Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestion de Ciberriesgo Humano
Gestion de Ciberriesgo Humano
SEGURIDAD 2021
GESTIÓN
CIBERRIESGO
HUMANO
1
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021
ÍNDICE DE CONTENIDOS
Resumen ejecutivo 3
Acerca de este informe 4
- Introducción 4
- Colaboradores 4
- Solicitudes de información 4
Datos demográficos de los profesionales de
la seguridad5
- Antecedentes de la concienciación sobre la seguridad
Profesionales 5
- La estructura organizativa de la gestión del
riesgo humano 6
- Remuneración y carrera profesional 7
Medición de la madurez del programa 8
- Modelo de madurez de la concienciación sobre la seguridad 8
Predicción del éxito 10
- Cómo abordar los apoyos y los bloqueosdel programa10
- Conseguir el apoyo de los dirigentes 11
- Maximizar el tiempo mínimo 12
Resumen de las principales medidas 14
Apéndices 15
A. Matriz de indicadores del modelo de madurez 15
B. Desarrollo profesional para la seguridad
Profesionales de la sensibilización 16
Agradecimientos 18
Acerca de SANS Security Awareness 19
2
RESUMEN EJECUTIVO
Los programas de concienciación sobre la seguridad han 2. La mayoría de los líderes de
pasado de tener unenfoque limitado al cumplimiento a
programas son de naturaleza
convertirse en una parte clave de la capacidad de una
organización para gestionar su ciberriesgo humano.
técnica, y la falta de habilidades
El informe SANS 2021 Security Awareness ReportTM blandas, como la comunicación y
analiza los datos de más de 1.500 profesionales de la el marketing, sigue limitando la
concienciación en materia de seguridad de todo el
capacidad de las organizaciones
mundo para identificar y comparar cómo gestionan las
organizaciones su riesgo humano. El objetivo de este
para involucrar eficazmente a su
informe es ofrecer un análisis y una visión de lo que mano de obra.
hace que los grandes programas tengan éxito, así Los datos muestran que las responsabilidades de
como proporcionar datos procesables para mejorar su concienciación en materia de seguridad se asignan
propio programa. A continuación se enumeran las con mucha frecuencia a personal con una formación
principales conclusiones del informe de este año. muy técnica que puede carecer de las habilidades
necesarias para involucrar a su personal de forma
efectiva en términos sencillos de entender.
1. El tiempo, y no el presupuesto,
sigue siendo el principal reto
3. La alineación estratégica es importante.
de los programas de
sensibilización. Los programas de concienciación
Según los datos, más del 75% de los profesionales de gestionan el riesgo humano; por ello, la
la concienciación en materia de seguridad dedican concienciación en materia de seguridad
menos de la mitad de su tiempo a la concienciación debe ser una extensión del equipo de
en materia de seguridad, lo que implica que la seguridad, en lugar de formar parte de
concienciación es, con demasiada frecuencia, menos los servicios jurídicos, de auditoría o de
que un esfuerzo completo. recursos humanos y depender de ellos.
Las organizaciones que informaron del Una nueva recomendación añadida este año es que
éxito del programa al cambiar el los equipos de concienciación sobre la seguridad de
comportamiento de los usuarios tenían la mayoría de las organizaciones deberían depender
una media de 2,5 empleados a tiempo y ser responsabilidad del equipo de seguridad,
completo (ETC) dedicados a la informando directamente al CISO si es posible.
concienciación.
Para aprovechar al máximo este informe, puede leerlo en
Las organizaciones que informan de su éxito yendo su totalidad o saltar a las secciones que le resulten más
más allá del cambio de comportamiento e valiosas. Nos hemos esforzado por ofrecer no sólo los
impactando en la cultura informan de que tienen al datos y lo que éstos significan, sino también las medidas
menos 3 ETC dedicados a la concienciación en que puede tomar para gestionar mejor su riesgo
materia de seguridad. Para gestionar eficazmente el humano. Además, hemos añadido una nueva sección
riesgo humano, los líderes deben realizar sobre cómo los profesionales de la concienciación en
inversiones estratégicas a largo plazo en las materia de seguridad pueden crecer y desarrollar su
personas, al igual que lo harían para otros esfuerzos carrera, incluyendo información salarial detallada (una
de seguridad como la gestión de la vulnerabilidad, primicia en nuestro campo) y una trayectoria
la respuesta a incidentes o los centros de profesional.
operaciones de seguridad. Las personas, y no el
presupuesto, son la clave para gestionar el riesgo
humano.
3
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021
Tener una sólida formación técnica o de seguridad puede ser su mensaje. Su experiencia es una ventaja, pero los
beneficioso porque proporciona familiaridad con las conceptos y tecnologías de seguridad que son
tecnologías y comportamientos comunes que suponen un fáciles para usted son probablemente difíciles,
riesgo para la organización, así como con los actores de las confusos e intimidantes para la mayoría de los
demás. Uno de los mayores retos a los que se
amenazas y las tácticas, técnicas y procedimientos (TTP). Sin
enfrentan los profesionales de la seguridad es hacer
embargo, ser "demasiado técnico" puede significar que los
que la seguridad sea sencilla para sus empleados.
individuos carecen de las habilidades para comunicar
efectivamente esos riesgos o involucrar significativamente a los
empleados. • Habilidades de comunicación y compromiso:
Asegúrese de contar con alguien en su equipo de
concienciación que tenga las habilidades necesarias
Ser demasiado técnico se conoce como la "maldición del
para una comunicación y un compromiso eficaces.
conocimiento", un tipo de sesgo cognitivo. Cuantos más
Esto puede significar formar a alguien
conocimientos tenga una persona sobre un tema, más
en su equipo de seguridad, asociándose con su
difícil le resultará enseñarlo o comunicarlo. Los
departamento de comunicaciones o de marketing,
profesionales de la seguridad
o incluso integrando a uno de sus miembros en su
a menudo perciben la seguridad como algo "sencillo"
equipo de concienciación sobre la seguridad. O
porque ésta, y la tecnología relacionada, forman parte de
bien, considere la posibilidad de adquirir usted
su vida cotidiana. Además, los expertos pueden suponer
mismo las habilidades apropiadas para ayudar a
que la seguridad y la tecnología son de "conocimiento
involucrar más eficazmente a su personal. Revise el
común" para el resto de la gente y, por tanto, crear su
Apéndice B: Desarrollo de la carrera de los
programa de concienciación basándose en estas ideas
profesionales de la concienciación, el compromiso
erróneas. Como resultado, lo que los expertos tienden a
y la cultura de la seguridad.
comunicar es a menudo confuso, intimidante, abrumador y
difícil para los no expertos.
LA ORGANIZACIÓN
ESTRUCTURA DE GESTIÓN DEL
RIESGO HUMANO
A quién se dirigen los profesionales de la
sensibilización
Director/Gerente de
TI
CISO/CSO
CIO/CTO
Director de Operaciones
(CFO)
Legal/Auditoría/Conformi
(CRO)
Formaci
ón Recursos
050100150 200 250 300 350
Humanos
Comunicaciones
Otros
Número de encuestados
7
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021
MEDIR LA MADUREZ
DEL PROGRAMA
MADUREZ DE LA CONCIENCIA DE SEGURIDAD
MODEL™
Establecido en 2011 a través de un esfuerzo gestionar el riesgo humano y, en última instancia,
coordinado por más de 200 responsables de apoyar la misión de la organización. El programa va
concienciación, el Security Awareness Maturity más allá de la formación anual e incluye un
Model™ permite a las organizaciones identificar y refuerzo continuo a lo largo del año. El contenido
comparar el nivel de madurez actual de su programa se comunica de forma atractiva y positiva
de concienciación en materia de seguridad y que fomenta el cambio de comportamiento. Como
determinar un camino para resultado, las personas entienden y siguen las
mejora. Los programas de concienciación sobre políticas de la organización y reconocen, previenen y
seguridad más exitosos y maduros no sólo cambian el notifican activamente los incidentes
comportamiento y la cultura, sino que también pueden
medir y demostrar su valor a través de un marco de • Sostenimiento a largo plazo y cambio de
métricas. El modelo describe los siguientes niveles de cultura: El programa cuenta con los procesos,
programas de concienciación en materia de seguridad: los recursos y el apoyo del liderazgo para una
vida a largo plazo
• No existe: No existe ningún programa de El programa se desarrolla a lo largo de todo el ciclo,
concienciación sobre la seguridad. Los empleados no incluyendo (como mínimo) una revisión y
tienen ni idea de que son un objetivo, de que sus actualización anual del mismo. Como resultado, el
acciones tienen un impacto directo en la seguridad programa es una parte establecida de la cultura de
de la organización, no conocen ni siguen las políticas la organización y es actual y atractivo. El programa
de la organización y son fácilmente víctimas de ha ido más allá del cambio de comportamiento y
ataques. está cambiando las creencias, actitudes y
percepciones de la seguridad de las personas.
• Centrado en el cumplimiento: El programa está
diseñado principalmente para cumplir con requisitos • Marco de medición: El programa cuenta con un
específicos de cumplimiento o auditoría. La sólido marco de medición alineado con la misión de
formación se limita a ofrecerse de forma anual o ad la organización para hacer un seguimiento del
hoc. Los empleados no están seguros progreso y medir el impacto. Como resultado, el
de las políticas de la organización y/o su papel en programa mejora continuamente y es capaz de
la protección de los activos de información de su demostrar el retorno de la inversión. Las métricas
organización. son una parte importante de cada etapa, y esta
nivel simplemente refuerza que para tener un
• Promover la concienciación y el cambio de programa realmente maduro, hay que ser capaz de
comportamiento: demostrar el valor para la organización.
El programa identifica los grupos objetivo y los
temas de formación que tienen mayor
impacto en
INEXISTENTECUMPLIMIENTO PROMOVER LA MANTENIMIENTO MARCO DE MÉTRICAS
FOCUSED CONCIENCIACIÓN A LARGO PLAZO
Y EL CAMBIO DE Y CAMBIO DE
COMPORTAMIENTO CULTURA
8
Aunque hay muchas maneras de aprovechar el Modelo
de Madurez de Concienciación sobre Seguridad de
SANS, una de las más comunes es comparar la madurez
de su programa con otros. La mayoría de los
encuestados (53%) informaron de que sus programas
se encuentran en la mitad del Modelo de Madurez de
Concienciación sobre Seguridad, en la fase de
Promoción de la Concienciación y el Cambio de
Conducta.
Centrado en el cumplimiento de
la normativa
Promover la
concienciación y el
cambio de
comportamiento
Sostenimiento a largo
plazo y cambio
400 500 600 700
de cultura
100200300
Marco de métricas
Otros enfoques incluyen el uso del modelo de madurez Madurez del programa en el tiempo
para comunicar eficazmente los objetivos estratégicos a
la dirección y como hoja de ruta que esboza la 5555
progresión ideal de un programa. Dado que la madurez
del programa refleja múltiples aspectos de su 5050
programa, como la frecuencia, el compromiso y la
medición, los programas más maduros se consideran 4545
mucho más eficaces en la gestión de los riesgos
humanos para la ciberseguridad. 4040
métricas de
mantenimien
to a largo
plazo
9
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021
PREDECIR EL ÉXITO DE
DIRIGIRSE A LOS PARTIDARIOS DEL
PROGRAMA Y A LOS BLOQUEADORES
DE
Un componente clave del éxito de un programa de bloqueador al estado "neutral" es suficiente para
concienciación maduro es una fuerte asociación y despejar el camino para que su programa tenga éxito.
relación de trabajo con los departamentos clave de la
organización. Los programas de concienciación suelen • Finanzas: Justifique los costes de formación
recibir un fuerte apoyo de departamentos como el de asociados no sólo demostrando el impacto de un
Seguridad, Tecnología de la Información, Recursos programa de formación, sino también el valor de
Humanos y Auditoría, así como de la alta dirección. Estos ese impacto en la organización general y la misión
apoyos a menudo proporcionan asistencia, aprobación o del programa. Considere la posibilidad de analizar
recursos para permitir la ejecución del programa. los costes debidos a infracciones anteriores, al
incumplimiento de la normativa o al cumplimiento
DIGERIR LOS DATOS de los requisitos de seguridad de socios o
proveedores. Compárelo con el coste del
En cambio, los programas de concienciación también programa de concienciación sobre seguridad que
deben trabajar con departamentos que restringen su pretende poner en marcha,
capacidad de ejecución, a los que llamaremos demostrando que invirtiendo en la concienciación
"bloqueadores". Muchos programas informaron que los sobre la seguridad se pueden reducir drásticamente
departamentos de Operaciones y Finanzas son esos otros costes.
bloqueadores comunes.
• Operaciones: Simplifique los programas de
Dado que la mayoría de los programas de
concienciación siempre que sea posible para
concienciación tienen un importante impacto
minimizar los impactos operativos, incluyendo las
presupuestario y operativo, no es de extrañar que
horas de trabajo perdidas debido a la formación, la
estos sean los principales bloqueos notificados.
política de formación obligatoria y la complejidad de
las operaciones del programa. Esto puede hacerse
PUNTOS DE ACCIÓN reduciendo los temas en los que se centra a
aquellos que son de gran interés para su
A continuación se indican algunas medidas que puede
organización. Involucre también al equipo de
tomar para hacer frente a los bloqueadores. Recuerde
operaciones en su proceso de planificación y
que no siempre tiene que convertir a un bloqueador en
considere la posibilidad de incluirlo en su Consejo
partidario. En algunos casos, basta con convertir a un
Asesor de Concienciación sobre Seguridad. Asegúrese
de que su equipo de operaciones tiene una voz
activa en cómo y cuándo se pone en marcha su
programa.
rsos humanos
legales 10
Finanza
020040060080010001200
Número de encuestados
Apoyos
al programaBloqueadores del programa
• Nivel ejecutivo: Pida a un líder de alto nivel que sea • Desarrollar métricas: Las métricas del programa
partidario del programa de concienciación sobre la relacionadas con el riesgo humano pueden ayudar a
seguridad que le oriente sobre la mejor manera de promover un entendimiento común de que los
comprometerse o manejar programas de formación de concienciación son
bloqueadores específicos. A menudo pueden ofrecer necesarios y permiten equilibrar los costes del
una perspectiva diferente sobre cómo manejar sus programa con el riesgo.
desafíos o pueden acercarse al bloqueador en su
nombre.
11
MAXIMIZAR EL TIEMPO MÍNIMO DE
Los dos principales retos señalados para la creación
de un programa de concienciación maduro fueron la
falta de tiempo para gestionar el programa y la falta
de personal para trabajar en él y aplicarlo.
tiempo Falta de
personal Falta de
presupuesto
Incapacidad para
Cultura burocrática/conservadora
Métric
as Falta de
habilidades/experiencia
liderazgo
Otros
40%
Por
cen 30%
taj
e
de
res
pu 20%
est
as
10%
INFORME DE CONCIENCIACIÓN SOBRE
SEGURIDAD 2021
0%
0%10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Porcentaje dedicado a la concienciación sobre la seguridad
12
12
A continuación, quisimos comprender mejor cuántas
Parece difícil hacer crecer un programa maduro más allá del
personas se necesitan para crear y mantener un
cumplimiento sin un cierto número de personal a tiempo
programa de concienciación maduro, utilizando como
completo, por lo que debería considerar la posibilidad de alinear el
medida los equivalentes a tiempo completo (ETC). Por
personal con sus objetivos de madurez.
ejemplo, si tres personas dedican cada una la mitad (50%)
de su tiempo a su programa de concienciación, eso
supondrá un total de 1,5 ETC dedicados a su programa de
concienciación. Los datos de la encuesta revelaron una
fuerte correlación entre la cantidad de personas
dedicadas a la ejecución de un programa de
concienciación y la madurez de un programa de
concienciación, e indicaron una relación casi lineal entre
ambas.
3.0
Per
son 2.0
al
ET
C
1.0
0.0
No Cu Cambi Camb Mé
exi mp o de io tric
ste lim com cultur a
ien port al
to ami
ento
Madurez del programa
3
Per
son
al
ET 2
C
00–1k1k–5k5k–25k25k–
50k50k–250k250k+
Recuento de empleados de la organización
PUNTOS DE ACCIÓN 13
14
APÉNDICE A: MATRIZ DE
INDICADORES DEL MODELO DE
MADUREZ
Haga clic aquí para descargar una copia digital de la Matriz de Indicadores del Modelo de Madurez. La versión digital es
mucho más fácil de leer, compartir con otros y personalizar sus necesidades.
15
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021
APÉNDICE B: DESARROLLO DE LA
CARRERA DE LOS PROFESIONALES DE LA
SEGURIDAD
Una de las principales conclusiones del informe de 2021 QUE SIGUE
es que su remuneración depende en parte de su
formación y sus competencias, incluida su comprensión Una vez que haya aprendido los fundamentos y quiera
de los principales temas de seguridad y las tecnologías desarrollarse a sí mismo y a su carrera, es posible que
implicadas. Con razón o sin ella, tenga que desarrollar sus conocimientos de seguridad si
El personal técnico suele ser percibido como más no tiene una formación técnica o de seguridad.
valioso, y la mejora de sus conocimientos técnicos puede Comprender los fundamentos no sólo le ayudará a
mejorar su capacidad de interacción con sus colegas entender mejor los riesgos, sino también los
técnicos. Por ello, basándonos en los datos y las comportamientos que gestionan esos riesgos y le
conclusiones, hemos definido una formación capacitan para comunicarse más eficazmente con su
camino para ayudar a desarrollar las habilidades equipo de seguridad y con los responsables de seguridad.
que necesita para tener más éxito y ser Hay dos cursos diferentes de cinco días para considerar
compensado adecuadamente. en esta etapa de su carrera. Cada uno de ellos tiene sus
-MGT512 en función
ventajas, : Fundamentos de liderazgo
de lo que se quiera en
conseguir.
DÓNDE EMPEZAR seguridad para
Los gestores: Este curso le capacita para
Si es usted nuevo en el mundo de la seguridad de la convertirse en
información y/o la concienciación sobre la seguridad, o
un gestor de seguridad eficaz y ponerse al día
no ha tenido aún la oportunidad, el primer curso de
rápidamente en cuestiones de seguridad de la
SANS por el que puede querer empezar es:
información y
-MGT433 : SANS Security Awareness: Cómo
terminología. No sólo aprenderá sobre seguridad,
construir, mantener y medir una conciencia
sino que aprenderá a gestionar la seguridad. Para
madura
lograr este objetivo, MGT512 cubre una amplia
Programa: Esta clase de dos días sienta las
gama de temas de seguridad a través de toda la pila
bases
de la concienciación sobre la seguridad, la gestión
de seguridad. Se cubren los controles de datos,
del riesgo humano y, en última instancia, el cambio
redes, hosts, aplicaciones y usuarios junto con
de comportamiento de la organización. Para
temas clave de gestión que abordan el ciclo de vida
aquellos que sean nuevos en el ámbito de la
de la seguridad en general. Esto también incluye la
seguridad, aprenderán conceptos como riesgo,
gobernanza y los controles técnicos centrados en la
gestión de riesgos y análisis de riesgos. Para
protección, la detección y la respuesta a los
aquellos
problemas de seguridad.
Si es nuevo en el campo de la comunicación y el
-SEC301 : Introducción a la ciberseguridad: Jump-start
compromiso, aprenderá conceptos clave como el
modelo AIDA, Start with Why, Curse of Knowledge y
sus conocimientos sobre seguridad recibiendo
otros modelos y principios. El contenido del curso se
información e instrucción sobre temas
basa en las lecciones aprendidas en cientos de
introductorios críticos que son fundamentales
programas de concienciación sobre seguridad de
para la ciberseguridad. Este curso de cinco días
todo el mundo. Además, aprenderá no sólo de su
adopta un enfoque técnico para los nuevos en
instructor, sino de la amplia interacción con sus
ciberseguridad. Abarca desde la terminología
compañeros. Por último, a través de una serie de
básica hasta los fundamentos del
laboratorios y ejercicios, desarrollará su propio plan
funcionamiento de los ordenadores y las redes,
de concienciación en materia de seguridad
las políticas de seguridad, el uso de contraseñas,
personalizado que podrá aplicar en cuanto regrese a
los principios criptográficos, los ataques a la red
su organización.
y
malware, seguridad inalámbrica, cortafuegos y
muchas otras tecnologías de seguridad, seguridad
de la web y de los navegadores, copias de
16
seguridad, máquinas virtuales y computación en la
nube.
Todos los temas se tratan a un nivel
introductorio. El enfoque didáctico práctico,
paso a paso, le permite comprender toda la
información presentada, incluso si algunos de
los temas son nuevos para usted. Aprenderá
los fundamentos de la ciberseguridad en el
mundo real que le servirán de base para sus
habilidades y conocimientos profesionales en
los próximos años.
¿No está seguro de cuál de estos dos cursos tomar? Si diferentes iniciativas de seguridad, aprenderá
buscas una perspectiva de alto nivel o de gestión del rápidamente a integrar la ciberseguridad en su
mundo de la seguridad de la información, te cultura organizativa.
recomendamos MGT512. Si quieres una introducción más
práctica y técnica a las herramientas y la tecnología de la NIVEL AVANZADO
ciberseguridad, te recomendamos SEC301.
Una vez que tenga entre 5 y 7 años de experiencia y
NIVEL INTERMEDIO quiera desarrollar realmente sus habilidades de
liderazgo en seguridad, considere el SANS MGT514. Este
Una vez que tenga de 2 a 4 años de experiencia en la curso le guiará a través del proceso de planificación
concienciación sobre la seguridad y se sienta seguro estratégica y los retos a los que se enfrentan los CISO.
de los conceptos tanto de la ciberseguridad como del Mucha gente lo considera el "Curso CISO", que ayuda a
comportamiento organizativo, lo siguiente que desarrollar a los nuevos y experimentados Directores de
recomendamos es el MGT521. Seguridad de la Información para que se conviertan en
-MGT521 : Impulsar el cambio en la mejores líderes de seguridad. Al comprender mejor los
ciberseguridad - Establecer una cultura de retos, las prioridades y las preocupaciones de los CISO,
protección, detección y podrá colaborar más eficazmente con ellos y
Responda: La ciberseguridad ya no es sólo una -MGT514
comunicarse en sus : Planificación
términos y suestratégica
lenguaje. de la
cuestión de se trata en última instancia de un
tecnología, seguridad, política y
cambio organizativo. Un cambio no sólo en la forma Liderazgo: Este curso te da herramientas para
convertirte en un
de pensar de las personas sobre la seguridad, sino
en lo que priorizan y en cómo actúan, desde el líder de negocios de seguridad que puede construir
Consejo de Administración hacia abajo. El cambio y ejecutar planes estratégicos que resuenan con
organizativo es un campo de estudio de la gestión otros ejecutivos de negocios, crear una política de
que permite a las organizaciones analizar, planificar seguridad de la información eficaz, y desarrollar
y luego mejorar sus operaciones y estructuras habilidades de gestión y liderazgo para dirigir,
centrándose en las personas y la cultura. SANS inspirar y motivar mejor a sus equipos.
MGT521 enseñará a los líderes cómo aprovechar los
principios del cambio organizativo, permitiéndoles Al aumentar activamente sus habilidades y
desarrollar, mantener y medir una cultura conocimientos, no sólo puede convertirse en un
impulsada por la seguridad. A través de una líder más eficaz, sino también mejorar y ampliar
instrucción práctica y real y una serie de drásticamente sus oportunidades profesionales.
laboratorios y ejercicios interactivos en los que se
aplicarán los conceptos de cambio organizacional a
una variedad de
17
INFORME DE CONCIENCIACIÓN SOBRE SEGURIDAD 2021
AGRADECIMIENTOS
Nos gustaría agradecer a todos los que han PRINCIPALES CONTRIBUYENTES
contribuido a este esfuerzo, incluido el equipo del
Centro de Gobernanza de la Ciberseguridad de Kogod Heng Xu
(KCGC), que ha colaborado en el análisis de los Director del Centro de Gobernanza de la Ciberseguridad
datos. El KCGC es una iniciativa de investigación del de Kogod y profesor de Tecnología de la Información y
Kogod de la American University Analítica en la Escuela de Negocios Kogod de la
School of Business (KSB) centrada en la gobernanza y la American University
gestión de la ciberseguridad. La Dra. Heng Xu es profesora de informática y
analítica en la Escuela de Negocios Kogod de la
AUTORES American University, donde también es directora
del Centro de Gobernanza de la Ciberseguridad
Dan DeBeaubien
Kogod. Antes de incorporarse al Centro de
Director de producto, SANS Security Awareness
Gobernanza de la Ciberseguridad de Kogod, la Dra.
Dan DeBeaubien es un veterano con 25 años de
Xu había
experiencia en tecnologías de la información y antiguo
Tanto en el ámbito académico como en el
director de tecnología de la Universidad Tecnológica de
gubernamental, fue profesor de la Universidad de Penn
Michigan. Ha ocupado diversos puestos a lo largo de su
State durante 12 años,
carrera, como administrador de sistemas senior,
así como director de programa en la Fundación
ingeniero de telecomunicaciones senior y director de
Nacional de la Ciencia (NSF) de EE.UU. durante 3 años.
servicios de tecnología de la información y seguridad.
La investigación actual de la Dra. Xu se centra en la
Antes de unirse al equipo de SANS, Dan creó la Oficina
privacidad de la información, la ética de los datos y el
de Seguridad de la Información de Michigan Tech y los
análisis de datos. Su trabajo ha recibido numerosos
puestos de Director de Seguridad de la Información y,
premios, entre ellos el NSF Career Award en 2010, la
más recientemente, de Director de Cumplimiento de la
Medalla Stafford Beer de la Sociedad de Investigación
Información. Dan se unió a SANS en 2014 y se
Operativa en 2018, el
desempeña como Director de Tecnología de Negocios
Premio IEEE ITSS Leadership Award en Informática de
enfocándose en los productos digitales de SANS y en la
Inteligencia y Seguridad en 2020, y numerosos
estrategia de productos de concientización de
premios y nominaciones a los mejores trabajos en
seguridad.
varias conferencias de investigación importantes.
Lance Spitzner
Nan Zhang
Director de la Comunidad, SANS Security Awareness
Profesor de Tecnología de la Información y Analítica
Lance Spitzner cuenta con más de 25 años de
en la Escuela de Negocios Kogod de la American
experiencia en seguridad en la investigación de
University
ciberamenazas, arquitectura de seguridad y
El Dr. Nan Zhang es profesor de informática y analítica
concienciación y formación. Ayudó a ser pionero en
en la Escuela de Negocios Kogod de la American
los campos del engaño y la ciberinteligencia con su
University. El Dr. Zhang es un experto de renombre
creación de honeynets y la fundación del Proyecto
mundial en sistemas de bases de datos y analítica de
Honeynet.
datos, habiendo publicado más de 100 artículos de
Además, Lance ha publicado tres libros sobre seguridad,
investigación y siendo director de programas en la
ha sido consultor en más de 25 países y ha ayudado a
Fundación Nacional de la Ciencia (NSF) de Estados
más de 350 organizaciones a crear programas de
Unidos para ambos campos.
concienciación y cultura de seguridad para gestionar sus
Antes de incorporarse a Kogod, el Dr. Zhang fue
riesgos humanos. Lance es un presentador frecuente,
profesor de Ciencias de la Información/Informática en
tuitero en serie (@lspitzner) y trabaja en numerosos
la Universidad Estatal de Pensilvania,
proyectos comunitarios. Antes de dedicarse a la
Universidad George Washington y UT Arlington. Ha
seguridad de la información, Lance Spitzner fue oficial de
recibido varios premios por su trabajo, entre ellos el
blindaje en
Communications of the ACM Research Highlight en
la Fuerza de Despliegue Rápido del Ejército y obtuvo su
2020, el premio ACM SIGMOD Research Highlight en
MBA en la Universidad de Illinois.
2019,
el Premio a la Carrera de la NSF en 2008, y muchos
premios y nominaciones a la mejor ponencia en
diversas conferencias de investigación de primera
línea.
18
SOBRE LA SEGURIDAD DE SANS
SENSIBILIZACIÓN
Desde 1989, el SANS Institute ha sido la principal SANS Security Awareness, una división de SANS Institute,
organización cooperativa de investigación y educación ofrece a las organizaciones una solución completa y
en el campo de la seguridad de la información. A través exhaustiva de concienciación en materia de seguridad,
de una formación de alta calidad, certificaciones, que les permite gestionar de forma fácil y eficaz su
programas de grado, rangos cibernéticos y miles de riesgo de ciberseguridad humana. SANS Security
herramientas y recursos publicados diariamente, SANS Awareness ha trabajado con más de 1.300
capacita a los profesionales de la ciberseguridad con las organizaciones y ha formado a más de 6,5 millones de
habilidades prácticas necesarias para ayudar a asegurar personas en todo el mundo. El programa SANS Security
nuestro mundo. Más de 60 cursos constituyen el núcleo Awareness ofrece cursos de relevancia mundial,
del plan de estudios de SANS. impartidos por expertos
Los cursos han sido desarrollados por respetados herramientas y formación para que los individuos
líderes de la industria en todas las áreas de práctica de puedan proteger su organización de los ataques y una
la ciberseguridad, incluyendo las operaciones de flota de guías y recursos inteligentes para trabajar con
defensa y del equipo azul, las operaciones ofensivas, la usted en cada paso del camino.
Para saber más, visite
respuesta a incidentes, la ciencia forense digital, la
www.sans.org/security-awareness-training
seguridad en la nube y el liderazgo en ciberseguridad.
19
INFORME DE CONCIENCIACIÓN SOBRE
SEGURIDAD 2021
2021 SANS Institute. Todos los derechos reservados. Este Informe de Concienciación de Seguridad de SANS
2021 ("Material Autorizado") es para uso no comercial y está destinado únicamente a fines informativos. El
Material Autorizado contiene material con derechos de autor, marcas comerciales y otra propiedad
intelectual de The Escal Institute of Advanced Technologies, Inc. /dba SANS Institute ("SANS" o
"Licenciante") y sus filiales en los Estados Unidos y en todo el mundo. Por el presente documento, el
Licenciante concede una licencia mundial, libre de derechos de autor, no sublicenciable, no exclusiva e
irrevocable para copiar, mostrar, volver a publicar, redistribuir, reproducir y/o compartir el Material
Autorizado, en su totalidad o en parte, únicamente con fines no comerciales ("Derechos de Licencia").
Todos los derechos sobre los nombres de productos, nombres de empresas, nombres comerciales,
marcas comerciales, logotipos, marcas de servicio, imagen comercial, eslóganes y/o derechos de
propiedad intelectual del Material Autorizado pertenecen y son propiedad exclusiva de SANS o de
nuestros licenciantes o licenciatarios. Estos derechos de licencia no transfieren la titularidad ni la
propiedad de ningún nombre de producto, nombre de empresa, nombre comercial, marca comercial,
logotipo, marca de servicio, imagen comercial, eslogan y/o derechos de propiedad intelectual.
El Material Autorizado no constituye un asesoramiento legal, financiero, profesional o sanitario y no
puede ser utilizado para tales fines. Si el Material Autorizado es copiado, mostrado, republicado,
redistribuido, reproducido y/o compartido, en su totalidad o en parte, el Licenciante debe ser
identificado para recibir la atribución con el aviso de copyright del Licenciante. Se prohíbe expresamente
20
el uso o la utilización indebida de nombres de productos, nombres de empresas, nombres comerciales,
marcas comerciales, logotipos, marcas de servicio, imagen comercial, eslóganes y/o derechos de
propiedad intelectual en el Material Autorizado, salvo en los casos permitidos en el presente
documento, y nada de lo declarado o implícito confiere título y/o propiedad.