Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
AR-EN-UNA-CAJA
SU GUÍA
AL DISEÑO
UNA CIBERCONCIENCIA
PROGRAMA
CONTACTO
Para ponerse en contacto con ENISA, utilice los siguientes
datos: info@enisa.europa.eu
AUTORES
Alexandros Zacharis, Dimitra Liveri, Georgia Bafoutsou, Marianna Kalenti (ENISA)
COLABORADORES
Chloë Blondeau, Goran Milencovic, Theodoros Nikolakopoulos (ENISA)
AVISO LEGAL
Debe tenerse en cuenta que esta publicación representa los puntos de vista e interpretaciones de los autores y editores, a menos
que se indique lo contrario. Esta publicación no debe interpretarse como una acción legal de ENISA o de los órganos de ENISA a
menos que se adopte de conformidad con el Reglamento (UE) n.º 526/2013. Esta publicación no representa necesariamente lo
último en tecnología y ENISA puede actualizarla periódicamente.
Se citan fuentes de terceros según corresponda. ENISA no es responsable del contenido de las fuentes externas, incluidos los
sitios web externos a los que se hace referencia en esta publicación.
Esta publicación está destinada únicamente a fines informativos. Debe ser accesible de forma gratuita. Ni
ENISA ni ninguna persona que actúe en su nombre es responsable del uso que pueda hacerse de la
información contenida en esta publicación.
AVISO DE COPYRIGHT
© Agencia de Ciberseguridad de la Unión Europea (ENISA), 2023 Se
autoriza la reproducción siempre que se cite la fuente. Número de
catálogo: TP-09-22-590-EN-N
ISBN: 978-92-9204-591-3
AR-EN-UNA-CAJA
PREFACIO
Esta es una guía paso a paso para el diseño de un
programa de sensibilización en ciberseguridad en su
entorno profesional. El documento presenta todos los
pasos necesarios y sugerencias relevantes. Sin
embargo, es importante señalar que cada
organización debe crear su propio programa a
medida, seleccionando las propuestas que más se
adapten a sus necesidades y destinatarios.
identificar objetivos;
recursos financieros seguros; asegurar
los recursos humanos (RRHH);
divida a sus empleados en grupos objetivo; elija las
herramientas adecuadas;
crear un plan de tiempo;
implementar el programa;
evaluar el programa.
1 2 3 4
Identificar Finanzas seguras Garantizar humanos Dividir a los empleados en
objetivos recursos recursos grupos destinatarios
5 6 7 8
Elige el correcto Crear Implementar Evalúa el
medio un plan de tiempo programa programa
2
AR-EN-UNA-CAJA
El primer paso en este proceso es establecer los objetivos cibernética y proporcionando orientación sobre buenas prácticas para
Objetivos generales para Definicion de Selección de desarrollar una comprensión del panorama y las
conciencia y Conciencia INTELIGENTE material específico,
amenazas emergentes a la ciberseguridad;
aprendiendo objetivos herramientas, métodos
Los objetivos de sensibilización surgen de la evaluación de para probar políticas y procedimientos (por ejemplo,
2 https://ec.europa.eu/info/sites/info/files/file_import/
betterregulation-toolbox-16_en_0.pdf
4
AR-EN-UNA-CAJA
en función de las necesidades pero también de las amenazas a las que está Equipos de respuesta a incidentes
expuesta la organización. (centros de operaciones de seguridad)
El valioso aporte del departamento legal en temas de privacidad y La identificación y categorización de los empleados en grupos
datos personales puede mejorar la experiencia de aprendizaje y objetivo es fundamental al desarrollar una estrategia para la
también cubrir temas de seguridad especializados de la agenda de concientización cibernética y el desarrollo de la cultura
capacitación de concientización. cibernética, ya que mejoran la difusión de mensajes clave a los
destinatarios apropiados. A continuación se muestra un
Instructores ejemplodel desglose del personal de una organización
genérica, que puede utilizarse como guía a seguir y ajustar en
Estas personas son responsables de entregar el contenido función de sus necesidades.
del programa al público objetivo. Los instructores pueden
ser entidades externas o empleados de la organización
con experiencia especializada, o incluso algún otro
miembro del CAT que tenga las habilidades y el carisma
para hablar en público.
2 Contratista
3 HORA Empleado genérico
4 Comunicaciones y marketing
5 Legal
6 Operaciones e investigación y desarrollo.
7 Finanzas y adquisiciones
Nivel C, tomadores de decisiones, manejo de presupuestos.
8 Gerentes, funcionarios
NÓTESE BIEN:Los roles presentados anteriormentenoexisten en todo tipo de organizaciones. En varios casos, un empleado puede
ocupar más de una función (por ejemplo, profesional de TI y profesional de ciberseguridad).
6
AR-EN-UNA-CAJA
Se identifican 11 grupos de empleados como potenciales proporcionar conocimientos sobre cómo abordar y responder a dichos
receptores de productos y experiencias de aprendizaje. riesgos (cómo¿Puedo navegar por Internet de forma segura?);
información
CONCIENCIA con los participantes
LEVANTAMIENTO
consciente – nivel de competencia 1 (PL1), ejemplo, vídeos sobre riesgos de malware dirigidos a grupos de
audiencia);
experimentado – nivel de competencia 3 (PL3). en el sitio web sobre riesgos comunes de ciberseguridad, como spam de
8
AR-EN-UNA-CAJA
Grupos de audiencia
Menú desplegable de PL por grupo de
audiencia y categoría de tema TIC y seguridad
Empleado genérico nivel C
profesionales
ciberbullying PL1
Sextear PL1
Certificaciones PL2
?
Vídeos y Vídeos y
Prueba de referencia Tema de formación material de difusión material de difusión
VACACIONES VACACIONES
?
Entrenamiento de regreso a clases Juegos/examen/cuestionario Colecciones de conocimientos Informe a la gerencia
10
AR-EN-UNA-CAJA
Inducción
Post-incidente
Continuo
12
AR-EN-UNA-CAJA
RECOMENDACIONES CLAVE
A continuación se resumen los factores clave para un Aprender mediante el seguimiento y la evaluación.El
programa de sensibilización exitoso. desarrollo de medidas para evaluar el impacto de todo el
programa debe considerarse desde el inicio de su diseño. El
Transmita el mensaje correcto al grupo de empleados seguimiento y la evaluación periódicos ayudan a realizar un
adecuado.Identificar audiencias clave del grupo de empleados seguimiento de lo que sucede y permiten que el equipo
ayuda a garantizar que los mensajes sean recibidos por quienes tome medidas correctivas si es necesario.
serán más receptivos a ellos. Identificar las audiencias objetivo y
adaptar el programa a sus necesidades específicas y nivel de
conocimiento, desde las primeras etapas de planificación de un
programa, garantiza que el mensaje correcto llegue a la
audiencia adecuada. Los mensajes deben estar claramente
relacionados con temas de ciberseguridad que el público
encuentre familiares.
Tabla 3. Métodos de ejecución del programa sugeridos según el nivel de competencia objetivo
14
AR-EN-UNA-CAJA
• Certificaciones/diplomas
• Publicaciones
• Eventos / conferencias de networking
ENISA
Agencia de la Unión Europea para la Ciberseguridad
Oficina de Atenas
Agamenón 14
Chalandri 15231, Ática, Grecia
Oficina de Heraclión
95 Nikolaou Plastira
700 13 Vassilika Vouton, Heraclión, Grecia
enisa.europa.eu