INFORME DE CONCIENCIACIÓN SOBRE

SEGURIDAD 2021

INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021

GESTIÓN
CIBERRIESGO
HUMANO

1
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021

ÍNDICE DE CONTENIDOS
Resumen ejecutivo 3
Acerca de este informe 4
- Introducción 4
- Colaboradores 4
- Solicitudes de información 4
Datos demográficos de los profesionales de
la seguridad5
- Antecedentes de la concienciación sobre la seguridad
Profesionales 5
- La estructura organizativa de la gestión del
riesgo humano 6
- Remuneración y carrera profesional 7
Medición de la madurez del programa 8
- Modelo de madurez de la concienciación sobre la seguridad 8
Predicción del éxito 10
- Cómo abordar los apoyos y los bloqueosdel programa10
- Conseguir el apoyo de los dirigentes 11
- Maximizar el tiempo mínimo 12
Resumen de las principales medidas 14
Apéndices 15
A. Matriz de indicadores del modelo de madurez 15
B. Desarrollo profesional para la seguridad
Profesionales de la sensibilización 16
Agradecimientos 18
Acerca de SANS Security Awareness 19

2
RESUMEN EJECUTIVO
Los programas de concienciación sobre la seguridad han
pasado de tener unenfoque limitado al cumplimiento a
convertirse en una parte clave de la capacidad de una
organización para gestionar su ciberriesgo humano.
El informe SANS 2021 Security Awareness ReportTM
analiza los datos de más de 1.500 profesionales de la
concienciación en materia de seguridad de todo el
mundo para identificar y comparar cómo gestionan las
organizaciones su riesgo humano. El objetivo de este
informe es ofrecer un análisis y una visión de lo que
hace que los grandes programas tengan éxito, así
como proporcionar datos procesables para mejorar su
propio programa. A continuación se enumeran las
principales conclusiones del informe de este año.
1. El tiempo, y no el presupuesto,
sigue siendo el principal reto
de los programas de
sensibilización.
Según los datos, más del 75% de los profesionales de
la concienciación en materia de seguridad dedican
menos de la mitad de su tiempo a la concienciación
en materia de seguridad, lo que implica que la
concienciación es, con demasiada frecuencia, menos
que un esfuerzo completo.
Las organizaciones que informaron del
éxito del programa al cambiar el
comportamiento de los usuarios tenían
una media de 2,5 empleados a tiempo
completo (ETC) dedicados a la
concienciación.
Las organizaciones que informan de su éxito yendo
más allá del cambio de comportamiento e
impactando en la cultura informan de que tienen al
menos 3 ETC dedicados a la concienciación en
materia de seguridad. Para gestionar eficazmente el
riesgo humano, los líderes deben realizar
inversiones estratégicas a largo plazo en las
personas, al igual que lo harían para otros esfuerzos
de seguridad como la gestión de la vulnerabilidad,
la respuesta a incidentes o los centros de
operaciones de seguridad. Las personas, y no el
presupuesto, son la clave para gestionar el riesgo
humano.
2. La mayoría de los líderes de
programas son de naturaleza
técnica, y la falta de habilidades
blandas, como la comunicación y
el marketing, sigue limitando la
capacidad de las organizaciones
para involucrar eficazmente a su
mano de obra.
Los datos muestran que las responsabilidades de
concienciación en materia de seguridad se asignan
con mucha frecuencia a personal con una formación
muy técnica que puede carecer de las habilidades
necesarias para involucrar a su personal de forma
efectiva en términos sencillos de entender.
3. La alineación estratégica es importante.
Los programas de concienciación
gestionan el riesgo humano; por ello, la
concienciación en materia de seguridad
debe ser una extensión del equipo de
seguridad, en lugar de formar parte de
los servicios jurídicos, de auditoría o de
recursos humanos y depender de ellos.
Una nueva recomendación añadida este año es que
los equipos de concienciación sobre la seguridad de
la mayoría de las organizaciones deberían depender
y ser responsabilidad del equipo de seguridad,
informando directamente al CISO si es posible.
Para aprovechar al máximo este informe, puede leerlo en
su totalidad o saltar a las secciones que le resulten más
valiosas. Nos hemos esforzado por ofrecer no sólo los
datos y lo que éstos significan, sino también las medidas
que puede tomar para gestionar mejor su riesgo
humano. Además, hemos añadido una nueva sección
sobre cómo los profesionales de la concienciación en
materia de seguridad pueden crecer y desarrollar su
carrera, incluyendo información salarial detallada (una
primicia en nuestro campo) y una trayectoria
profesional.
3
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021
SOBRE ESTE INFORME
INTRODUCCIÓN
El año 2021 marca la sexta publicación del Informe de
Concienciación sobre Seguridad de SANS, y a lo largo de
2020-2021 hemos sido testigos de profundos y rápidos
cambios en cómo y dónde trabajamos. Estos cambios
han provocado una evolución sin precedentes no solo
en la tecnología que utilizamos, sino en
cómo la utilizamos, especialmente con tanta gente
que ahora trabaja desde casa. En pocas palabras,
nunca ha sido tan importante crear y mantener
eficazmente una plantilla cibersegura y una cultura
de seguridad vibrante.
Mapa global de encuestados
COLABORADORES
Nos gustaría reconocer a las organizaciones y personas
que han hecho posible este informe, incluida nuestra
asociación con el Centro de Gobernanza de la
Ciberseguridad Kogod de la American University. Al final
del informe encontrará las biografías completas de todos
los autores y colaboradores. En definitiva, este informe
ha sido elaborado por la comunidad para la comunidad.
El informe anual 2021 de SANS sobre concienciación
en materia de seguridad permite a las organizaciones
conocer la madurez de sus programas, mejorarlos y
compararlos con otros. Incluye un análisis basado en
datos sobre el éxito de los programas maduros e
identifica las oportunidades de mejora. Para el
informe de 2021, SANS Institute
realizó una encuesta mundial a más de 1.500
profesionales cualificados en materia de seguridad de 91
países.
SOLICITUDES DE INFORMACIÓN
Si tiene alguna pregunta o sugerencia sobre este
informe, ¡queremos saber de usted! Envíenos un
correo electrónico a SAReport@sans.org o póngase
en contacto con nosotros en Twitter en
@SANSAwareness usando #SecAwareReport.
4
DATOS DEMOGRÁFICOS DE
LOS PROFESIONALES DE LA
SEGURIDAD
En su gran mayoría, los encuestados afirmaron haber Esto no sólo crea materiales de formación menos
desempeñado una función de tecnología de la eficaces, sino que también afecta a la comunicación con
información o de seguridad de la información antes de los compañeros y el liderazgo y, en última instancia,
trabajar en la concienciación sobre la seguridad. puede crear una cultura de seguridad negativa.
Por ello, los expertos técnicos y de seguridad deben ser
Menos del 20% de los encuestados conscientes de su "maldición del conocimiento".
de este año tienen una formación
no técnica, como comunicaciones, PUNTOS DE ACCIÓN
marketing, legal o recursos humanos. • Conozca sus preferencias: si es muy técnico o tiene
una sólida formación en seguridad, asegúrese de
DIGERIR LOS DATOS trabajar con otras personas para ayudar a elaborar

Tener una sólida formación técnica o de seguridad puede ser su mensaje. Su experiencia es una ventaja, pero los

beneficioso porque proporciona familiaridad con las conceptos y tecnologías de seguridad que son

tecnologías y comportamientos comunes que suponen un fáciles para usted son probablemente difíciles,

riesgo para la organización, así como con los actores de las confusos e intimidantes para la mayoría de los
demás. Uno de los mayores retos a los que se
amenazas y las tácticas, técnicas y procedimientos (TTP). Sin
enfrentan los profesionales de la seguridad es hacer
embargo, ser "demasiado técnico" puede significar que los
que la seguridad sea sencilla para sus empleados.
individuos carecen de las habilidades para comunicar
efectivamente esos riesgos o involucrar significativamente a los
empleados. • Habilidades de comunicación y compromiso:
Asegúrese de contar con alguien en su equipo de
concienciación que tenga las habilidades necesarias
Ser demasiado técnico se conoce como la "maldición del
para una comunicación y un compromiso eficaces.
conocimiento", un tipo de sesgo cognitivo. Cuantos más
Esto puede significar formar a alguien
conocimientos tenga una persona sobre un tema, más
en su equipo de seguridad, asociándose con su
difícil le resultará enseñarlo o comunicarlo. Los
departamento de comunicaciones o de marketing,
profesionales de la seguridad
o incluso integrando a uno de sus miembros en su
a menudo perciben la seguridad como algo "sencillo"
equipo de concienciación sobre la seguridad. O
porque ésta, y la tecnología relacionada, forman parte de
bien, considere la posibilidad de adquirir usted
su vida cotidiana. Además, los expertos pueden suponer
mismo las habilidades apropiadas para ayudar a
que la seguridad y la tecnología son de "conocimiento
involucrar más eficazmente a su personal. Revise el
común" para el resto de la gente y, por tanto, crear su
Apéndice B: Desarrollo de la carrera de los
programa de concienciación basándose en estas ideas
profesionales de la concienciación, el compromiso
erróneas. Como resultado, lo que los expertos tienden a
y la cultura de la seguridad.
comunicar es a menudo confuso, intimidante, abrumador y
difícil para los no expertos.

Antecedentes de los profesionales de la

concienciación sobre la seguridad
públicas
Seguridad física
Recursos Humanos Legal/Auditoría/Conformidad Desarrollo de software
Tecnología de la información
Formación
Seguridad de la información
Otros
Marketing/diseño gráfico
0
Comunicaciones/relaciones
 100200300400500
Número de
encuestado 5
s5
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021

LA ORGANIZACIÓN
ESTRUCTURA DE GESTIÓN DEL
RIESGO HUMANO
A quién se dirigen los profesionales de la
sensibilización

Director/Gerente de
TI

CISO/CSO

CIO/CTO

Director de Operaciones

(COO) Director Financiero

(CFO)

Legal/Auditoría/Conformi

dad Director de Riesgos

(CRO)

Formaci

ón Recursos
050100150 200 250 300 350
Humanos

Comunicaciones

Otros
Número de encuestados

ser una extensión del equipo de seguridad, no estar

Al igual que en años anteriores, la encuesta de este año
desconectada de otros esfuerzos de seguridad.
reveló que la mayoría de los profesionales de la
concienciación en materia de seguridad dependen de la
parte técnica de su organización. PUNTOS DE ACCIÓN
• Mantener las asociaciones: Si bien es beneficioso
DIGERIR LOS DATOS garantizar que los equipos de seguridad y tecnología
estén
Recomendamos que un programa de concienciación sea
gestionado por una persona dedicada a tiempo completo 6

que forme parte del equipo de seguridad y dependa

directamente del CISO. Esto no significa que la persona
tenga necesariamente los máximos conocimientos técnicos,
pero sí que está involucrada en la seguridad. Este individuo
sería responsable de ayudar a identificar, gestionar y medir
todo el riesgo humano de la organización. Esta persona (o
equipo) tendría acceso directo al resto del equipo de
seguridad, lo que le permitiría identificar y estar al día de los
principales riesgos humanos de la organización y de los
comportamientos que gestionan esos riesgos con mayor
eficacia. Además, el equipo de concienciación puede
trabajar con el resto del equipo de seguridad para simplificar
y comunicar las políticas, los procesos, los procedimientos y
los anuncios de seguridad para toda la plantilla. La
concienciación en materia de seguridad debe formar parte y
 directamente implicados en la concienciación
sobre la seguridad, también es esencial
desarrollar asociaciones interfuncionales con
otros equipos, como el de Recursos Humanos,
para desplegar con éxito la formación.

• Definir correctamente el papel:

El compromiso con la gestión

de los riesgos humanos debe
demostrarse asignando al
responsable general un título
que se ajuste a su misión y
garantizando que la persona
forme parte del equipo de
seguridad.
En otras palabras, se necesita un título que
se centre en la gestión del riesgo humano.
Algunos ejemplos de títulos utilizados en las
organizaciones son:

- Responsable de riesgos humanos

- Responsable de concienciación y educación en
materia de seguridad
- Director de Relaciones Exteriores y Compromiso con
la Seguridad
- Líder de comunicación y formación en materia de
seguridad
- Líder en concienciación y cultura de la seguridad
COMPENSACIÓN Y CARRERA
Por primera vez, la encuesta del Informe de
Concienciación sobre la Seguridad preguntó a los
encuestados sobre su remuneración1.
El salario medio anual declarado fue de 103.000 dólares.
Los salarios son más altos para
los que se dedican a la
concienciación sobre la
seguridad sólo durante una
parte de su tiempo de trabajo
(106.000 dólares), frente a los
que se dedican a la
concienciación sobre la
seguridad a tiempo completo
(96.000 dólares).
Una relación similar se dio en el caso de los que tenían
una formación técnica o de seguridad (salario más alto)
en comparación con los que no tenían esa formación
(salario más bajo).
DIGERIR LOS DATOS
Como es el primer año que se plantea esta pregunta, no
se puede realizar un análisis de tendencias. Sin
embargo, los datos sugieren que los que sólo dedican
parte de su tiempo a la concienciación en materia de
seguridad suelen formar ya parte del equipo de
seguridad o de tecnologías de la información y a
menudo se dedican a la concienciación en materia de
seguridad además de todas sus otras responsabilidades.
Su mayor salario podría ser un reflejo de sus habilidades
técnicas y/o de sus otras responsabilidades principales.
funciones. Los que se dedican a tiempo completo a la
concienciación pueden no tener esa formación
técnica, o puede que no se dé prioridad a la función
de concienciación y, por tanto, se les compense
menos.
1
Los encuestados, y por lo tanto los salarios reportados, son globales y
abarcan una amplia gama de diferentes industrias y países.
PUNTOS DE ACCIÓN
• Formación: Revise el Apéndice B: Desarrollo de la
carrera de los profesionales de la concienciación, el
compromiso y la cultura de la seguridad. Aquellos
que no tienen una formación técnica o de
seguridad pueden querer formarse en los campos
de la seguridad para tener una mejor comprensión
de los términos, las tecnologías y los desafíos
involucrados.
Esto no sólo le permitirá
comprender mejor los
riesgos de su organización y
comunicarse con otros sobre esos
riesgos, pero puede ser percibido
como más valioso por los miembros
de su equipo más técnico.
• Reformular la percepción: Las organizaciones, los
líderes y los equipos de seguridad pueden no percibir
la concienciación sobre la seguridad como parte de
la seguridad, o pueden percibir la seguridad
como un problema puramente técnico que requiere
una solución técnica. Para ayudar a cambiar estas
percepciones, céntrate y habla en términos de
gestión del riesgo humano. El riesgo humano está
mucho más alineado con las prioridades estratégicas
de seguridad de la mayoría de las organizaciones, es
mucho más probable que obtenga la aceptación de
los líderes, y es mucho más probable que resuene
en un equipo de seguridad. Identificar los principales
riesgos humanos
y los comportamientos clave que gestionan esos
riesgos. Demuestre cómo puede apoyar mejor al
equipo de seguridad con políticas, procesos y
prioridades de seguridad. Medir las métricas de
seguridad estratégicas clave que preocupan a la
dirección.
7
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021
MEDIR LA MADUREZ
DEL PROGRAMA
MADUREZ DE LA CONCIENCIA DE SEGURIDAD
MODEL™
Establecido en 2011 a través de un esfuerzo
coordinado por más de 200 responsables de
concienciación, el Security Awareness Maturity
Model™ permite a las organizaciones identificar y
comparar el nivel de madurez actual de su programa
de concienciación en materia de seguridad y
determinar un camino para
mejora. Los programas de concienciación sobre
seguridad más exitosos y maduros no sólo cambian el
comportamiento y la cultura, sino que también pueden
medir y demostrar su valor a través de un marco de
métricas. El modelo describe los siguientes niveles de
programas de concienciación en materia de seguridad:
• No existe: No existe ningún programa de
concienciación sobre la seguridad. Los empleados no
tienen ni idea de que son un objetivo, de que sus
acciones tienen un impacto directo en la seguridad
de la organización, no conocen ni siguen las políticas
de la organización y son fácilmente víctimas de
ataques.
• Centrado en el cumplimiento: El programa está
diseñado principalmente para cumplir con requisitos
específicos de cumplimiento o auditoría. La
formación se limita a ofrecerse de forma anual o ad
hoc. Los empleados no están seguros
de las políticas de la organización y/o su papel en
la protección de los activos de información de su
organización.
• Promover la concienciación y el cambio de
comportamiento:
El programa identifica los grupos objetivo y los
temas de formación que tienen mayor
impacto en
gestionar el riesgo humano y, en última instancia,
apoyar la misión de la organización. El programa va
más allá de la formación anual e incluye un
refuerzo continuo a lo largo del año. El contenido
se comunica de forma atractiva y positiva
que fomenta el cambio de comportamiento. Como
resultado, las personas entienden y siguen las
políticas de la organización y reconocen, previenen y
notifican activamente los incidentes
• Sostenimiento a largo plazo y cambio de
cultura: El programa cuenta con los procesos,
los recursos y el apoyo del liderazgo para una
vida a largo plazo
El programa se desarrolla a lo largo de todo el ciclo,
incluyendo (como mínimo) una revisión y
actualización anual del mismo. Como resultado, el
programa es una parte establecida de la cultura de
la organización y es actual y atractivo. El programa
ha ido más allá del cambio de comportamiento y
está cambiando las creencias, actitudes y
percepciones de la seguridad de las personas.
• Marco de medición: El programa cuenta con un
sólido marco de medición alineado con la misión de
la organización para hacer un seguimiento del
progreso y medir el impacto. Como resultado, el
programa mejora continuamente y es capaz de
demostrar el retorno de la inversión. Las métricas
son una parte importante de cada etapa, y esta
nivel simplemente refuerza que para tener un
programa realmente maduro, hay que ser capaz de
demostrar el valor para la organización.
 INEXISTENTECUMPLIMIENTO PROMOVER LA MANTENIMIENTO MARCO DE MÉTRICAS
FOCUSED CONCIENCIACIÓN A LARGO PLAZO
Y EL CAMBIO DE Y CAMBIO DE
COMPORTAMIENTO CULTURA

8
 Aunque hay muchas maneras de aprovechar el Modelo
de Madurez de Concienciación sobre Seguridad de
SANS, una de las más comunes es comparar la madurez
de su programa con otros. La mayoría de los
encuestados (53%) informaron de que sus programas
se encuentran en la mitad del Modelo de Madurez de
Concienciación sobre Seguridad, en la fase de
Promoción de la Concienciación y el Cambio de
Conducta.

Niveles de madurez de la evaluación comparativa

No existe

Centrado en el cumplimiento de
la normativa
Promover la
concienciación y el
cambio de
comportamiento
Sostenimiento a largo
plazo y cambio
400 500 600 700
de cultura
100200300
Marco de métricas

Otros enfoques incluyen el uso del modelo de madurez Madurez del programa en el tiempo
para comunicar eficazmente los objetivos estratégicos a
la dirección y como hoja de ruta que esboza la 5555
progresión ideal de un programa. Dado que la madurez
del programa refleja múltiples aspectos de su 5050
programa, como la frecuencia, el compromiso y la
medición, los programas más maduros se consideran 4545
mucho más eficaces en la gestión de los riesgos
humanos para la ciberseguridad. 4040

DIGERIR LOS DATOS 3535

En los últimos cuatro años, los encuestados afirman 3030

que la madurez del programa está aumentando. Los
que afirman que su programa de concienciación sobre 2525
la seguridad es inmaduro - definido
como programas inexistentes o centrados en el 2020
cumplimiento, han disminuido aproximadamente un
4%. Al mismo tiempo, se ha producido un aumento 1515
constante año tras año en los encuestados que
identifican su programa en un nivel de madurez 1010
creciente, definido como Sostenimiento a Largo Plazo y
Cambio de Cultura (del 9,8% al 15,71%) o Marco de 55
Métricas (.08% al 7,26%).
02017201820192021*0
PUNTO DE ACCIÓN Año

Utilice la Matriz de Indicadores del Modelo de

Conciencia de Seguridad incluida en el Apéndice A para
determinar el nivel de madurez de su programa.
Consulte el resto de este informe para
ayudar a identificar los pasos para ayudar a madurar Inexistente Cambio de comportamiento centrado
su programa.
en el cumplimiento Marco de

métricas de

mantenimien

to a largo

plazo

*no elaboramos un informe

de 2020

9
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021

PREDECIR EL ÉXITO DE
DIRIGIRSE A LOS PARTIDARIOS DEL
PROGRAMA Y A LOS BLOQUEADORES
DE
Un componente clave del éxito de un programa de
concienciación maduro es una fuerte asociación y
relación de trabajo con los departamentos clave de la
organización. Los programas de concienciación suelen
recibir un fuerte apoyo de departamentos como el de
Seguridad, Tecnología de la Información, Recursos
Humanos y Auditoría, así como de la alta dirección. Estos
apoyos a menudo proporcionan asistencia, aprobación o
recursos para permitir la ejecución del programa.
DIGERIR LOS DATOS
En cambio, los programas de concienciación también
deben trabajar con departamentos que restringen su
capacidad de ejecución, a los que llamaremos
"bloqueadores". Muchos programas informaron que los
departamentos de Operaciones y Finanzas son
bloqueadores comunes.
Dado que la mayoría de los programas de
concienciación tienen un importante impacto
presupuestario y operativo, no es de extrañar que
estos sean los principales bloqueos notificados.
PUNTOS DE ACCIÓN
A continuación se indican algunas medidas que puede
tomar para hacer frente a los bloqueadores. Recuerde
que no siempre tiene que convertir a un bloqueador en
partidario. En algunos casos, basta con convertir a un
bloqueador al estado "neutral" es suficiente para
despejar el camino para que su programa tenga éxito.
• Finanzas: Justifique los costes de formación
asociados no sólo demostrando el impacto de un
programa de formación, sino también el valor de
ese impacto en la organización general y la misión
del programa. Considere la posibilidad de analizar
los costes debidos a infracciones anteriores, al
incumplimiento de la normativa o al cumplimiento
de los requisitos de seguridad de socios o
proveedores. Compárelo con el coste del
programa de concienciación sobre seguridad que
pretende poner en marcha,
demostrando que invirtiendo en la concienciación
sobre la seguridad se pueden reducir drásticamente
esos otros costes.
• Operaciones: Simplifique los programas de
concienciación siempre que sea posible para
minimizar los impactos operativos, incluyendo las
horas de trabajo perdidas debido a la formación, la
política de formación obligatoria y la complejidad de
las operaciones del programa. Esto puede hacerse
reduciendo los temas en los que se centra a
aquellos que son de gran interés para su
organización. Involucre también al equipo de
operaciones en su proceso de planificación y
considere la posibilidad de incluirlo en su Consejo
Asesor de Concienciación sobre Seguridad. Asegúrese
de que su equipo de operaciones tiene una voz
activa en cómo y cuándo se pone en marcha su
programa.

Bloqueadores y partidarios del programa

declarados
s Operaciones Comunicaciones Dirección General
Oficina de Gestión
Presupuesto Tiempo
del Programa de Seguridad
Tecnología de la información
de la Información
Auditoría Otros
Recu

rsos humanos

legales 10

Finanza
020040060080010001200
Número de encuestados
Apoyos
al programaBloqueadores del programa
• Nivel ejecutivo: Pida a un líder de alto nivel que sea
partidario del programa de concienciación sobre la
seguridad que le oriente sobre la mejor manera de
comprometerse o manejar
bloqueadores específicos. A menudo pueden ofrecer
una perspectiva diferente sobre cómo manejar sus
desafíos o pueden acercarse al bloqueador en su
nombre.
• Desarrollar métricas: Las métricas del programa
relacionadas con el riesgo humano pueden ayudar a
promover un entendimiento común de que los
programas de formación de concienciación son
necesarios y permiten equilibrar los costes del
programa con el riesgo.

OBTENER EL APOYO DEL LIDERAZGO

Los datos de los encuestados muestran Apoyo al liderazgo
una correlación entre el apoyo de los
ejecutivos y la madurez del programa. No existe
Como los líderes de la organización
suelen decidir sobre la dotación de
Cumplimien
recursos de los programas críticos, la to
identificación de los objetivos del Niv
el
programa, de
ma Cambio
la asignación de tiempo para la de
dur
compor
formación y la aplicabilidad del ez
tamien
to
programa, el apoyo de los ejecutivos es
un ingrediente clave para el éxito del
programa.

Nivel de apoyo Cambio

cultural
No tengo apoyo

Tengo menos apoyo del que

Métrica
necesito Tengo el apoyo que
0 100 200 300 400
necesito Número de encuestados 500600

Tengo más apoyo del que

necesito

están aprovechando activamente los programas de

DIGERIR LOS DATOS
De acuerdo con cinco años de recopilación de
datos e investigación, el apoyo del liderazgo es
una variable clave para predecir el éxito de un
programa de concienciación sobre seguridad.
PUNTOS DE ACCIÓN
concienciación para gestionar eficazmente su riesgo
humano. Uno de estos informes es el DBIR anual de
Verizon, que identificó el elemento humano como el
principal impulsor
para incidentes y violaciones a nivel global. Otra
opción es unirse y trabajar con grupos de seguridad del
sector, como el ISAC (Information Sharing and Analysis
Center) de su sector.

• Hable en términos de riesgo: Con demasiada

frecuencia, la concienciación sobre la seguridad se
percibe como un esfuerzo de cumplimiento.
Utiliza términos que resuenen con tus dirigentes
y demuestra que apoyas sus prioridades
estratégicas.
En lugar de hablar de compromiso y concienciación,
utilice términos como gestión del riesgo humano.

• Cuantificar el riesgo: Los informes de seguridad,

los datos significativos y las estadísticas ayudan a
demostrar a la dirección la necesidad de abordar
el riesgo humano y cómo otras organizaciones
 impacto de su programa de concienciación a sus
• Aproveche al máximo una brecha: Nunca
dirigentes. Permítales comprender mejor y ver
dejes que una brecha se desperdicie: son
con regularidad el valor que está proporcionando
poderosos motivadores y herramientas de
su programa. ¿No está seguro de qué métricas
enseñanza. Si su organización ha tenido un
recopilar? Descargue la matriz de métricas de
incidente reciente relacionado con las
concienciación de seguridad de SANS.
personas, utilícelo para ayudar a justificar su
programa. Otra opción es trabajar con su
• Presentar un caso de negocio: Presente todos
Centro de Operaciones de Seguridad (SOC)
estos conceptos a la dirección como un caso de
o el equipo de respuesta a incidentes (IR) y
negocio. Descargar
documente todos los incidentes relacionados
y utilice la Presentación de Liderazgo de
con las personas en los últimos seis meses y los
Concienciación de Seguridad de SANS para explicar
costes correspondientes. ¿No tiene ninguna
a los líderes qué es el riesgo humano, cómo los
infracción? Utilice las infracciones que se
programas de concienciación gestionan
hayan producido en su sector o en otras
eficazmente el riesgo humano y apoyan las
organizaciones similares.
prioridades de seguridad de su organización, y
cómo estos programas se alinean con la estrategia
• Comunicar los beneficios: Dedique al menos
general de la organización.
cuatro horas al mes a recopilar y comunicar el

11
 MAXIMIZAR EL TIEMPO MÍNIMO DE
Los dos principales retos señalados para la creación
de un programa de concienciación maduro fueron la
falta de tiempo para gestionar el programa y la falta
de personal para trabajar en él y aplicarlo.

Principales retos del programa

Falta de

tiempo Falta de

personal Falta de

presupuesto

Incapacidad para

comprometer a los empleados

Cultura burocrática/conservadora

Métric

as Falta de

habilidades/experiencia

Falta de apoyo del

liderazgo

Otros

0100200300 400 500 600 700 800

Número de encuestados

Este reto se demostró aún más cuando preguntamos a

la gente por el tiempo medio que dedican a la
concienciación en materia de seguridad.
Más del 80% de los profesionales de la
concienciación en materia de seguridad
informaron de que dedican la mitad o
menos de su tiempo a la concienciación,
lo que indica que, con demasiada
frecuencia, la concienciación en materia
de seguridad es un esfuerzo a tiempo
parcial.

Porcentaje de tiempo dedicado a la concienciación sobre la seguridad

50%

40%

Por
cen 30%
taj
e
de
res
pu 20%
est
as

10%
INFORME DE CONCIENCIACIÓN SOBRE
SEGURIDAD 2021

0%
0%10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Porcentaje dedicado a la concienciación sobre la seguridad

12

12
 A continuación, quisimos comprender mejor cuántas
Parece difícil hacer crecer un programa maduro más allá del
personas se necesitan para crear y mantener un
cumplimiento sin un cierto número de personal a tiempo
programa de concienciación maduro, utilizando como
completo, por lo que debería considerar la posibilidad de alinear el
medida los equivalentes a tiempo completo (ETC). Por
personal con sus objetivos de madurez.
ejemplo, si tres personas dedican cada una la mitad (50%)
de su tiempo a su programa de concienciación, eso
supondrá un total de 1,5 ETC dedicados a su programa de
concienciación. Los datos de la encuesta revelaron una
fuerte correlación entre la cantidad de personas
dedicadas a la ejecución de un programa de
concienciación y la madurez de un programa de
concienciación, e indicaron una relación casi lineal entre
ambas.

Número medio de ETC

por nivel de madurez
4.0

3.0

Per
son 2.0
al
ET
C

1.0

0.0
No Cu Cambi Camb Mé
exi mp o de io tric
ste lim com cultur a
ien port al
to ami
ento
Madurez del programa

A continuación se muestra el mismo desglose, pero por

tamaño de la organización. También en este caso, existe
una relación casi lineal entre el número de personal que
trabaja en programas de concienciación sobre
seguridad y el número de empleados.

Número medio de ETC por tamaño de

la organización
5

3
Per
son
al
ET 2
C

00–1k1k–5k5k–25k25k–
50k50k–250k250k+
Recuento de empleados de la organización

DIGERIR LOS DATOS

 equipos ampliará su alcance y le permitirá impulsar la
El número de ETC necesarios variará, no sólo con
adopción de los comportamientos que desea
el tamaño de la plantilla, sino también con la
promover.
complejidad y la diversidad de un programa de
concienciación. Mientras que un programa de
• Defina los recursos: Identifique las funciones o
concienciación básico que cubra la formación
especialidades que necesita para ejecutar su plan de
esencial para una gran empresa puede requerir
programa. Por ejemplo, ¿necesitará a alguien con
más personal a medida que el tamaño de la
conocimientos de comunicación, un diseñador
empresa crece,
gráfico o un experto en la elaboración de
Las empresas con necesidades de formación
encuestas? Una vez que defina sus funciones y
diversas, los programas de sensibilización regionales
calcule el tiempo necesario, lleve a cabo un análisis
que implican a múltiples unidades de negocio,
de costes y beneficios que demuestre por qué la
idiomas, etc., implicarán a mucho más personal. Los
dirección debe invertir en estas personas y hacerlo
datos indican que
le permitirá, en última instancia, gestionar mejor el
Las organizaciones más grandes tienen más ETC no sólo
riesgo humano de su organización.
por el mayor número de trabajadores, sino porque a
menudo hacen más cosas dentro de su programa, como
• Formar: Forme a las personas que tiene para que sean
esfuerzos de compromiso más diversos, informes de
más eficaces. Consulte el Apéndice B: Trayectoria
métricas avanzados, organizan múltiples eventos de
profesional de los profesionales de la concienciación, el
concienciación sobre seguridad y programas de
compromiso y la cultura de la seguridad.
embajadores.

PUNTOS DE ACCIÓN 13

• Aumentar la dotación de personal: En

consonancia con iniciativas como la respuesta a
incidentes, la gestión de la vulnerabilidad o las
actividades del centro de operaciones de
seguridad, la gestión del riesgo humano
requiere inversiones estratégicas a largo plazo
en las personas. Los patrocinadores del
programa deberían considerar la posibilidad
de invertir más en personal para la
concienciación sobre la seguridad.

• Compre tiempo: Utilice su presupuesto para

comprar tiempo. No cree un boletín mensual
usted mismo, contrate a alguien para que lo
haga por usted o adquiera la licencia de los
materiales de un proveedor. En lugar de crear
una encuesta, contrate a un contratista
especializado en ciencias sociales. No
construya la solución usted mismo; más bien,
vea si hay una solución que
puede comprar o licenciar. Cuanto más pueda
delegar, más tiempo tendrá para crear
asociaciones dentro de su organización,
comprometerse con otros y, en última instancia,
impulsar el cambio con su programa.

• Establezca asociaciones: Acérquese a otros

equipos o departamentos, como los de
marketing, diseño gráfico, comunicaciones u
operaciones de seguridad. Asociarse con otros
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021

RESUMEN DE LOS PUNTOS CLAVE

DE LA ACCIÓN
• Disponga de las personas adecuadas: Se Su experiencia es una ventaja siempre que preste
necesitan 2,5 ETC para empezar a cambiar el atención a cómo contribuye a su programa.
comportamiento a nivel organizativo.

Para conseguir un programa

verdaderamente maduro, que
incluya un marco de métricas
sólido, necesitará al menos
3,5 ETC.
El número de ETC puede variar en función del
tamaño, la estructura y los requisitos de la
organización.

• Proporcionar el título adecuado: Demuestre el

compromiso de la organización con el programa, no
sólo teniendo a alguien dedicado a tiempo
completo, sino también asegurándose de que tiene
un título que se alinea con los objetivos del
programa. En otras palabras, tener un título que se
centre en la gestión del riesgo humano.

• Garantizar el apoyo del liderazgo: La presión es

uno de los medios más eficaces para obtener el
apoyo de los dirigentes. Demuestre a sus
dirigentes cómo otras organizaciones de su
sector han madurado
programas de sensibilización y seguir invirtiendo en
ellos.

• Fomente las asociaciones: Establezca asociaciones y

colabore con otras personas de su organización.
Esto es especialmente importante para cualquier
departamento clave que suponga un obstáculo,
como el de finanzas o el de operaciones. Haga que
las partes interesadas clave participen en el
proceso de planificación desde el principio.

• Compra de tiempo: Si tienes presupuesto, utilízalo

para ganar tiempo. Por ejemplo, compra o licencia
materiales en lugar de crear los tuyos propios.

• Conoce tus prejuicios:

Si usted es un experto técnico o en

seguridad, asegúrese de trabajar
con otros para crear un mensaje
claro.
 • Mejore las habilidades de comunicación y
compromiso: Asegúrese de contar con
alguien en su equipo de concienciación que
tenga las habilidades necesarias para una
comunicación y un compromiso eficaces.
• Busque un campeón: Encuentre a un gran
defensor dentro de la dirección. Pídale que le
ayude a entender mejor ciertos bloqueos, que
comunique el valor de su programa a otros
líderes o que le ayude a redactar su mensaje
en un lenguaje que los líderes empresariales
entiendan y actúen.
• Realice la formación en materia de
seguridad: Revise el Apéndice B: Desarrollo de
la carrera de los profesionales de
concienciación, el compromiso y la cultura de
la seguridad.
La formación en materia de
seguridad le permitirá
comprender mejor los
14
riesgos y las diferentes
tecnologías, marcos y enfoques
para
gestionarlos, ayudando a construir
tanto su credibilidad como su valor.
• Mejorar la percepción: Centrarse y hablar en
términos de gestión del riesgo humano. El riesgo
humano es mucho más
alineado con las prioridades estratégicas de
seguridad de la mayoría de las organizaciones, y es
mucho más probable que obtenga la aceptación de
los líderes y resuene en un equipo de seguridad.
Identificar los principales riesgos
la humanos y los comportamientos
clave que gestionan esos riesgos.
Demuestre cómo puede apoyar mejor al equipo de
seguridad con políticas, procesos y prioridades de
seguridad. Mida las métricas de seguridad
estratégicas clave que le interesan a la dirección.
APÉNDICE A: MATRIZ DE
INDICADORES DEL MODELO DE
MADUREZ
Haga clic aquí para descargar una copia digital de la Matriz de Indicadores del Modelo de Madurez. La versión digital es
mucho más fácil de leer, compartir con otros y personalizar sus necesidades.
15
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021

APÉNDICE B: DESARROLLO DE LA
CARRERA DE LOS PROFESIONALES DE LA
SEGURIDAD
Una de las principales conclusiones del informe de 2021
es que su remuneración depende en parte de su
formación y sus competencias, incluida su comprensión
de los principales temas de seguridad y las tecnologías
implicadas. Con razón o sin ella,
El personal técnico suele ser percibido como más
valioso, y la mejora de sus conocimientos técnicos puede
mejorar su capacidad de interacción con sus colegas
técnicos. Por ello, basándonos en los datos y las
conclusiones, hemos definido una formación
camino para ayudar a desarrollar las habilidades
que necesita para tener más éxito y ser
compensado adecuadamente.
DÓNDE EMPEZAR
Si es usted nuevo en el mundo de la seguridad de la
información y/o la concienciación sobre la seguridad, o
no ha tenido aún la oportunidad, el primer curso de
SANS por el que puede querer empezar es:
-MGT433 : SANS Security Awareness: Cómo
construir, mantener y medir una conciencia
madura
Programa: Esta clase de dos días sienta las
bases
de la concienciación sobre la seguridad, la gestión
del riesgo humano y, en última instancia, el cambio
de comportamiento de la organización. Para
aquellos que sean nuevos en el ámbito de la
seguridad, aprenderán conceptos como riesgo,
gestión de riesgos y análisis de riesgos. Para
aquellos
Si es nuevo en el campo de la comunicación y el
compromiso, aprenderá conceptos clave como el
modelo AIDA, Start with Why, Curse of Knowledge y
otros modelos y principios. El contenido del curso se
basa en las lecciones aprendidas en cientos de
programas de concienciación sobre seguridad de
todo el mundo. Además, aprenderá no sólo de su
instructor, sino de la amplia interacción con sus
compañeros. Por último, a través de una serie de
laboratorios y ejercicios, desarrollará su propio plan
de concienciación en materia de seguridad
personalizado que podrá aplicar en cuanto regrese a
su organización.
16
QUE SIGUE
Una vez que haya aprendido los fundamentos y quiera
desarrollarse a sí mismo y a su carrera, es posible que
tenga que desarrollar sus conocimientos de seguridad si
no tiene una formación técnica o de seguridad.
Comprender los fundamentos no sólo le ayudará a
entender mejor los riesgos, sino también los
comportamientos que gestionan esos riesgos y le
capacitan para comunicarse más eficazmente con su
equipo de seguridad y con los responsables de seguridad.
Hay dos cursos diferentes de cinco días para considerar
en esta etapa de su carrera. Cada uno de ellos tiene sus
-MGT512 en función
ventajas, : Fundamentos de liderazgo
de lo que se quiera en
conseguir.
seguridad para
Los gestores: Este curso le capacita para
convertirse en
un gestor de seguridad eficaz y ponerse al día
rápidamente en cuestiones de seguridad de la
información y
terminología. No sólo aprenderá sobre seguridad,
sino que aprenderá a gestionar la seguridad. Para
lograr este objetivo, MGT512 cubre una amplia
gama de temas de seguridad a través de toda la pila
de seguridad. Se cubren los controles de datos,
redes, hosts, aplicaciones y usuarios junto con
temas clave de gestión que abordan el ciclo de vida
de la seguridad en general. Esto también incluye la
gobernanza y los controles técnicos centrados en la
protección, la detección y la respuesta a los
problemas de seguridad.
-SEC301 : Introducción a la ciberseguridad: Jump-start
sus conocimientos sobre seguridad recibiendo
información e instrucción sobre temas
introductorios críticos que son fundamentales
para la ciberseguridad. Este curso de cinco días
adopta un enfoque técnico para los nuevos en
ciberseguridad. Abarca desde la terminología
básica hasta los fundamentos del
funcionamiento de los ordenadores y las redes,
las políticas de seguridad, el uso de contraseñas,
los principios criptográficos, los ataques a la red
y
malware, seguridad inalámbrica, cortafuegos y
muchas otras tecnologías de seguridad, seguridad
de la web y de los navegadores, copias de
seguridad, máquinas virtuales y computación en la
nube.
Todos los temas se tratan a un nivel
introductorio. El enfoque didáctico práctico,
paso a paso, le permite comprender toda la
información presentada, incluso si algunos de
los temas son nuevos para usted. Aprenderá
los fundamentos de la ciberseguridad en el
mundo real que le servirán de base para sus
habilidades y conocimientos profesionales en
los próximos años.
¿No está seguro de cuál de estos dos cursos tomar? Si
buscas una perspectiva de alto nivel o de gestión del
mundo de la seguridad de la información, te
recomendamos MGT512. Si quieres una introducción más
práctica y técnica a las herramientas y la tecnología de la
ciberseguridad, te recomendamos SEC301.
NIVEL INTERMEDIO
Una vez que tenga de 2 a 4 años de experiencia en la
concienciación sobre la seguridad y se sienta seguro
de los conceptos tanto de la ciberseguridad como del
comportamiento organizativo, lo siguiente que
recomendamos es el MGT521.
-MGT521 : Impulsar el cambio en la
ciberseguridad - Establecer una cultura de
protección, detección y
Responda: La ciberseguridad ya no es sólo una
cuestión de se trata en última instancia de un
tecnología,
cambio organizativo. Un cambio no sólo en la forma
de pensar de las personas sobre la seguridad, sino
en lo que priorizan y en cómo actúan, desde el
Consejo de Administración hacia abajo. El cambio
organizativo es un campo de estudio de la gestión
que permite a las organizaciones analizar, planificar
y luego mejorar sus operaciones y estructuras
centrándose en las personas y la cultura. SANS
MGT521 enseñará a los líderes cómo aprovechar los
principios del cambio organizativo, permitiéndoles
desarrollar, mantener y medir una cultura
impulsada por la seguridad. A través de una
instrucción práctica y real y una serie de
laboratorios y ejercicios interactivos en los que se
aplicarán los conceptos de cambio organizacional a
una variedad de
diferentes iniciativas de seguridad, aprenderá
rápidamente a integrar la ciberseguridad en su
cultura organizativa.
NIVEL AVANZADO
Una vez que tenga entre 5 y 7 años de experiencia y
quiera desarrollar realmente sus habilidades de
liderazgo en seguridad, considere el SANS MGT514. Este
curso le guiará a través del proceso de planificación
estratégica y los retos a los que se enfrentan los CISO.
Mucha gente lo considera el "Curso CISO", que ayuda a
desarrollar a los nuevos y experimentados Directores de
Seguridad de la Información para que se conviertan en
mejores líderes de seguridad. Al comprender mejor los
retos, las prioridades y las preocupaciones de los CISO,
podrá colaborar más eficazmente con ellos y
-MGT514
comunicarse en sus : Planificación
términos y suestratégica
lenguaje. de la
seguridad, política y
Liderazgo: Este curso te da herramientas para
convertirte en un
líder de negocios de seguridad que puede construir
y ejecutar planes estratégicos que resuenan con
otros ejecutivos de negocios, crear una política de
seguridad de la información eficaz, y desarrollar
habilidades de gestión y liderazgo para dirigir,
inspirar y motivar mejor a sus equipos.
Al aumentar activamente sus habilidades y
conocimientos, no sólo puede convertirse en un
líder más eficaz, sino también mejorar y ampliar
drásticamente sus oportunidades profesionales.
17
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021

AGRADECIMIENTOS
Nos gustaría agradecer a todos los que han PRINCIPALES CONTRIBUYENTES
contribuido a este esfuerzo, incluido el equipo del
Centro de Gobernanza de la Ciberseguridad de Kogod Heng Xu
(KCGC), que ha colaborado en el análisis de los Director del Centro de Gobernanza de la Ciberseguridad
datos. El KCGC es una iniciativa de investigación del de Kogod y profesor de Tecnología de la Información y
Kogod de la American University Analítica en la Escuela de Negocios Kogod de la
School of Business (KSB) centrada en la gobernanza y la American University
gestión de la ciberseguridad. La Dra. Heng Xu es profesora de informática y
analítica en la Escuela de Negocios Kogod de la
AUTORES American University, donde también es directora
del Centro de Gobernanza de la Ciberseguridad
Dan DeBeaubien
Kogod. Antes de incorporarse al Centro de
Director de producto, SANS Security Awareness
Gobernanza de la Ciberseguridad de Kogod, la Dra.
Dan DeBeaubien es un veterano con 25 años de
Xu había
experiencia en tecnologías de la información y antiguo
Tanto en el ámbito académico como en el
director de tecnología de la Universidad Tecnológica de
gubernamental, fue profesor de la Universidad de Penn
Michigan. Ha ocupado diversos puestos a lo largo de su
State durante 12 años,
carrera, como administrador de sistemas senior,
así como director de programa en la Fundación
ingeniero de telecomunicaciones senior y director de
Nacional de la Ciencia (NSF) de EE.UU. durante 3 años.
servicios de tecnología de la información y seguridad.
La investigación actual de la Dra. Xu se centra en la
Antes de unirse al equipo de SANS, Dan creó la Oficina
privacidad de la información, la ética de los datos y el
de Seguridad de la Información de Michigan Tech y los
análisis de datos. Su trabajo ha recibido numerosos
puestos de Director de Seguridad de la Información y,
premios, entre ellos el NSF Career Award en 2010, la
más recientemente, de Director de Cumplimiento de la
Medalla Stafford Beer de la Sociedad de Investigación
Información. Dan se unió a SANS en 2014 y se
Operativa en 2018, el
desempeña como Director de Tecnología de Negocios
Premio IEEE ITSS Leadership Award en Informática de
enfocándose en los productos digitales de SANS y en la
Inteligencia y Seguridad en 2020, y numerosos
estrategia de productos de concientización de
premios y nominaciones a los mejores trabajos en
seguridad.
varias conferencias de investigación importantes.

Lance Spitzner
Nan Zhang
Director de la Comunidad, SANS Security Awareness
Profesor de Tecnología de la Información y Analítica
Lance Spitzner cuenta con más de 25 años de
en la Escuela de Negocios Kogod de la American
experiencia en seguridad en la investigación de
University
ciberamenazas, arquitectura de seguridad y
El Dr. Nan Zhang es profesor de informática y analítica
concienciación y formación. Ayudó a ser pionero en
en la Escuela de Negocios Kogod de la American
los campos del engaño y la ciberinteligencia con su
University. El Dr. Zhang es un experto de renombre
creación de honeynets y la fundación del Proyecto
mundial en sistemas de bases de datos y analítica de
Honeynet.
datos, habiendo publicado más de 100 artículos de
Además, Lance ha publicado tres libros sobre seguridad,
investigación y siendo director de programas en la
ha sido consultor en más de 25 países y ha ayudado a
Fundación Nacional de la Ciencia (NSF) de Estados
más de 350 organizaciones a crear programas de
Unidos para ambos campos.
concienciación y cultura de seguridad para gestionar sus
Antes de incorporarse a Kogod, el Dr. Zhang fue
riesgos humanos. Lance es un presentador frecuente,
profesor de Ciencias de la Información/Informática en
tuitero en serie (@lspitzner) y trabaja en numerosos
la Universidad Estatal de Pensilvania,
proyectos comunitarios. Antes de dedicarse a la
Universidad George Washington y UT Arlington. Ha
seguridad de la información, Lance Spitzner fue oficial de
recibido varios premios por su trabajo, entre ellos el
blindaje en
Communications of the ACM Research Highlight en
la Fuerza de Despliegue Rápido del Ejército y obtuvo su
2020, el premio ACM SIGMOD Research Highlight en
MBA en la Universidad de Illinois.
2019,
el Premio a la Carrera de la NSF en 2008, y muchos
premios y nominaciones a la mejor ponencia en
diversas conferencias de investigación de primera
 línea.

18
SOBRE LA SEGURIDAD DE SANS
SENSIBILIZACIÓN
Desde 1989, el SANS Institute ha sido la principal
organización cooperativa de investigación y educación
en el campo de la seguridad de la información. A través
de una formación de alta calidad, certificaciones,
programas de grado, rangos cibernéticos y miles de
herramientas y recursos publicados diariamente, SANS
capacita a los profesionales de la ciberseguridad con las
habilidades prácticas necesarias para ayudar a asegurar
nuestro mundo. Más de 60 cursos constituyen el núcleo
del plan de estudios de SANS.
Los cursos han sido desarrollados por respetados
líderes de la industria en todas las áreas de práctica de
la ciberseguridad, incluyendo las operaciones de
defensa y del equipo azul, las operaciones ofensivas, la
respuesta a incidentes, la ciencia forense digital, la
seguridad en la nube y el liderazgo en ciberseguridad.
SANS Security Awareness, una división de SANS Institute,
ofrece a las organizaciones una solución completa y
exhaustiva de concienciación en materia de seguridad,
que les permite gestionar de forma fácil y eficaz su
riesgo de ciberseguridad humana. SANS Security
Awareness ha trabajado con más de 1.300
organizaciones y ha formado a más de 6,5 millones de
personas en todo el mundo. El programa SANS Security
Awareness ofrece cursos de relevancia mundial,
impartidos por expertos
herramientas y formación para que los individuos
puedan proteger su organización de los ataques y una
flota de guías y recursos inteligentes para trabajar con
usted en cada paso del camino.
Para saber más, visite
www.sans.org/security-awareness-training
19
INFORME DE CONCIENCIACIÓN SOBRE
SEGURIDAD 2021

2021 SANS Institute. Todos los derechos reservados. Este Informe de Concienciación de Seguridad de SANS
2021 ("Material Autorizado") es para uso no comercial y está destinado únicamente a fines informativos. El
Material Autorizado contiene material con derechos de autor, marcas comerciales y otra propiedad
intelectual de The Escal Institute of Advanced Technologies, Inc. /dba SANS Institute ("SANS" o
"Licenciante") y sus filiales en los Estados Unidos y en todo el mundo. Por el presente documento, el
Licenciante concede una licencia mundial, libre de derechos de autor, no sublicenciable, no exclusiva e
irrevocable para copiar, mostrar, volver a publicar, redistribuir, reproducir y/o compartir el Material
Autorizado, en su totalidad o en parte, únicamente con fines no comerciales ("Derechos de Licencia").
Todos los derechos sobre los nombres de productos, nombres de empresas, nombres comerciales,
marcas comerciales, logotipos, marcas de servicio, imagen comercial, eslóganes y/o derechos de
propiedad intelectual del Material Autorizado pertenecen y son propiedad exclusiva de SANS o de
nuestros licenciantes o licenciatarios. Estos derechos de licencia no transfieren la titularidad ni la
propiedad de ningún nombre de producto, nombre de empresa, nombre comercial, marca comercial,
logotipo, marca de servicio, imagen comercial, eslogan y/o derechos de propiedad intelectual.
El Material Autorizado no constituye un asesoramiento legal, financiero, profesional o sanitario y no
puede ser utilizado para tales fines. Si el Material Autorizado es copiado, mostrado, republicado,
redistribuido, reproducido y/o compartido, en su totalidad o en parte, el Licenciante debe ser
identificado para recibir la atribución con el aviso de copyright del Licenciante. Se prohíbe expresamente

20
el uso o la utilización indebida de nombres de productos, nombres de empresas, nombres comerciales,
marcas comerciales, logotipos, marcas de servicio, imagen comercial, eslóganes y/o derechos de
propiedad intelectual en el Material Autorizado, salvo en los casos permitidos en el presente
documento, y nada de lo declarado o implícito confiere título y/o propiedad.