Página 1 de 28

TABLA DE CONTENIDO

Pág.
III. MODULO 3 3
COMUNICARSE DE MANERA EFECTIVA PARA INFLUIR EN LAS PARTES INTERESADAS 3
1. COMPRENDE QUIENES SON LAS PARTES INTERESADAS 4
1.1 Te damos la bienvenida a la semana 3 4
1.2 Partes interesadas en la ciberseguridad 4
1.3 El propósito y el impacto de las partes interesadas 6
1.4 Explora los roles y responsabilidades de las partes interesadas 9
2. COMUNICA CON IMPACTO 11
2.1 Comunicación clara y concisa 11
2.2 Conceptos básicos de las comunicaciones de ciberseguridad 12
2.3 Comunicación eficaz con las partes interesadas 14
3. COMUNICACIÓN VISUAL MEDIANTE UN PANEL DE CONTROL 17
3.1 Narración visual en la ciberseguridad 17
3.2 Crea un panel de control visual para comunicaciones de ciberseguridad con 18
impacto
3.3 Cómo crear un panel de control visual 22
3.4 La historia de Juliana: Comunicación efectiva 22
3.5 Pon a prueba tus conocimientos: Comunícate de forma eficaz con las partes 24
interesadas
4. REVISIÓN: COMUNÍCATE DE FORMA EFICAZ PARA INFLUIR EN LAS PARTES 26
INTERESADAS
4.1 Resumen 26
4.2 Términos de glosario de la semana 3 26
4.3 Desafío semanal 3 27

Página 2 de 28
III. MODULO 3

COMUNICARSE DE MANERA EFECTIVA PARA INFLUIR EN LAS PARTES INTERESADAS

Aprenderás acerca de las partes interesadas que resultan importantes en la ciberseguridad.
Además, generas comunicaciones claras y concisas con ellas.

Objetivos de aprendizaje

• Aprende qué son las partes interesadas y describe cuáles son sus funciones relacionadas
con la seguridad.

• Comunica información sensible con atención y confidencialidad.

• Determina qué información debe compartirse con las partes interesadas.

• Explora cómo crear un panel de control para comunicar información esencial a los
stakeholders.

Página 3 de 28
1. ESCALAMIENTO EN CIBERSEGURIDAD

1.1 Te damos la bienvenida a la semana 3

Vimos mucho en cursos anteriores, desde los fundamentos de la seguridad hasta información
básica de redes y lenguajes de programación como SQL y Python. Estos conceptos son
fundamentales al prepararse para trabajar en seguridad. Pero ¿cómo ayuda esta información en el
día a día? ¿Y a quién le comunicas esta información? En este curso, empezaremos viendo quiénes
son las partes interesadas, o stakeholders. Luego identificaremos sus papeles en relación con la
seguridad. Por último, compartiremos estrategias de comunicación para transmitirles información
clave. Pero antes de comunicarnos con las partes interesadas, debemos saber quiénes son y por
qué son importantes. ¡Empecemos!

1.2 Partes interesadas en la ciberseguridad

Hablemos de la jerarquía dentro de una empresa. Empieza contigo, el analista, pasa por la gerencia
y llega hasta los ejecutivos. La jerarquía ayuda a comprender las partes interesadas. Una parte
interesada, o stakeholder, es una persona o grupo con un interés en las decisiones o actividades de
una organización. Esto es de importancia para tu trabajo de analista de nivel inicial, ya que las
decisiones tomadas en el día a día por los stakeholders afectarán a cómo haces tu trabajo. Veamos
a los stakeholders que tienen interés en las decisiones diarias de los analistas. A fin de cuentas,
puede que debas comunicarles tus hallazgos.

Página 4 de 28
Veamos un poco más sobre quiénes son y los papeles que desempeñan para la seguridad. Las
amenazas, riesgos y vulnerabilidades pueden afectar las operaciones de toda la empresa, desde
consecuencias financieras hasta la pérdida de datos y de la confianza del cliente. El impacto de los
incidentes no tiene límite.

Cada parte interesada debe contribuir en las decisiones y actividades del equipo de seguridad y en
cómo proteger mejor la empresa. Muchas partes interesadas prestan especial atención a la
seguridad de los activos y datos críticos de la empresa.

Veamos cinco de estos stakeholders: los gerentes de riesgo, el director ejecutivo, o CEO, el director
de finanzas, o CFO, el director de Seguridad de la Información, o CISO y los gerentes de operaciones.
Veamos cada parte interesada con más detalle.

Los gerentes de riesgos ayudan a identificar riesgos y administran la respuesta a incidentes.

También notifican al departamento legal cuestiones de normativa que deben abordarse. Además,
informan al equipo de relaciones públicas de la empresa si se debe realizar una comunicación
pública con respecto a un incidente.

El director ejecutivo, o CEO. Este es el cargo más alto de una empresa. Los CEO se encargan de las
decisiones sobre finanzas y gerencia. También tienen la obligación de informar a las partes
interesadas y administrar las operaciones de una compañía. Por lo tanto, la seguridad es una
máxima prioridad para el CEO.

Página 5 de 28
Director de finanzas, o CFO. Los CFO son altos ejecutivos que administran las operaciones
financieras de la empresa. Les preocupa la seguridad desde una perspectiva financiera por los
costos potenciales de un incidente para el negocio. También les interesan los costos de
herramientas y estrategias que se necesitan para combatir incidentes.

El director de Seguridad de la Información, o CISO, Los CISO son ejecutivos de alto nivel que
desarrollan la arquitectura de seguridad de una organización, analizan riesgos y realizan auditorías
del sistema. También crean planes de seguridad y de continuidad del negocio.

Los gerentes de operaciones. Estos supervisan a los profesionales de seguridad para ayudar a
identificar amenazas y proteger contra ellas. Estas personas trabajan con analistas como primera
línea de defensa para proteger la compañía contra amenazas, riesgos y vulnerabilidades. También
suelen dar mantenimiento diario a las operaciones de seguridad. Como analista de nivel inicial en
una empresa grande, es poco probable que hables directamente con el gerente de riesgos, el CEO,
el CFO o el CISO. Pero el gerente de operaciones puede pedirte que crees comunicaciones para
compartir con ellos. A continuación, veremos más sobre las partes interesadas y cómo comunicarse
de forma efectiva con ellas.

1.3 El propósito y el impacto de las partes interesadas

Anteriormente aprendiste sobre el escalamiento de incidentes y los diversos tipos de clasificación

de los incidentes de seguridad. También aprendiste sobre el impacto que estos pueden tener en
las operaciones comerciales de una organización.

Esta lectura se centra en las partes interesadas, que son las personas que tienen un interés
significativo en esas operaciones comerciales.

¿Quiénes son las partes interesadas?

Las partes interesadas, también denominadas stakeholders, son un individuo o grupo que tiene
interés en cualquier decisión o actividad de una organización. Una gran parte de lo que harás como
analista de seguridad es compartir información sobre tus hallazgos con varias partes interesadas
en la seguridad.

Página 6 de 28
Niveles de partes interesadas

En las organizaciones más grandes, existen muchos niveles de partes interesadas. Como analista de
nivel inicial, es posible que solo te comuniques directamente con algunas de ellas, sin embargo, es
importante comprender quiénes son las más importantes:

• Un director de Seguridad de la Información, también conocido como CISO, es el nivel más

alto de las partes interesadas en la seguridad. Es poco probable que te comuniques
directamente con esta persona si eres analista de nivel inicial.

• Un director financiero, también conocido como CFO, es también de alto nivel y es poco
probable que te comuniques directamente con dicha persona.

• Un gerente de operaciones supervisa las operaciones de seguridad diarias. Estas personas

lideran equipos relacionados con el desarrollo y la implementación de estrategias de
seguridad que protegen a una organización de las amenazas cibernéticas.

• Un gerente de riesgos de ciberseguridad es un profesional responsable de liderar los

esfuerzos para identificar, evaluar y mitigar riesgos de seguridad dentro de una
organización.

Los CFO y los CISO se centran en el panorama general, como el posible costo financiero de un
incidente de seguridad, mientras que otros roles, como los gerentes de operaciones, se centran
más en el impacto en las operaciones diarias. Si bien rara vez interactuarás directamente con las
partes interesadas de seguridad de alto nivel, sigue siendo importante reconocer su relevancia.

La comunicación de los analistas de nivel inicial con las partes interesadas

Dos ejemplos de stakeholders de seguridad con los que puedes comunicarte regularmente son los
gerentes de operaciones y los gerentes de Riesgos. Cuando compartas información con ellos,
deberás comunicar claramente el problema de seguridad actual y sus posibles causas. Los gerentes
de operaciones determinarán los siguientes pasos a seguir y coordinarán el trabajo de otros
miembros del equipo para corregir o resolver el problema.

Por ejemplo, puedes informar sobre varios intentos fallidos de inicio de sesión de un empleado al
gerente de operaciones. Esta parte interesada podría ponerse en contacto con el supervisor del
empleado para asegurarse de que se trate de un inconveniente genuino, por haber ingresado una
contraseña incorrecta, o determinar si la cuenta está comprometida. Es posible que la parte

Página 7 de 28
interesada y el supervisor también deban discutir las consecuencias sobre las operaciones que
puede generar el bloqueo de cuentas debido a intentos de inicio de sesión fallidos genuinos. Como
analista de seguridad de nivel inicial, puede que desempeñes un papel en la implementación de
medidas preventivas una vez que se hayan determinado los pasos a seguir.

De una parte interesada a la otra

Los gerentes de operaciones y los de riesgos son partes interesadas que dependen de los analistas
de nivel inicial y otros miembros del equipo para mantenerse informados acerca de los eventos de
seguridad en las operaciones diarias. Estos suelen informar a los CISO y CFO sobre aspectos más
generales de la seguridad de la organización. Si bien no te comunicarás regularmente con los
stakeholders de alto nivel, es importante saber que tus iniciativas llegan igualmente a ellos. Otros
miembros del equipo mantienen informadas a las partes interesadas de alto nivel sobre las medidas
de seguridad y los protocolos vigentes que ayudan continuamente a proteger la organización.

Conclusiones clave

Las partes interesadas desempeñan un papel importante a la hora de garantizar la seguridad de una
organización. Los analistas de nivel inicial deben comprender los aspectos básicos de los diferentes
niveles de stakeholders de seguridad dentro de una organización. Si bien no se comunicarán con
todos ellos de manera directa, existen otras personas que el analista deberá mantener al corriente.
Esas actualizaciones se comunicarán finalmente a las partes interesadas de nivel más alto, como el
CISO y el CFO.

Página 8 de 28
1.4 Explora los roles y responsabilidades de las partes interesadas

Página 9 de 28
Página 10 de 28
2. COMUNICA CON IMPACTO

2.1 Comunicación clara y concisa

¡Hola de nuevo! Anteriormente, hablamos de los stakeholders y del importante papel que juegan
en la seguridad de una empresa. Ahora exploremos tu papel al comunicarte con esas partes
interesadas. La información que se comunica a las partes interesadas es sensible. Por ejemplo, si les
envías un correo sobre una violación de seguridad reciente, debes tener en cuenta lo que comunicas
y a quién se lo comunicas. Es posible que cada parte interesada deba saber sobre problemas
distintos. Por lo tanto, tus comunicaciones deben ser claras, concisas y enfocadas. La seguridad se
basa en los detalles, por lo que es esencial prestar atención a los detalles al enviar comunicaciones.
Las partes interesadas son gente muy ocupada. Tu comunicación debe ser precisa, evitar términos
técnicos innecesarios y tener un propósito claro. No quieres que deban adivinar el porqué de tu
correo o por qué les es importante. Para ayudarte con esto, pregunta a tu gerente o supervisores
qué deben saber las partes interesadas con las que te comunicas. Como recordarás, hablamos sobre
la mentalidad de seguridad. Parte de esa mentalidad es preguntar sobre los activos y datos que
proteges. Por ejemplo, podrías preguntar: "¿Cuáles son los datos más importantes que se deben
proteger a diario?" O: "¿Qué herramienta de seguridad ha sido la más importante o útil para
proteger nuestros datos y activos?". Tener esta mentalidad también es saber qué priorizan las partes
interesadas, para que sepas qué información compartirles.

Página 11 de 28
La comunicación eficaz implica transmitir solo lo más relevante para las partes interesadas. Estar
informados acerca de cuestiones de seguridad los ayuda a trabajar con más eficacia. Tu papel al
comunicarte con las partes interesadas es ayudarlos a que obtengan esa información. Este es otro
ejemplo de la importancia de tu papel en el equipo de seguridad. A continuación, veremos la
información más importante que debe ser comunicada a las partes interesadas.

2.2 Conceptos básicos de las comunicaciones de ciberseguridad

Hablamos de comunicar información que resulta de importancia a las partes interesadas. Es esencial
comunicar de forma específica y clara para que entiendan qué pasa y qué acciones se deben tomar.
Aquí veremos más en detalle cómo crear comunicaciones precisas y claras. Crear comunicaciones
de seguridad para las partes interesadas es como contar una gran historia. Las historias tienen un
inicio, un nudo y un desenlace. En algún momento hay un conflicto y una resolución posterior. Este
concepto también aplica al contar historias de seguridad. La historia de seguridad explica el desafío,
cómo afecta a la empresa y las posibles soluciones. La historia de seguridad también incluye datos
relacionados con el desafío, su impacto y soluciones propuestas. Estos datos pueden ser informes
que resuman hallazgos clave o una lista de problemas que necesitan atención inmediata. Usemos el
siguiente escenario como ejemplo.

Página 12 de 28
Has monitoreado registros de sistema y observaste un posible código malicioso que podría exponer
información sensible del usuario. Debes comunicar lo que pasa a una parte interesada, en este caso,
a tu supervisor. Primero debes detallar el problema: ejecución de código malicioso potencial
encontrado al monitorear registros. Luego debes consultar el manual de estrategias de respuesta a
incidentes de la empresa y mencionar las acciones sugeridas con respecto a esta situación. Así, tu
supervisor verá que has prestado atención a los procedimientos ya establecidos por el equipo.

La última parte de la historia es brindar una posible solución al problema. En este escenario, puede
que no tomes la decisión final sobre la acción a tomar, pero explicaste a la parte interesada qué
pasó y ofreciste una solución posible. Puedes comunicar esta historia de varias formas. Puedes
enviar un correo electrónico, compartir un documento o incluso comunicar a través de una
representación visual. También puedes usar los sistemas de gestión de incidentes o de tickets.
Muchas empresas tienen sistemas de gestión de incidentes o de tickets que siguen los pasos de sus
manuales de estrategias de seguridad. Algunos escenarios se comunican mejor mediante elementos
visuales. Con los elementos visuales, se comunican detalles clave en forma de gráficos, videos u
otros efectos visuales. Así, las partes interesadas ven una representación visual de lo que se está
explicando. Con los paneles de control visuales puedes contar una historia de seguridad completa a
los stakeholders. Más adelante aprenderás a usar Google Sheets para crear una historia visual de
seguridad. ¡Será divertido! Un profesional de seguridad que sabe contar una historia convincente y
concisa ayuda a las partes interesadas a tomar decisiones de respuesta a incidentes. Idealmente,

Página 13 de 28
debes facilitar el trabajo de las partes interesadas. Comunicarte con ellas de forma efectiva te
ayudará a lograrlo. A continuación, seguiremos viendo cómo puedes comunicarte con las partes
interesadas.

2.3 Comunicación eficaz con las partes interesadas

Anteriormente aprendiste sobre quiénes son las partes interesadas en la seguridad y cuál es su
importancia en una organización. En esta lectura, aprenderás cuál es la importancia de comunicarte
de forma clara con ellas para así garantizar que comprendan en profundidad la información que
estás compartiendo y por qué es relevante para la organización.

Ve al grano

Los stakeholders de seguridad tienen roles y responsabilidades que suelen demandar mucho tiempo
e inciden en el negocio. Es importante que cualquier comunicación que reciban y las acciones que
deban tomar sean claras. Para ofrecer información relevante y concreta, pregúntate:

• ¿Qué quiero que sepa esta persona?

• ¿Por qué es importante que lo sepa?

• ¿Cuándo deben tomar medidas?

• ¿Cómo explico la situación de una manera no técnica?

Sigue los protocolos

Cuando empieces a trabajar en un equipo de seguridad, es importante que te familiarices con los
diferentes protocolos y procedimientos establecidos para comunicarse con stakeholders y otros
miembros de la organización. Es importante que sepas qué aplicaciones y formas de comunicación
son aceptables antes de comenzar a interactuar con las partes interesadas, por ejemplo, las
reuniones en persona, las videoconferencias, los correos electrónicos o las aplicaciones de chat de
la empresa.

Comunica con impacto

Anteriormente, aprendiste sobre las diferentes partes interesadas dentro de una organización y en
qué áreas específicas se centra cada una. Cuando comiences tu carrera en el campo de la

Página 14 de 28
ciberseguridad, es más probable que interactúes con las de nivel inferior, como los gerentes de
operaciones o los de riesgos de seguridad, que se centran en las operaciones diarias, como el
registro (log). Las partes interesadas de alto nivel podrían estar más atentas a los riesgos
subyacentes, como la posible consecuencia financiera de un incidente de seguridad, en lugar de los
detalles de los registros.

Al interactuar con un gerente de operaciones, asegúrate de abordar la información relevante que

tenga que ver con sus responsabilidades diarias, como las anomalías en los registros de datos que
estás escalando. Al centrar tu atención en esto, podrás comunicar la información necesaria e
importante para dicha persona.

Métodos de comunicación

Tu método de comunicación variará según el tipo de información que compartas. Saber qué canales
de comunicación son apropiados para diferentes escenarios es una habilidad muy útil que te
ayudará a interactuar de manera efectiva con las partes interesadas. Algunas opciones son:

• Mensajería instantánea

• Correos electrónicos

• Videollamadas

• Llamadas telefónicas

• Hoja de cálculo con datos que puedes compartir

• Presentación de diapositivas que puedes compartir

Si el mensaje debe ser directo, un mensaje instantáneo o una llamada telefónica podrían ser la mejor
opción. Si necesitas describir una situación compleja con varios matices, un correo electrónico o una
reunión en persona podría ser una alternativa más adecuada. Si debes proporcionar muchos datos
y números, compartir un gráfico es una excelente idea. En cada situación deberás determinar cuál
es el mejor método de comunicación.

Página 15 de 28
Conclusiones clave

Las partes interesadas son personas ocupadas que tienen intereses muy específicos dentro de la
organización. Por lo tanto, es importante compartir con ellas solo aquella información específica
vinculada a sus intereses y relevante para su función en la empresa.

Ten en cuenta el tipo de información que estás comunicando, ya que eso te ayudará a determinar qué
método debes usar.

Página 16 de 28
3. COMUNICACIÓN VISUAL MEDIANTE UN PANEL DE CONTROL

3.1 Narración visual en la ciberseguridad

Poder comunicar amenazas, riesgos, vulnerabilidades o incidentes y posibles soluciones es una

habilidad valiosa en la seguridad. Aquí veremos varias estrategias de comunicación para interactuar
con las partes interesadas y transmitirles ideas clave. Empecemos con los elementos visuales. El uso
de elementos visuales en una historia de seguridad puede ayudarte a comunicar datos y métricas
de impacto.

Los gráficos son muy útiles para esto. Con ellos puedes comparar puntos de datos o mostrar
pequeñas partes de un problema mayor. Con gráficos relevantes y detallados, podrás desarrollar la
historia que quieres contar a los stakeholders para que puedan tomar decisiones que protejan a la
empresa. Si bien los elementos visuales captan la atención de las partes interesadas, algunos
problemas se explican mejor en un correo o, incluso, una llamada telefónica. Ten cuidado con la
información sensible que contienen estas comunicaciones. Por seguridad, es importante comunicar
información sensible con cuidado. Asegúrate de seguir los procedimientos indicados en los
manuales de estrategias de la empresa y siempre asegúrate de enviar correos al destinatario
correcto, ya que se podría crear un riesgo si la persona equivocada recibe información confidencial.
Un desafío de los correos es el tiempo potencialmente largo para recibir una respuesta. Las partes

Página 17 de 28
interesadas tienen muchas responsabilidades. Por lo tanto, a veces pueden no ver un correo o no
responder de manera oportuna.

En estos casos, es mejor llamarlos o enviarles un mensaje instantáneo. Mi experiencia en seguridad

me ha enseñado que, a veces, un simple mensaje instantáneo o una llamada puede ayudar a avanzar
una situación. La comunicación directa suele ser mejor que esperar días o semanas para recibir una
respuesta por correo sobre un problema urgente. Si corresponde, toma la iniciativa de hacer un
seguimiento si no te responden a un correo de forma oportuna. Suena simple, pero una llamada
suele evitar que ocurra un problema grande. Es importante destacar en la profesión de seguridad,
especialmente si no tienes experiencia previa en el sector. Las representaciones visuales, correos y
llamadas sirven para demostrar tus habilidades de comunicación verbal y escrita. Los aspectos
visuales muestran tu capacidad de unir métricas y datos de una forma que cause impacto. Si no
recibes una respuesta oportuna de la parte interesada, hacer un seguimiento muestra que tienes
iniciativa.

3.2 Crea un panel de control visual para comunicaciones de ciberseguridad con impacto

Anteriormente, aprendiste sobre las partes interesadas en la seguridad, las personas responsables
de proteger los datos y los sistemas de distintos departamentos de una organización. Un analista de
nivel inicial podría comunicarse directa o indirectamente con estas personas. Si por alguna razón
debes comunicarte con una parte interesada, es importante utilizar el método correcto. En esta

Página 18 de 28
lectura profundizarás en la importancia de usar paneles visuales para comunicar información a los
stakeholders. Los paneles de control pueden incluir tablas, gráficos e incluso infografías. Además,
aprenderás más sobre cuándo usar estrategias de comunicación visual.

Uso de elementos visuales para comunicarse de manera efectiva

La seguridad consiste en proteger a una empresa de las amenazas que pueden perjudicar su
reputación y sus finanzas. A menudo, responder a las amenazas de manera rápida y efectiva
depende de una comunicación clara entre las partes interesadas involucradas.

En el campo de la ciberseguridad, los stakeholders con los que tratarás a menudo estarán ocupados
con otras responsabilidades. Compartir la información importante de forma visual es una excelente
manera de mejorar la colaboración y obtener su apoyo para abordar los desafíos de seguridad que
surjan. Las imágenes ayudan a proporcionar a los responsables de la toma de decisiones información
concreta que pueden usar para identificar riesgos potenciales para la postura de seguridad de la
organización.

Paneles de control visuales

Un panel de control visual es una forma de mostrar con rapidez diversos tipos de datos en un solo
lugar. Son herramientas útiles que se pueden aprovechar para comunicar historias a las partes
interesadas sobre eventos de seguridad, especialmente cuando involucran números y datos.

Los paneles de control pueden ser simples o complejos dependiendo de la información que quieras
compartir. Un panel de control simple puede incluir solo un gráfico, mientras que uno complejo
puede incorporar varios cuadros, gráficos y tablas detallados. Decidir qué tipo usar dependerá de la
situación y la historia que debas contar. Sin embargo, es importante prestar atención a los detalles
y representar la información con precisión cada vez que comuniques datos a los stakeholders.

Consejo profesional: Usa herramientas como Google Sheets y Apache OpenOffice para crear
paneles de control visuales.

Cuándo usar la comunicación visual

La seguridad suele ser un esfuerzo de equipo. Todos deben trabajar juntos para garantizar que una
organización esté debidamente protegida de las amenazas. Saber cómo comunicarte con tus colegas
es muy importante en este enfoque centrado en la colaboración.

Página 19 de 28
A veces basta con enviar una simple actualización por correo electrónico. En otros casos, es posible
que necesites incluir un documento adjunto para profundizar en un tema específico. Una simple
llamada telefónica también puede ser valiosa, ya que te permite comunicar rápidamente la
información necesaria, sin tener que esperar una respuesta a un correo electrónico o mensaje. Otras
veces, la mejor manera de comunicarse es a través de elementos visuales.

Por ejemplo, imagina que tu supervisor te pidió que le proporciones los resultados de una auditoría
interna reciente de cinco departamentos diferentes dentro de la organización. En ella, se
recopilaron datos que muestran en cuántos correos electrónicos de phishing hizo clic cada
departamento en los últimos cinco meses. En esta situación sería muy útil contar la historia con una
herramienta de visualización. En lugar de enviar un correo electrónico que simplemente describa
cuáles son los hallazgos, un gráfico o tabla ilustrará claramente esos descubrimientos. De este modo,
la otra persona podrá comprender los datos de manera rápida y fácil.

Conclusiones clave

Las partes interesadas, al igual que el resto del equipo de seguridad, están ocupadas en distintas
tareas relevantes. Con esto en mente, recuerda que debes expresarte de forma clara y concisa cada
vez que te comuniques con ellos. ¡Esto hace que el trabajo de todos sea más fácil! Es importante
reconocer cuándo los paneles de control visuales son el método de comunicación más efectivo, por
ejemplo, cuando debes comunicar información que involucra números y datos.

3.3 Cómo crear un panel de control visual

En este video, vamos a divertirnos un poco. Vamos a crear una historia de seguridad visual. Este es
el escenario: al gerente de operaciones, una parte interesada que vimos antes, se le informó de que
el director de seguridad de la información, o CISO, quiere saber cuántos empleados suelen hacer
clic en correos de phishing. El objetivo es identificar los cinco departamentos que más lo hacen.
Según una investigación, los cinco departamentos que más hacen clic en esos correos son Recursos
Humanos, Atención al Cliente, Seguridad Global, Comunicación y Desarrollo Profesional. Con esta
información, el equipo puede crear una representación visual de los datos para compartirla con el
gerente de operaciones y el CISO. Entonces, las partes interesadas y el equipo podrán decidir juntos
cómo abordar el problema. Hay muchas plataformas distintas para crear y compartir historias
visuales de datos. Apache OpenOffice es una suite gratuita y de código abierto que permite crear

Página 20 de 28
hojas de cálculo y otras representaciones visuales. Otra opción sin costo es Google Sheets. Hoy
ingresaremos los datos en Google Sheets. Luego, crearemos una visualización de gráfico de barras
para desarrollar la historia. Si no tienes cuenta de Google, deberás crear una. Empecemos por
demostrar cómo crear una cuenta. Primero, ve a Google.com y haz clic en Iniciar sesión.

Haz clic en Crear cuenta y selecciona Para mi uso personal. Luego completa cada paso para crear tu
cuenta personal. Ahora que creaste tu cuenta de Google, podemos comenzar a crear nuestra
visualización de gráfico de barras. Haz clic en el menú de puntos en la esquina superior derecha. Haz
clic en el ícono de Sheets. Haz clic en En blanco para iniciar una nueva hoja de cálculo. Selecciona la
celda A1 y escribe "Departamento". Selecciona la celda B1, escribe "Cantidad de correos de phishing
en que se hizo clic".

Selecciona la celda A2, escribe "Recursos Humanos". Selecciona la celda B2, escribe "30". Selecciona
la celda A3, escribe "Atención al Cliente". Selecciona la celda B3, escribe "18". Selecciona la celda
A4, escribe "Seguridad Global".

Selecciona la celda B4, escribe "10". Selecciona la celda A5, escribe "Comunicación". Selecciona la
celda B5, escribe "40". Selecciona la celda A6, escribe "Desarrollo Profesional".

Selecciona la celda B6, escribe "27". Luego, selecciona las filas y columnas que contienen
encabezados, nombres de departamentos y datos. Haz clic en Insertar en la parte superior de la
hoja. Selecciona Gráfico en el menú Editor de gráficos. Haz clic en el menú desplegable Tipo de
gráfico. Ve hacia abajo a las opciones de gráfico de barras. Selecciona el primer gráfico de barras.
En el menú Editor de gráficos, haz clic en Personalizar Luego haz clic en la sección Título de gráfico
y ejes. Ahora, actualiza el título con, por ejemplo, "Correos de phishing cliqueados por
departamento" u otro título relacionado con los datos. Haz clic en el ícono X en la parte superior del
editor de gráficos para cerrar el menú del editor. ¡Excelente! ¡Creaste tu primera historia de
seguridad visual! Con las historias visuales de datos, el equipo puede transmitir información esencial
a las partes interesadas para comunicar problemas de forma significativa y comprensible. Estas
historias fomentan una mejor comprensión de los problemas dentro de una empresa, y permiten
que quienes toman las decisiones determinen cómo abordar los problemas de seguridad que ponen
en riesgo a la empresa.

Página 21 de 28
3.4 La historia de Juliana: Comunicación efectiva

En este curso, exploramos la historia de Juliana Soto. Juliana fue contratada recientemente como
analista de ciberseguridad por Right-On-Time Payment Solutions, una empresa de procesamiento
de pagos que administra información confidencial de los clientes. En la lectura sobre la importancia
de prestar atención a los detalles, Juliana tuvo que lidiar con dos tipos diferentes de incidentes de
seguridad, y utilizó la política de escalamiento de su empresa para derivar adecuadamente ambos
incidentes. Ahora exploraremos cómo Juliana abordó la comunicación con las partes interesadas
después del escalamiento.

Comunicarse con los stakeholders después de un incidente

Días después de escalar los dos incidentes, el gerente de Juliana le pide que comparta información
sobre ellos con los grupos de interés.

Comunicación sobre el primer incidente

Uno de los incidentes ocurrió cuando un empleado bloqueó su cuenta después de intentar iniciar
sesión varias veces con credenciales incorrectas. Recientemente, se le pidió al gerente de Juliana
que proporcionara un informe que incluyera detalles acerca de cuántos departamentos han
experimentado bloqueos de cuentas de empleados debido a intentos fallidos de inicio de sesión
durante el último mes. El equipo de seguridad compartió datos de cinco departamentos.

El gerente de Juliana compartirá la información con los responsables ejecutivos de cada uno de los
departamentos, por lo cual, le pide que muestre los datos de una manera que permita comunicar
claramente el incidente a estos stakeholders. Como los datos son principalmente números, Juliana
decide crear un panel de control visual a fin de representar la información. En él incluirá tablas y
gráficos para transmitir información importante, como el número de empleados que bloquearon
sus cuentas en el último mes. El panel visual de Juliana facilita que los stakeholders de alto nivel
revisen este primer incidente y determinen un plan de acción.

Comunicación sobre el segundo incidente

El director de Seguridad de la Información (CISO) pidió al gerente de Juliana más información sobre
lo que ocurrió durante el segundo incidente, en el que un atacante estuvo a punto de comprometer
un sistema que almacena los datos privados de los clientes. Esta comunicación incluirá un informe
más detallado en el que se indicará qué procesos y procedimientos fueron eficaces durante los

Página 22 de 28
intentos de los atacantes de comprometer el sistema y cuáles se deberían revisar. Debido a que esta
es una comunicación más extensa, Juliana decide crear un documento detallado con cronogramas
que expliquen claramente lo sucedido. Allí también incluye sus evaluaciones sobre lo que el equipo
de seguridad, los propietarios de los datos y los procesadores de datos podrían haber hecho de
manera diferente para proteger el sistema en cuestión. Juliana comparte el informe con su gerente
para que todos puedan revisarlo.

Conclusiones clave

Las comunicaciones con las partes interesadas siempre deben centrarse en lo que es más importante
para ellas. Algunas se centrarán más en los datos y las cifras, mientras que otras en cómo funcionan
las políticas y los procedimientos para prevenir los ciberataques. Identificar qué es importante para
cada parte interesada ayudará a un analista a decidir qué método de comunicación debe usar en
cada caso.

Página 23 de 28
3.5 Pon a prueba tus conocimientos: Comunícate de forma eficaz con las partes
interesadas

Página 24 de 28
Página 25 de 28
4. REVISIÓN: COMUNÍCATE DE FORMA EFICAZ PARA INFLUIR EN LAS PARTES
INTERESADAS

4.1 Resumen

Aprendiste sobre el importante papel de las partes interesadas y las diferentes formas de
comunicarte con ellas. Repasemos lo aprendido. Comenzamos definiendo qué son las partes
interesadas y sus papeles a la hora de proteger la empresa. Exploramos la naturaleza sensible de las
comunicaciones con las partes interesadas y la importancia de compartir esa información con
cuidado y confidencialidad. Luego, vimos la información que debe comunicarse a las partes
interesadas. Después de todo, las partes interesadas están muy ocupadas, por lo que solo debemos
compartir aquello que sea relevante y deban saber.

Terminamos introduciendo estrategias de comunicación, como correos, llamadas y paneles de

control visuales. Saber quiénes son los stakeholders de tu organización y cómo comunicarte con
ellos te ayudará en tu carrera en seguridad. Sé consciente de las estrategias que usas al comunicarte.
Omite detalles innecesarios y comunícate de forma específica y precisa al transmitir información a
las partes interesadas. Los stakeholders confían en ti, como narrador, para escuchar la historia de
seguridad o los posibles problemas y soluciones de forma entendible. Las estrategias de
comunicación que vimos te ayudarán a destacar como alguien que tiene habilidades técnicas y
transferibles. A continuación, tu instructora para las secciones finales del curso, Emily, hablará de
cómo relacionarte con la comunidad de seguridad y cómo buscar y solicitar trabajo en el campo de
la seguridad.

4.2 Términos del glosario de la semana 3

Términos y definiciones del curso 8, semana 3

Panel de control visual: Forma de mostrar con rapidez diversos tipos de datos en un solo lugar.

Parte interesada (o stakeholder): Individuo o grupo que tiene interés en alguna decisión o actividad
de una organización.

Página 26 de 28
4.3 Desafío semanal 3

Página 27 de 28
Página 28 de 28