciación».

El objetivo, como decíamos, de estos «ataques dirigidos» es que nuestros empleados reconozcan lo vulnerables que son y que tomen conciencia de que deben ser precavidos a la hora de confiar en los archivos que ejecutan y los correos que reciben.

El kit incluye dos posibles «ataques dirigidos», un correo en apariencia legítimo que termina siendo malicioso y un pendrive que parece contener «documentos jugosos» pero que también aloja un «bicho» muy malo.

Como decimos el objetivo es concienciar y lo que se plantea es que una vez terminada esta fase, explicar a los empleados qué ha ocurrido y cuáles han sido los resultados.

El siguiente paso que proponemos es el proceso de impresión de posters y trípticos y la colocación de los posters en lugares visibles donde el empleado los pueda leer tranquilamente (el ascensor, la sala de café, salas de reuniones, etc.) ¿Podría distribuirlos por correo electrónico o a través de nuestra extranet? Si, sin problemas, es lo bueno que tiene el kit, es totalmente flexible y se adapta a tus necesidades.

Como decimos no queremos que sea un procedimiento cerrado. Si en este momento se desea también implantar los fondos de escritorio/salvapantallas u otros de los materiales incluidos en el kit, la empresa es libre de usarlos.

Procesos formativos

Cada «proceso formativo» que antes mencionábamos idealmente sería un cursillo corto en el que se explicaría a los empleados las recomendaciones básicas en aspectos de seguridad en cada una de las 4 temáticas principales.

Para ello, en el kit de concienciación se incluyen para cada tema los siguientes materiales:

  • un documento PDF con el tema desarrollado
  • un documento PowerPoint para poder impartir el cursillo de forma sencilla
  • videos interactivos que introducen al empleado en materia
  • fondos de escritorio/salvapantallas que se pueden instalar en los equipos de los empleados
  • un test que los empleados deberán responder al finalizar cada tema

Si una empresa no pudiera permitirse la posibilidad de ofrecer un cursillo de formación, siempre se podrán entregar estos materiales a los empleados y pedirles que los lean y respondan al test final.

Como decíamos se trata de cuatro procesos formativos y nosotros planteamos realizar uno cada dos meses. De esta manera el empleado no se siente saturado y tampoco se pierde tiempo de trabajo, mientras se va madurando la anterior «píldora formativa».

Consejos mensuales

Como parte del «kit de concienciación», se incluyen 12 consejos de seguridad. Éstos pueden utilizarse a modo de recordatorio de los materiales y contenidos ya distribuidos.

Los consejos son imágenes que pueden publicadas en el blog interno, en la intranet, pueden ser enviadas por correo electrónico dentro de un marco de formación continua. Puede ser impresas y utilizadas como posters. También pueden ser utilizadas como nuevos fondos de escritorio y/o salvapantallas. Se deja a la empresa la decisión de cómo utilizar estos consejos de seguridad.

Lo idea es no desplegar más de 2 consejos de seguridad al mes, ya que podríamos llegar a saturar al empleado con excesiva información. Sin embargo, cada empresa debe decidir cómo realizar el plan de concienciación y cuál debe ser la duración de éste.

Recordatorio de ataque dirigido

En nuestra propuesta, al terminar los procesos formativos sugerimos volver a lanzar los ataques dirigidos para ver la diferencia de resultados con los primeros ataques dirigidos.

Así, proponemos o bien lanzar sólo un ataque dirigido al principio del proceso y otro ahora o bien modificar los materiales que formaban parte del ataque dirigido. Por ejemplo, el texto del correo electrónico o en vez de usar un pen-drive, usar un DVD… Pequeños cambios que buscan evitar que el empleado reconozca los primeros «ataques dirigidos» y se acuerde de lo que debe hacer únicamente por la situación ya vivida.

Los resultados de estos segundos ataques dirigidos habrá que compararlos con los anteriores para así poder ver la evolución en el nivel de concienciación de los empleados

Encuesta de valoración

Finalmente sí que os agradecemos que nos hagáis llegar vuestro feedback sobre el kit de concienciación a través de esta encuesta de valoración. Cualquier propuesta será bienvenida.

Concluyendo

Con este Kit, nuestro objetivo ha sido en todo momento no ahogar a la empresa ni a los empleados con trabajo extra. La concienciación en ciberseguridad es un proceso lento que debe ir filtrándose en el empleado poco a poco. De vez en cuando es necesario alguna actividad que despierte el interés del empleado, pero en su gran mayoría, las acciones no requieren esfuerzo, están pensadas para que lleguen fácilmente al subconsciente y aumenten de forma gradual el grado de concienciación del empleado.

Esperamos que os guste y lo utilicéis en vuestra empresa. ¡Realiza acciones de concienciación en ciberseguridad dentro de tu empresa!

Etiquetas: 
Buenas prácticas
Concienciación
Protección información
Protección puesto de trabajo
Artículos relacionados
Ciberdelincuentes robando datos de un ordenador
INCIBE | 28/03/2023
¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones