Mimecast Logo
Obtenga una cotización

    10 temas de concienciación sobre seguridad que debe cubrir

    Construya un mejor programa de formación de concienciación sobre seguridad con Mimecast. Incluye pruebas de phishing, puntuación de riesgos e integración y gestión sin fisuras.
    Mejorar la conciencia cibernética
    Programa de formación para la concienciación sobre la seguridad
    Mejorar la conciencia cibernética
    Puntos clave

    Qué aprenderá en este artículo

    Descubra los 10 temas esenciales de concienciación sobre seguridad que toda organización debe cubrir para construir una defensa resistente y centrada en las personas:

    • La suplantación de identidad, la seguridad de las contraseñas y las amenazas internas son los principales riesgos: la formación debe enseñar a los empleados a detectar las estafas, a utilizar credenciales sólidas y a reconocer los comportamientos de riesgo.
    • El ransomware, la ingeniería social y la protección de datos requieren que los usuarios identifiquen las actividades sospechosas, se resistan a la manipulación y manejen la información sensible adecuadamente.
    • La seguridad de los dispositivos, el intercambio seguro de archivos, la respuesta ante incidentes y la seguridad medioambiental ayudan a garantizar hábitos de trabajo seguros, informes rápidos y la protección de los activos digitales y físicos.

    Puede parchear sistemas y desplegar todas las herramientas de defensa de su pila. Pero si los empleados no están equipados para detectar un correo electrónico de phishing o para manejar correctamente los datos sensibles, su exposición al riesgo sigue siendo alta.

    La formación sobre concienciación en materia de seguridad no se limita al cumplimiento de las normas. Se trata de preparar a las personas para que tomen mejores decisiones en momentos reales . Y para los CISO, los vicepresidentes de seguridad y los analistas, es una de las formas más rentables de reducir las posibilidades de una brecha grave.

    Este artículo desglosa 10 temas básicos que todo programa de concienciación debe incluir. Es un marco basado en donde las amenazas están ocurriendo realmente. Cada tema refleja también cómo Mimecast ayuda a las organizaciones a reducir los errores humanos a escala.

    1. Ataques de phishing

    El phishing sigue siendo el principal vector de ataque por un amplio margen. Estos ataques también están evolucionando rápidamente con contenidos más personalizados, a menudo generados por IA. Cada vez pasan más del correo electrónico a plataformas como Teams o Slack una vez que comienza el compromiso.

    Una formación eficaz se centra en:

    • Simulaciones realistas de phishing adaptadas a la función y al nivel de riesgo
    • Reconocimiento de dominios falsos, archivos adjuntos inesperados y señales de urgencia
    • Animar a los usuarios a informar de los intentos, incluso después de un error

    Cuando el reconocimiento del phishing se convierte en instintivo, las organizaciones pueden reducir significativamente tanto el volumen de incidentes como el tiempo de respuesta a los mismos .

    2. Seguridad con contraseña

    Las contraseñas débiles o reutilizadas siguen siendo uno de los puntos de entrada más comunes para los atacantes. Según el DBIR 2024 de Verizon, el 83% de las violaciones implican el robo de credenciales.

    Es fácil asumir que todo el mundo sabe que no debe utilizar "Password123", pero la comodidad sigue impulsando los malos hábitos, especialmente a través de múltiples sistemas y aplicaciones.

    La formación debe ayudar a los usuarios:

    • Comprender qué hace que una contraseña sea segura (longitud, aleatoriedad, unicidad)
    • Reconocer los riesgos de la reutilización en cuentas empresariales y personales
    • Adopte gestores de contraseñas para reducir la fricción
    • Tratar la AMF como estándar, no como opcional

    Las buenas prácticas en materia de contraseñas no sólo tienen que ver con el comportamiento individual. Tienen un impacto directo en la integridad de todo el sistema.

    3. Amenazas internas

    A menudo se subestiman las amenazas internas, pero pueden ser devastadoras. A diferencia de los actores externos que necesitan atravesar su perímetro, los internos ya tienen las llaves del reino. Ya sea por negligencia, mal uso o sabotaje deliberado, el daño puede ser difícil de detectar y aún más difícil de revertir.

    76% de las organizaciones han sido testigos de un aumento de los incidentes relacionados con información privilegiada en los últimos cinco años, y el coste medio de una sola amenaza de información privilegiada alcanza ahora los 15 millones de dólares. Estos incidentes no sólo están causados por empleados descontentos de o por intenciones maliciosas: a menudo provienen de personal bienintencionado que no se da cuenta de que ha tomado una decisión arriesgada .

    Hay que tener en cuenta varios escenarios de alto riesgo:

    • Un empleado que comparte datos confidenciales de clientes a través del correo electrónico personal para "trabajar desde casa"
    • Un desarrollador que guarda las credenciales de producción en un lugar no seguro por comodidad
    • Un miembro del equipo que se marcha descargando archivos sensibles sin mala intención, sólo con mal juicio

    La formación debe ayudar a los empleados:

    • Comprender lo que constituye un acceso y un uso aceptables de los datos
    • Reconocer comportamientos de riesgo como transferencias no autorizadas, accesos fuera del horario laboral o compartir credenciales.
    • Aprenda a denunciar acciones cuestionables con discreción, sin temor a represalias

    La mitigación de las amenazas internas depende de la creación de un entorno en el que la gente esté alerta ante comportamientos extraños y se sienta capacitada para plantear sus preocupaciones. No por recelo, sino por responsabilidad compartida.

    4. Ransomware y malware

    Los ataques de ransomware son perturbadores y costosos. La petición media de rescate puede acercarse al millón de dólares, y esa no incluye el tiempo de inactividad ni los costes de recuperación.

    Los atacantes suelen obtener acceso a través de phishing, archivos adjuntos maliciosos o software obsoleto. Una vez dentro, el movimiento lateral y la escalada de privilegios se producen rápidamente.

    La formación eficaz abarca:

    • Cómo reconocer enlaces sospechosos, indicaciones de software falso o archivos adjuntos de correo electrónico
    • Por qué es fundamental mantener los sistemas actualizados (especialmente los puntos finales)
    • Qué hacer inmediatamente si un dispositivo muestra signos de estar en peligro
    • El papel de las copias de seguridad y por qué deben ser seguras y comprobarse periódicamente

    Incluso con la mejor protección de los puntos finales, los usuarios deben formar parte de su estrategia de defensa contra el ransomware.

    5. Ingeniería social

    La ingeniería social es uno de los trucos más antiguos en el libro del atacante, y todavía funciona porque se dirige a las personas, no a los sistemas.

    A diferencia del phishing, que suele dirigirse a muchos usuarios con un señuelo digital, la ingeniería social implica manipular directamente a los individuos de . Los atacantes pueden hacerse pasar por personal interno, proveedores o incluso el servicio de asistencia informática. Pueden llamar, enviar un mensaje a o reunirse en persona para generar confianza y utilizar la urgencia para anular el buen juicio.

    Los ciberataques exitosos implican errores humanos. Muchos de esos errores son fruto de la manipulación, no del descuido.

    Los ejemplos del mundo real incluyen:

    • Un "vendedor" que solicita transferencias urgentes debido a un cambio repentino de banco
    • Un atacante que se hace pasar por un administrador informático y le pide que restablezca su contraseña por teléfono
    • Un supuesto ejecutivo envía un mensaje a un asistente en Teams para compartir un archivo confidencial

    Formar a los usuarios para que se resistan a estas técnicas debe implicar algo más que reglas. También deben fomentar la confianza y la conciencia . Los temas a tratar incluyen:

    • Banderas rojas comunes de la ingeniería social: tono urgente, saludos genéricos, lenguaje demasiado familiar o solicitudes inesperadas
    • Animar a los empleados a detenerse y verificar, incluso si la solicitud parece legítima
    • Reforzar los procedimientos internos, como la verificación de las transferencias bancarias o la confirmación de la identidad a través de canales secundarios
    • Haciendo que sea culturalmente aceptable decir: "Déjeme volver a comprobarlo".

    Es menos probable que la gente caiga en la ingeniería social si se siente respaldada a la hora de hacer preguntas. Una pausa de cinco segundos para validar una solicitud puede evitar una pesadilla de cinco semanas de respuesta a un incidente.

    Vea cómo Mimecast puede mejorar su cultura de seguridad

    45% de los empleados no están seguros de cómo informar sobre actividades sospechosas, lo que pone en peligro a innumerables organizaciones. Nuestro objetivo es cambiar eso.

    Aprenda cómo ahora

    6. Protección de datos y privacidad

    Ya se rija por el GDPR, la CCPA, la HIPAA o las políticas internas, la protección de datos es tarea de todos, no sólo de los departamentos de TI o Jurídico.

    La pérdida de datos suele deberse a pequeños pasos en falso:

    • Subir archivos a cuentas personales en la nube
    • Compartir información sensible a través de canales no encriptados
    • Conservar los informes en ordenadores de sobremesa o unidades USB

    La formación debe incluir:

    • Qué constituyen datos sensibles en su contexto empresarial específico
    • Cómo almacenar, compartir y eliminar los datos correctamente
    • Por qué son importantes las políticas de encriptación, redacción y conservación

    Mimecast también refuerza estas prácticas con herramientas de mensajería segura, DLP y aplicación de políticas,porque la formación y la tecnología funcionan mejor juntas.

    7. Seguridad de los dispositivos

    Con el trabajo remoto e híbrido como norma actual, los ataques a puntos finales han aumentado más de 200% (Forrester). Los teléfonos, las tabletas y los ordenadores portátiles personales pueden convertirse en una puerta trasera en su entorno.

    Los usuarios necesitan entender cómo:

    • Habilite el cifrado y las contraseñas seguras en todos los dispositivos
    • Utilice una Wi-Fi segura y evite los puntos de acceso públicos para tareas delicadas
    • Active las funciones de borrado remoto y notifique inmediatamente la pérdida/robo de dispositivos
    • Respetar las políticas BYOD y MDM, incluyendo por qué existen y cómo protegen a todos

    La formación sobre los dispositivos no debe ser una ocurrencia tardía. Ahora, cada punto final forma parte del perímetro de su red.

    8. Intercambio seguro de archivos

    Compartir archivos es esencial para que la gente realice su trabajo. Desde contratos e informes financieros hasta borradores de diseño y datos de clientes, la colaboración implica a menudo el envío de archivos de un lado a otro.

    Sin embargo, el intercambio no autorizado de archivos sigue siendo una fuente habitual de fugas de datos internos. No se trata sólo de amenazas externas. Muchos incidentes se deben a que los empleados utilizan herramientas no aprobadas o configuran mal los permisos sin darse cuenta de los riesgos que ello conlleva.

    Algunos de los escenarios de riesgo más comunes incluyen:

    • Envío de archivos sin cifrar como archivos adjuntos de correo electrónico estándar, a menudo a direcciones externas
    • Cargar datos confidenciales en cuentas personales en la nube (por ejemplo, Google Drive, Dropbox) para acceder a ellos de forma remota.
    • Compartir enlaces que permiten el acceso sin restricciones, permitiendo a cualquiera que tenga el enlace ver, descargar o compartir más
    • Olvidarse de revocar el acceso una vez finalizado un proyecto, dejando los archivos disponibles indefinidamente

    No se trata de acciones malintencionadas. La mayoría de las veces ocurren porque los usuarios intentan ser eficientes y no comprenden del todo los riesgos.

    Ahí es donde la formación marca una verdadera diferencia. Cuando se muestra a los usuarios cómo y por qué se exponen los datos, es mucho más probable que adopten hábitos seguros. Un sólido programa de concienciación debería guiarles:

    • Cómo utilizar plataformas aprobadas y seguras para compartir archivos que ofrezcan encriptación integrada, controles de acceso y registros de auditoría
    • Por qué establecer fechas de caducidad en los enlaces compartidos ayuda a limitar las ventanas de exposición, especialmente para los datos sensibles al tiempo o regulados por
    • Cómo gestionar adecuadamente los permisos. Por ejemplo, acceso de sólo visualización frente a acceso de edición, socios internos frente a externos

    También es importante conectar esta formación con ejemplos del mundo real. Un permiso omitido en un tablero presentación. Un documento confidencial enviado al cliente equivocado. Un enlace público que se deja abierto mucho después de que se cierre un acuerdo . Se trata de situaciones evitables que pueden tener consecuencias desmesuradas.

    9. Respuesta a incidentes y recuperación

    Incluso con defensas fuertes, las cosas pueden salir mal. Lo más importante es la rapidez con la que su equipo detecta, informa y responde.

    Por desgracia, muchos usuarios no saben qué hacer o, lo que es peor, retrasan la denuncia por miedo a las consecuencias.

    La formación debe proporcionar:

    • Un proceso claro para informar de actividades sospechosas o incidentes confirmados
    • Ejemplos de lo que se debe notificar (comportamientos extraños del sistema, clics sospechosos en correos electrónicos, etc.)
    • Garantía de que se recompensa la rapidez en la presentación de informes
    • Familiaridad con su equipo de respuesta y su plan de comunicación

    La realización de ejercicios de mesa o simulacros es una excelente forma de comprobar la comprensión y mejorar la preparación.

    10. Seguridad medioambiental

    La seguridad no se detiene en la pantalla. Los riesgos de acceso físico siguen siendo habituales, como el tailgating, el shoulder surfing o puestos de trabajo desbloqueados.

    Incluso en entornos de oficina seguros, las brechas pueden producirse cuando:

    • Los ordenadores portátiles se dejan sin cerrar y sin vigilancia
    • Los documentos sensibles se imprimen y se olvidan
    • Los visitantes entran en las zonas sin verificación

    La formación en este ámbito debe incluir:

    • Recordatorios de la pantalla de bloqueo (y aplicación)
    • Políticas de escritorio limpio y eliminación segura de documentos
    • Cómo identificar y responder a los seguimientos o accesos no autorizados

    Hábitos sencillos como mirar por encima del hombro o bloquear la pantalla antes de tomar un café pueden evitar un incidente grave .

    Haga que la formación sea continua, no de una sola vez

    Los mejores programas de formación no son sesiones puntuales. Son coherentes, atractivas y evolucionan, al igual que las amenazas que pretenden prevenir.

    El comportamiento de seguridad decae con el tiempo, especialmente si los usuarios no se enfrentan a amenazas con frecuencia. Los refrescos periódicos y los simulacros del mundo real de mantienen la concienciación alta y las reacciones agudas.

    La formación de concienciación sobre seguridad de Mimecast ofrece:

    • Módulos de aprendizaje breves y basados en funciones (2-5 minutos)
    • Simulaciones de phishing en tiempo real
    • Puntuación de riesgo individual y seguimiento del comportamiento
    • Integración con la suite completa de ciberseguridad de Mimecast

    Está diseñado para reducir el riesgo iniciado por el usuario, no sólo para marcar casillas de cumplimiento.

    Reflexiones finales

    La tecnología por sí sola no detendrá la mayoría de los ataques. Los usuarios desempeñan un papel fundamental en su postura de seguridad, pero sólo si se les forma adecuadamente y con regularidad en .

    Estos 10 temas son un punto de partida práctico y de gran impacto para construir un programa de concienciación moderno. Se alinean con las amenazas actuales, las exigencias normativas y las realidades de cómo trabajan los empleados hoy en día.

    Mimecast ayuda a las organizaciones a unirlo todo con formación de concienciación, protección del correo electrónico y la colaboración, y perspectivas en tiempo real sobre el panorama del riesgo humano.

    ¿Listo para subir de nivel en su programa de entrenamiento? Programe una demostración para ver cómo Mimecast le ayuda a convertir la concienciación sobre la seguridad en resiliencia en el mundo real.

    Recursos relacionados con el programa de formación para la concienciación sobre la seguridad

    Resources_11.jpg
    Security Awareness Training

    Ola de soluciones de gestión de Human Risk de Forrester

    Analyst Report
    Resources_12.jpg
    Security Awareness Training

    Human Risk Command Center 

    Datasheet
    Resources_45.jpg
    Security Awareness Training

    Exposing Human Risk

    Ebook
    Back to Top