Traducido del inglés al español - www.onlinedoctranslator.

com

AR-EN-UNA-CAJA

SU GUÍA
AL DISEÑO
UNA CIBERCONCIENCIA
PROGRAMA
CONTACTO
Para ponerse en contacto con ENISA, utilice los siguientes
datos: info@enisa.europa.eu

AUTORES
Alexandros Zacharis, Dimitra Liveri, Georgia Bafoutsou, Marianna Kalenti (ENISA)

COLABORADORES
Chloë Blondeau, Goran Milencovic, Theodoros Nikolakopoulos (ENISA)

AVISO LEGAL
Debe tenerse en cuenta que esta publicación representa los puntos de vista e interpretaciones de los autores y editores, a menos
que se indique lo contrario. Esta publicación no debe interpretarse como una acción legal de ENISA o de los órganos de ENISA a
menos que se adopte de conformidad con el Reglamento (UE) n.º 526/2013. Esta publicación no representa necesariamente lo
último en tecnología y ENISA puede actualizarla periódicamente.

Se citan fuentes de terceros según corresponda. ENISA no es responsable del contenido de las fuentes externas, incluidos los
sitios web externos a los que se hace referencia en esta publicación.

Esta publicación está destinada únicamente a fines informativos. Debe ser accesible de forma gratuita. Ni
ENISA ni ninguna persona que actúe en su nombre es responsable del uso que pueda hacerse de la
información contenida en esta publicación.

AVISO DE COPYRIGHT
© Agencia de Ciberseguridad de la Unión Europea (ENISA), 2023 Se
autoriza la reproducción siempre que se cite la fuente. Número de
catálogo: TP-09-22-590-EN-N
ISBN: 978-92-9204-591-3
 AR-EN-UNA-CAJA

PREFACIO
Esta es una guía paso a paso para el diseño de un
programa de sensibilización en ciberseguridad en su
entorno profesional. El documento presenta todos los
pasos necesarios y sugerencias relevantes. Sin
embargo, es importante señalar que cada
organización debe crear su propio programa a
medida, seleccionando las propuestas que más se
adapten a sus necesidades y destinatarios.

Del programa a la campaña

Dentro de este documento, habrá múltiples referencias

tanto aprogramasycampañas, que tienen diferentes
definiciones en el contexto de la sensibilización y se
pueden definir de la siguiente manera (1).

Programa.Un plan que abarca múltiples actividades

de sensibilización durante un largo período de
tiempo (desde varios meses hasta 1 o incluso
2 años), siguiendo la estrategia de la organización en
materia de ciberseguridad. Puede incluir una o más
campañas internas o externas, centradas en un tema o
grupo objetivo común de ciberseguridad.

Campaña.Un conjunto de actividades individuales y dedicadas

que se centran en temas, objetivos o públicos objetivo específicos.
Una campaña puede ser independiente o formar parte de un
programa.

1 En este informe, el término 'hoja de ruta' se utiliza para referirse a la

visualización de un programa de concientización durante un período de tiempo.

SU GUÍA PARA DISEÑAR UN PROGRAMA DE CONCIENCIA CIBERNÉTICA 1

 PRESENTACIÓN Y ANÁLISIS
PASO A PASO
Para crear uninternoprograma de ciberconciencia,
adaptado a las necesidades de sus empleados, debe
seguir los pasos a continuación:

identificar objetivos;
recursos financieros seguros; asegurar
los recursos humanos (RRHH);
divida a sus empleados en grupos objetivo; elija las
herramientas adecuadas;
crear un plan de tiempo;
implementar el programa;
evaluar el programa.

1 2 3 4
Identificar Finanzas seguras Garantizar humanos Dividir a los empleados en
objetivos recursos recursos grupos destinatarios

5 6 7 8
Elige el correcto Crear Implementar Evalúa el
medio un plan de tiempo programa programa

2

1.IDENTIFICAR OBJETIVOS
El primer paso en este proceso es establecer los objetivos
de su programa de ciberconciencia. Estos se derivan de la
estrategia general de ciberseguridad de su organización.
Los objetivos del programa se establecen sobre la base del
SMART (específicos, mensurables, alcanzables, relevantes y
con plazos determinados) (2) metodología, que puede
ayudar a crear una trayectoria hacia objetivos específicos
claramente definidos y alcanzables a corto y medio plazo.
Esos objetivos determinarán, a su vez, la selección de las
herramientas y métodos específicos que se utilizarán para
cada programa.
Otros objetivos genéricos pueden ser:
Objetivos generales para Definicion de Selección de
conciencia y Conciencia INTELIGENTE material específico,
aprendiendo objetivos herramientas, métodos
Los objetivos de sensibilización surgen de la evaluación de
riesgos de la organización. Cada organización puede
establecer objetivos diferentes para su propio programa de
concientización, pero algunos genéricos que siempre son
aplicables y que pueden convertirse fácilmente en objetivos
SMART son los siguientes.
2 https://ec.europa.eu/info/sites/info/files/file_import/
betterregulation-toolbox-16_en_0.pdf
SU GUÍA PARA DISEÑAR UN PROGRAMA DE CONCIENCIA CIBERNÉTICA
AR-EN-UNA-CAJA
Para crear conciencia sobre la ciberseguridadmostrando la
omnipresencia de los riesgos cibernéticos, promoviendo la higiene
cibernética y proporcionando orientación sobre buenas prácticas para
los usuarios individuales.
Promover la educación y la cultura en ciberseguridad
dentro de la organización. Esto ayudará a las diferentes
entidades de la organización a identificar los canales de
comunicación adecuados y el lenguaje común a utilizar,
con el fin de unir esfuerzos contra la exposición a
amenazas.
Estar preparado para incidentes.Esto ayudará al
personal a identificar el orden correcto de acciones a
tomar, según su rol, y ayudará a los actores clave
involucrados en caso de un incidente de ciberseguridad.
desarrollar una comprensión del panorama y las
amenazas emergentes a la ciberseguridad;
promover la cultura e higiene de la ciberseguridad;
para probar políticas y procedimientos (por ejemplo,
escalamiento, respaldo, manejo de incidentes).
3
 2.ASEGURAR RECURSOS FINANCIEROS
La prevención es menos costosa que la recuperación cuando
se trata del daño que pueden causar los ciberataques. Un
error común es creer que los bajos presupuestos dedicados a
programas de concientización sobre la seguridad son la única
razón para la ejecución de programas no efectivos. Por el
contrario, se pueden crear programas muy completos de
concientización cibernética con un presupuesto bajo y
recursos limitados.
Junto con esta guía, el objetivo del marco AR-in-a-Box es
proporcionar los conceptos básicos para que cualquiera pueda
iniciar un programa de sensibilización desde cero,
independientemente de los recursos disponibles.
Gestión
Desempeñan el papel más crítico en la adopción e
implementación de cualquier actividad de
sensibilización. Basándose en su respaldo y apoyo, la
dirección puede desempeñar un papel catalizador en
la viabilidad de una estrategia de sensibilización, así
que asegúrese de que participe en la fase de diseño y
establecimiento de objetivos del programa de
sensibilización desde una etapa temprana. La visión de
la gestión puede cambiar el alcance de la estrategia,
en función de su apetito por el riesgo. Es más, la
asignación presupuestaria depende de su apoyo.

Antes de intentar asegurar el presupuesto para su programa de

concientización, debe considerar el enfoque general de su Trate de identificar los temas que debe hacer en su programa y los
organización para invertir en concientización sobre empleados que deben capacitarse y que minimizarán el riesgo
ciberseguridad, junto con su madurez en el campo. Ya sea que para su organización cuando estén capacitados.
esté siguiendo un enfoque reactivo versus proactivo, un punto
de referencia o uno basado en riesgos, una parte de su Reutilizar o actualizar materiales o recursos existentes.
presupuesto se asignará a la concientización.
Seleccione material de código abierto o créelo internamente.
El mejor enfoque para asegurar el presupuesto es presentar
ejemplos y estadísticas reales del dinero que se debe ahorrar o Explotar las sinergias en la comunidad cuando estén disponibles.
los riesgos que se deben evitar (basados en la evaluación de
riesgos) – en caso de que se lleve a cabo la capacitación de
concientización – y presentarlos a la gerencia. Recopile datos
sobre incidentes e infracciones de su organización, o de otras
similares, para justificar la necesidad de un programa de
sensibilización.

Además de lo anterior, aquí te presentamos algunas reglas a

seguir para poder regular el presupuesto necesario y evitar
gastos excesivos.

4

3.GARANTIZAR LOS RECURSOS HUMANOS
Las siguientes funciones han sido identificadas como clave para el
éxito de cualquier esfuerzo de concientización sobre ciberseguridad
que su organización pueda emprender. Todos son igualmente
importantes y satisfacen diferentes necesidades y funciones en las
distintas fases del ciclo de vida de una estrategia de concientización
sobre la ciberseguridad. Combinados, formarán el equipo de
concientización sobre ciberseguridad (CAT) de su organización,
incluso si no tiene personal que ocupe todos los roles. La
composición de los CAT en las organizaciones difiere.
Oficial de ciberseguridad
La perspicacia y la capacidad de dirección del responsable de seguridad
son fundamentales para el futuro de la estrategia. El responsable de
seguridad es quien debe aportar información sobre los objetivos e
identificar los públicos objetivo y los temas de formación más relevantes,
en función de las necesidades pero también de las amenazas a las que está
expuesta la organización.
El responsable de ciberseguridad puede ayudar en el diseño
de un programa o asumir su supervisión general, con el fin de
controlar mejor el desarrollo de contenidos y personalizarlo
según las necesidades de la organización.
Relaciones públicas y comunicaciones.
Estos equipos desempeñan un papel importante a la hora de
difundir el mensaje correcto internamente e involucrar a los grupos
de empleados destinatarios adecuados a través de los canales
adecuados (las ideas innovadoras que reflejen la cultura de la
organización pueden sorprenderle).
SU GUÍA PARA DISEÑAR UN PROGRAMA DE CONCIENCIA CIBERNÉTICA
AR-EN-UNA-CAJA
Tecnologías de la información y las comunicaciones (TIC)
El gran peso del mantenimiento e implementación de las TIC
o la seguridad práctica siempre recae en manos del
departamento de TIC. Por ello, las TIC siempre deben estar
involucradas en las actividades de sensibilización para
personalizar los contenidos en función de la realidad
operativa de cada organización.
Equipos de respuesta a incidentes
(centros de operaciones de seguridad)
Estos equipos están formados por expertos operativos que tienen
una buena visión general de las vulnerabilidades de los sistemas
implementados, pero también monitorean el tráfico y manejan
posibles incidentes. Siempre pueden alimentar el programa de
concientización con información y adaptarlo a las necesidades del
personal o a las amenazas actuales.
Recursos humanos
RR.HH. es responsable de promover, pero también de involucrar a los
diferentes públicos objetivo en todas las actividades relevantes.
RR.HH. puede introducir procedimientos que hagan obligatorios los
programas de concientización en varias etapas de la inducción de los
empleados en una organización.
5
 Oficina de protección de datos / departamento jurídico 4.ELEGIR GRUPOS OBJETIVO DE EMPLEADOS

El valioso aporte del departamento legal en temas de privacidad y
datos personales puede mejorar la experiencia de aprendizaje y
también cubrir temas de seguridad especializados de la agenda de
capacitación de concientización.
Instructores
Estas personas son responsables de entregar el contenido
del programa al público objetivo. Los instructores pueden
ser entidades externas o empleados de la organización
con experiencia especializada, o incluso algún otro
miembro del CAT que tenga las habilidades y el carisma
para hablar en público.
La identificación y categorización de los empleados en grupos
objetivo es fundamental al desarrollar una estrategia para la
concientización cibernética y el desarrollo de la cultura
cibernética, ya que mejoran la difusión de mensajes clave a los
destinatarios apropiados. A continuación se muestra un
ejemplodel desglose del personal de una organización
genérica, que puede utilizarse como guía a seguir y ajustar en
función de sus necesidades.

Tabla 1.Grupos objetivo de empleados

Grupos de audiencia Audiencias agrupadas

1 Empleado genérico

2 Contratista
3 HORA Empleado genérico

4 Comunicaciones y marketing
5 Legal
6 Operaciones e investigación y desarrollo.
7 Finanzas y adquisiciones
Nivel C, tomadores de decisiones, manejo de presupuestos.
8 Gerentes, funcionarios

9 Jefes de unidad, directores.

Profesionales/implementadores horizontales de medidas de

10 Profesionales de la ciberseguridad Profesionales de las
ciberseguridad y usuarios de soluciones de ciberseguridad, que
11 tecnologías de la información (TIC)
trabajan para organizaciones y/o individuos

NÓTESE BIEN:Los roles presentados anteriormentenoexisten en todo tipo de organizaciones. En varios casos, un empleado puede
ocupar más de una función (por ejemplo, profesional de TI y profesional de ciberseguridad).

6
 AR-EN-UNA-CAJA

5.SELECCIÓN DE LAS HERRAMIENTAS ADECUADAS

Las herramientas que empleará para implementar su

programa de sensibilización deben adaptarse para cumplir
con todos sus parámetros (público objetivo, recursos,
objetivos, presupuesto) y deben:

Sensibilizar sobre los riesgos de ciberseguridad más

destacados, según se deriva de la evaluación de riesgos (qué
Cuáles son los riesgos más destacados del uso de Internet?);

Se identifican 11 grupos de empleados como potenciales proporcionar conocimientos sobre cómo abordar y responder a dichos

receptores de productos y experiencias de aprendizaje. riesgos (cómo¿Puedo navegar por Internet de forma segura?);

Un análisis más detallado de los grupos de audiencia puede

identificar grupos significativos adicionales en función de sus influir en el cambio de comportamiento (por qué¿Debería cambiar mis

características comunes (Empleado genérico, nivel jefe (nivel C) hábitos digitales?).

y profesionales de TIC y seguridad., como se presenta en la

Tabla 1 a continuación), y también puede proporcionar
información sobre el enfoque y la metodología para crear
conciencia.
Las herramientas se consideran la base de cualquier actividad y
pueden incluir infografías, hojas de consejos, carteles, videos,
presentaciones, ejercicios, cuestionarios y acertijos, etc. (Se
proporciona más información y un análisis en el documento
“Análisis de canales de promoción” de AR- en una caja

Infografías – Pósters Rompecabezas – Cuestionarios

Fácil de implementar Asegurar y probar

físicamente, por ejemplo en entendimiento de
ascensores, comunes conceptos
espacios

Anuncios – Vídeos Presentaciones en vivo

Capaz de contener y transmitir HERRAMIENTAS PARA Interacciones directas
una gran cantidad de

información
CONCIENCIA con los participantes

LEVANTAMIENTO

SU GUÍA PARA DISEÑAR UN PROGRAMA DE CONCIENCIA CIBERNÉTICA 7

 Según el análisis de los antecedentes de los grupos
objetivo, puede dividir su público objetivo en tres
categorías según su nivel de competencia (PL) sobre el
tema:
A partir de este análisis se pueden tomar decisiones sobre
la creación de material y el uso de herramientas y
experiencias para lo siguiente:
Tema único en todos los grupos de empleados relevantes. (por

consciente – nivel de competencia 1 (PL1), ejemplo, vídeos sobre riesgos de malware dirigidos a grupos de

audiencia);

capacitado – nivel de competencia 2 (PL2),

grupo único de empleados en todos los temas(por ejemplo, campaña

experimentado – nivel de competencia 3 (PL3). en el sitio web sobre riesgos comunes de ciberseguridad, como spam de

correo electrónico, ataques de contraseñas, malware, phishing y

Para la mayoría de las audiencias objetivo, el material que se ransomware);

producirá y entregará debe apuntar a lograr concienciación

sobre PL1. Un enfoque sistemático para diseñar, entregar y
difundir material de concientización sobre PL1 fomentará un
cambio en el nivel de concientización sobre los riesgos de
ciberseguridad, lo que puede conducir a una eventual influencia
y/o cambio de comportamiento hacia hábitos digitales más
facilitadores y propensos a la seguridad.
agrupar grupos de empleados en todos los temas(por
ejemplo, evento de networking para profesionales sobre
los últimos avances en violación de datos, malware,
ransomware y certificaciones relevantes).

El grupo objetivo PL2 no puede ser atendido eficazmente únicamente con

material de sensibilización sobre PL1. Para garantizar que este grupo de

audiencia siga capacitado y actualizado, el material de concientización

debe incluir productos PL2 o incluso PL3.

PL3 cubre personal experimentado con formación técnica.

Por lo tanto, se habla más de especialización y formación
que de sensibilización. Los formadores que llevan a cabo el
programa de sensibilización se clasifican como PL3.

Como tal, la Tabla 2 presenta propuestas para los objetivos PL1 y

PL2 por grupo de audiencia y categorías temáticas.

8
 AR-EN-UNA-CAJA

Tabla 2.Matriz de nivel de competencia por público objetivo y categoría de tema

Grupos de audiencia
Menú desplegable de PL por grupo de
audiencia y categoría de tema TIC y seguridad
Empleado genérico nivel C
profesionales

ciberbullying PL1

Juego en linea PL1

pornografía en línea PL1

Internet seguro PL1 PL1

Sextear PL1

Noticias falsas PL1

Privacidad y protección de datos PL1 PL1

Estafas financieras PL1

La banca móvil PL1

Categorías de temas

Seguridad del dispositivo PL1 PL1

Correo no deseado PL1 PL1

Fraude de compromiso de correo electrónico empresarial PL1 PL1

Ataques de contraseña PL1 PL1

Filtración de datos PL1 PL1 PL2

malware PL1 PL1 PL2

Suplantación de identidad PL1 PL1

Secuestro de datos PL1 PL1 PL2

Mejora cibernética PL1 PL2

Terrorismo cibernético PL1

Certificaciones PL2

SU GUÍA PARA DISEÑAR UN PROGRAMA DE CONCIENCIA CIBERNÉTICA 9

 6.CREAR UN PLAN DE TIEMPO

En primer lugar, un plan de tiempo debe adaptarse a las

actividades comerciales, la carga de trabajo y los temas de la
campaña (es decir, si desea dirigirse al departamento
financiero, no es prudente lanzar un programa de
concientización cibernética durante diciembre, cuando el año
fiscal está cerrando). Además, tenga en cuenta que es
necesario dedicar tiempo de antemano para identificar la
postura actual en materia de ciberseguridad de la organización
(por ejemplo, mediante una encuesta o un cuestionario sencillo
y rápido). A continuación se presenta un ejemplo indicativo de
un plan de tiempo.

Enero Febrero Marzo Abril

?
Vídeos y Vídeos y
Prueba de referencia Tema de formación material de difusión material de difusión

Puede Junio Julio Agosto

VACACIONES VACACIONES

Tema de formación 2 Ejercicio de simulación

Septiembre Octubre Noviembre Diciembre

?
Entrenamiento de regreso a clases Juegos/examen/cuestionario Colecciones de conocimientos Informe a la gerencia

10
 AR-EN-UNA-CAJA

Como se puede observar, también es necesario dedicar tiempo a

comprobaciones periódicas de cordura (como pruebas, ejercicios de La madurez en seguridad requiere un aprendizaje

simulación o cuestionarios), ya que proporcionan una mejor visión de constante.

la eficacia del programa y la absorción de la información

proporcionada hasta el momento. También permite adoptar medidas
correctivas sobre la marcha para mejorar el programa actual.
7.IMPLEMENTACIÓN DEL PROGRAMA
Se consideran tres marcas de tiempo relevantes para brindar capacitación
sobre concientización sobre ciberseguridad a sus empleados:
1.cuando se incorporan a la organización como parte del
proceso de inducción;
La formación, como muchos aspectos de la seguridad, no
es una actividad aislada. Es necesario incluirlo en todos los
aspectos de la organización hasta que se convierta en una
parte integral de la cultura organizacional. A la hora de
contratar nuevos empleados, es fundamental que reciban
un curso como parte de su 'paquete de bienvenida', que
les ayudará a realizar sus tareas teniendo en cuenta
aspectos de ciberseguridad. Después de eso, la
capacitación periódica y continua en ciberseguridad
después del incidente ayudará a mantener la cultura.

2.después de un incidente, para indicar los procedimientos, La capacitación en ciberseguridad es un proceso

funciones y responsabilidades vigentes; continuo que deberá modificar y enmendar a medida
que su organización crezca. Esto es parte de
3.a intervalos regulares durante todo el año. garantizar que su postura de seguridad sea lo más
madura posible, incluso cuando su empresa y el
Cada una de estas instancias ofrece una oportunidad diferente para panorama de la ciberseguridad crecen y evolucionan.
desarrollar el conocimiento de los empleados sobre aspectos
específicos de la ciberseguridad o para brindarles ejemplos del
mundo real sobre qué hacer y qué no hacer. Si puede planificar con
anticipación, podrá desarrollar los tipos de cursos adecuados para las
ocasiones adecuadas.

Inducción

Cuando alguien se une a una organización, la inducción a su cultura

de ciberseguridad es importante. El nuevo recluta tiene que repasar
las personas, los procesos y la tecnología que son más relevantes
para sus funciones laborales en lo que respecta a la seguridad.
Concéntrese en políticas generales e información específica de roles
que ayudarán a los nuevos empleados a realizar su trabajo de
manera más efectiva.

SU GUÍA PARA DISEÑAR UN PROGRAMA DE CONCIENCIA CIBERNÉTICA 11

 Específicamente, configure una sesión individual o grupal para
nuevos empleados. Esto se puede ofrecer a través de una
presentación atractiva e interactiva, en la que se repasan los
principios y herramientas de seguridad clave que utilizarán y
aquellos que deben conocer. A continuación, puede
interrogarlos para que prueben sus nuevos conocimientos.
8.EVALUANDO EL PROGRAMA
Tras la implementación del programa, es necesario
evaluar su eficacia para identificar las lecciones
aprendidas y los cambios que pueden ser necesarios en
el futuro.

Post-incidente

Si se produce algún incidente de seguridad en tu organización,

puede ser un buen momento para ofrecer un curso de actualización.
En lugar de echar culpas, piense en esto como una oportunidad para
analizar un problema real que surgió y mostrar cómo se puede evitar
en el futuro.

¿Qué información no tenía su equipo (o olvidó en el camino)

que les habría ayudado a evitar la situación? ¿Cómo puedes
educarlos mejor para el futuro? Con esta información en la
mano, programe una reunión de toda la empresa donde
pueda revisar las mejores prácticas para este tipo de
incidentes. Concéntrese en el vector de ataque y en cómo
otros miembros de la organización pueden evitar ser
víctimas del mismo tipo de ataque.

Continuo

La idea aquí es establecer un plan de estudios que cubra las

amenazas de seguridad más comunes (esto cambiará con el
tiempo a medida que surjan nuevas) y mantenga la
ciberseguridad como una prioridad a través de una cadencia
regular de educación y concientización.

12
 AR-EN-UNA-CAJA

RECOMENDACIONES CLAVE
A continuación se resumen los factores clave para un Aprender mediante el seguimiento y la evaluación.El
programa de sensibilización exitoso. desarrollo de medidas para evaluar el impacto de todo el
programa debe considerarse desde el inicio de su diseño. El
Transmita el mensaje correcto al grupo de empleados seguimiento y la evaluación periódicos ayudan a realizar un
adecuado.Identificar audiencias clave del grupo de empleados seguimiento de lo que sucede y permiten que el equipo
ayuda a garantizar que los mensajes sean recibidos por quienes tome medidas correctivas si es necesario.
serán más receptivos a ellos. Identificar las audiencias objetivo y
adaptar el programa a sus necesidades específicas y nivel de
conocimiento, desde las primeras etapas de planificación de un
programa, garantiza que el mensaje correcto llegue a la
audiencia adecuada. Los mensajes deben estar claramente
relacionados con temas de ciberseguridad que el público
encuentre familiares.

La formulación de mensajes clave es importante para el

éxito de un programa de concienciación cibernética.Dado
que cada tema y audiencia de ciberseguridad es única, cada
capacitación requiere un enfoque personalizado.
Para el desarrollo de futuras acciones de sensibilización y
formación educativa conviene fijar objetivos específicos y
alcanzables que actúen como indicadores de éxito.
Teniendo en cuenta el ámbito geográfico y temático, se
debe llegar al grupo de empleados con mensajes que
respondan directamente a sus temores y necesidades
particulares en materia de ciberseguridad.

Selección de las herramientas adecuadas.El proceso de

selección de las herramientas adecuadas para comunicar los
mensajes correctos a los empleados de forma eficaz es clave
en el diseño de la ciberconciencia.

SU GUÍA PARA DISEÑAR UN PROGRAMA DE CONCIENCIA CIBERNÉTICA 13

 ANEXO
Ejemplo de programa de sensibilización.

Objetivo Calendario de implementación

indicativo

1. Crear conciencia sobre la amenaza cibernética del phishing. 6 meses

• Proporcionar una capacitación personalizada sobre el tema, material informativo y un cuestionario
práctico para evaluar el progreso.
• Utilice una campaña de simulación de phishing para capturar los resultados del antes y el después.
• El 100 % del personal deberá participar en la actividad.

2. Promover la educación y la cultura en ciberseguridad. 1 año

• Proporcionar una capacitación personalizada, un proceso de presentación de informes en caso de un
incidente y un ejercicio práctico para evaluar las lecciones aprendidas.
• El 80 % del personal deberá participar en la actividad.

3. Mejorar la preparación en caso de incidente. 6 meses

• El 100 % del personal TIC debe participar en la actividad.
• Proporcionar capacitación y un ejercicio técnico práctico para evaluar las lecciones aprendidas.
• Probar los procedimientos de escalamiento existentes e identificar brechas.

Tabla 3. Métodos de ejecución del programa sugeridos según el nivel de competencia objetivo

PL1 – consciente PL2 – entrenado

Seminarios web/sesiones informativas Cursos en tiempo real (presenciales u online)

Intranet/sitio web, portal aprendizaje electrónico / cursos en línea

Vídeos, folletos Seminarios web/talleres

Pódcasts Tutoriales en vídeo

Líneas de ayuda / líneas directas / casillas de chat Laboratorios de formación

Boletines Grupos de discusión/foros

Kits de concientización (pósteres, fondos, protectores de pantalla, Gamificación (juegos de rol, escape rooms, simulacros de ataques)
infografías, páginas de inicio de sesión de Windows personalizadas)

Juegos en línea, cuestionarios Micro/nanoaprendizaje

Publicaciones Diplomas y certificaciones

14

Tabla 4. Métodos de entrega sugeridos por grupo objetivo
Público objetivo
Empleado genérico, contratista
RR.HH., comunicaciones.
y marketing, legales,
operaciones e investigación y
desarrollo
Finanzas y adquisiciones,
gerentes, funcionarios, jefes de
unidad, directores
profesionales de las TIC,
profesionales de la ciberseguridad,
expertos en ciberseguridad
AR-EN-UNA-CAJA
Canales y métodos de entrega.
• Sitios web y portales de redes sociales
• Juegos y cuestionarios en línea
• Gamificación (por ejemplo, juegos de rol, salas de escape, ataques simulados)
• Kits de concientización (pósteres, fondos, protectores de pantalla, infografías, páginas de inicio de sesión de
Windows personalizadas)
• Líneas de ayuda/líneas directas/cuadros de chat
• Tutoriales en vídeo
• Grupos de discusión/foros
• Boletines
• Kits de concientización (pósteres, fondos, protectores de pantalla, infografías, páginas de inicio de sesión de
Windows personalizadas)
• Vídeos
• Seminarios web/talleres
• aprendizaje electrónico/cursos en línea
• Publicaciones
• Conferencias/eventos
• Cursos en tiempo real (presenciales u online)
• Vídeos
• Seminarios web/talleres
• aprendizaje electrónico/cursos en línea
• Laboratorios de formación
• Certificaciones/diplomas
• Publicaciones
• Eventos / conferencias de networking
SU GUÍA PARA DISEÑAR UN PROGRAMA DE CONCIENCIA CIBERNÉTICA 15
ACERCA DE ENISA
La Agencia de Ciberseguridad de la Unión Europea (ENISA) es un centro de experiencia en seguridad de la información y las redes
para la UE, sus Estados miembros, el sector privado y los ciudadanos europeos. ENISA trabaja con estos grupos para desarrollar
consejos y recomendaciones sobre buenas prácticas en seguridad de la información. Ayuda a los Estados miembros de la UE a
implementar la legislación pertinente de la UE y trabaja para mejorar la resiliencia de las infraestructuras y redes de información
críticas de Europa. ENISA busca mejorar la experiencia existente en los Estados miembros de la UE apoyando el desarrollo de
comunidades transfronterizas comprometidas con la mejora de la seguridad de las redes y la información en toda la UE. Puede
encontrar más información sobre ENISA y su trabajo en www.enisa.europa.eu.

ENISA
Agencia de la Unión Europea para la Ciberseguridad

Oficina de Atenas
Agamenón 14
Chalandri 15231, Ática, Grecia

Oficina de Heraclión
95 Nikolaou Plastira
700 13 Vassilika Vouton, Heraclión, Grecia

enisa.europa.eu