Concienciación Ciberseguridad ENS: Formación del Equipo

El 95% de los incidentes de ciberseguridad tienen un componente de error humano. Un empleado que hace clic en un enlace de phishing, que usa una contraseña débil en varios servicios o que conecta un USB no autorizado puede comprometer toda la seguridad de tu organización, por sofisticados que sean sus sistemas técnicos. Por eso el ENS dedica controles específicos a la formación y concienciación del personal, y los auditores evalúan con rigor si estos controles se aplican de manera efectiva.

Para el contexto general del ENS, consulta mia guía definitiva del Esquema Nacional de Seguridad.

¿Cuáles son los requisitos de ENS en formación y concienciación?

El control mp.per.3 del ENS establece los requisitos de concienciación. En categoría BÁSICA se exige que todo el personal conoce las normas de seguridad que le afectan, las consecuencias de su incumplimiento y cómo actuar ante un incidente. En categoría MEDIA se añade la obligación de formación específica para los responsables de seguridad y el personal técnico que administra los sistemas. En categoría ALTA se requiere además formación periódica actualizada y evaluación de la eficacia de las acciones formativas.

Además, el control mp.per.2 (deberes y obligaciones) exige que cada persona conoce sus responsabilidades específicas en materia de seguridad, y que se documente su aceptación formal.

Diseño de un programa de concienciación efectivo

Un programa de concienciación que funcione de verdad y que satisfaga los requisitos del ENS debe ir más allá de la típica sesión anual de formación obligatoria que nadie recuerda al mes siguiente.

Definición de objetivos medibles

Antes de diseñar actividades, define qué quiere conseguir con métricas concretas. Por ejemplo, reducir la tasa de clics en simulaciones de phishing por debajo del 5%, asegurar que el 100% del personal conoce el procedimiento de notificación de incidentes, o conseguir que el 90% del personal pueda identificar al menos tres tipos de ataques de ingeniería social.

Formación inicial para nuevas incorporaciones

Todo empleado nuevo debe recibir una sesión de seguridad antes de acceder a los sistemas. Esta sesión debe cubrir la política de seguridad y las normas que le afectan, el uso aceptable de los sistemas de información, la gestión de contraseñas y el doble factor de autenticación, la identificación de correos de phishing, el procedimiento de notificación de incidentes y las consecuencias del incumplimiento.

Píldoras formativas periódicas

En lugar de una única sesión anual extensa (que se olvida rápidamente), distribuya la formación en píldoras breves a lo largo del año. Una píldora mensual de 10-15 minutos sobre un tema específico es mucho más efectiva que una jornada completa anual.

Los temas pueden rotar entre phishing y correos maliciosos, seguridad de contraseñas y gestión de credenciales, protección de información confidencial, seguridad en el teletrabajo, seguridad de dispositivos móviles, ingeniería social telefónica, navegación segura, seguridad física y puesto de trabajo despejado, uso seguro del correo electrónico, y respuesta ante incidentes.

Simulaciones de phishing

Las simulaciones de phishing son la herramienta más efectiva para medir y mejorar la concienciación. Consisten en enviar correos electrónicos simulados de phishing a los empleados y medir quién hace clic, quién introduce credenciales, quién reporta el correo sospechoso y quién lo ignora.

Las simulaciones deben ser realistas pero no agresivas (el objetivo es educar, no humillar), progresivas en dificultad, acompañadas de formación inmediata para quien caiga en la simulación, y documentadas con métricas de evolución temporal.

Una frecuencia recomendable es una simulación trimestral, variando los escenarios: suplantación de un proveedor conocido, falso mensaje del departamento de IT, premio o sorteo ficticio, supuesta factura pendiente.

Herramientas del CCN para concienciación

El CCN pone a disposición del sector público la plataforma ANGELES, que proporciona cursos de formación en ciberseguridad adaptados a diferentes perfiles (directivos, técnicos, usuarios finales), materiales de concienciación listos para usar, y evaluaciones para medir el nivel de conocimiento.

INCIBE también ofrece materiales de concienciación gratuitos a través de su web, incluyendo el kit de concienciación para empresas, que contiene recursos gráficos, vídeos y presentaciones listas para su uso.

Métricas de un programa de concienciación eficaz

Para demostrar a los auditores ENS que su programa funciona, registre y monitorice las métricas relevantes. La tasa de clic en simulaciones de phishing es el indicador más directo: una tasa inferior al 5% indica madurez. La tasa de reporte, es decir, el porcentaje de usuarios que reportan los correos sospechosos al equipo de seguridad, es incluso más importante que la tasa de clic. El porcentaje de personal que ha completado la formación obligatoria debe ser del 100%. Y los resultados de las evaluaciones de conocimiento evidencian la efectividad de la formación.

Presente estas métricas en el comité de seguridad y en la revisión por la dirección. La evolución positiva de estos indicadores es la mejor evidencia de la eficacia de su programa.

Cultura de seguridad: más allá de la formación

El objetivo último no es que los empleados aprueben un examen, sino que la seguridad se integre en la cultura de la organización. Esto se consigue con el ejemplo de la dirección (si los directivos no cumplen las normas, nadie las cumplirá), con una gestión positiva del error (si alguien cae en un phishing, se le forma, no se le sanciona públicamente), con el reconocimiento de buenas prácticas (premiar a quien reporta incidentes) y con la comunicación constante (compartir noticias de ciberseguridad relevantes, alertar sobre amenazas actuales). Relacionado: Auditoría ENS: Preparación y Claves para Superarla.

Consulta mio artículo sobre seguridad del correo electrónico para medidas técnicas que complementan la formación anti-phishing.

[[CTA-CONTACT]] ¿Necesita diseñar un programa de concienciación en ciberseguridad para tu organización? Hablamos. Te ayudo a crear un programa efectivo que cumpla con el ENS y convierta a tu equipo en la primera línea de defensa.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Análisis de Riesgos MAGERIT para ENS: Guía Práctica.