👋 Agenda una reunión y empieza a habilitar nuevos negocios con tu ciberseguridad
Ingresa tu correo corporativo. Nuestras soluciones están diseñadas específicamente para empresas.

Al hacer clic en Enviar, aceptas que Delta Protect almacene y procese la información personal suministrada arriba de acuerdo a la política de privacidad establecida en el Aviso de Privacidad.

🙌 ¡Gracias por contactarnos!
📩 Te hemos enviado un correo con los siguientes pasos, no olvides revisar tu buzón
Oops! Something went wrong while submitting the form.

“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”

Sergio García
Engineer Manager

“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”

Pablo Padilla
Gerente TI

“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”

Jaime Zenizo
CEO & Partner

“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”

Ilse Fernández
Data and Information Management

“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”

Enrique Guzman
Chief Information and Security Officer

Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.

Manuel Andere
Chief Technology Officer

Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.

Erick Pérez
Director General

Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.

Juan Leonardo Hinojosa
Gerente de Ciberseguridad

"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”

Joaquin Rivera
Co-Founder & CEO - Kikoya

"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”

Paolo Rizzi
Co-Founder & CTO - minu

"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”

Alberto Navarro
Head of Product - Arkángeles
-
20 min.

Plan de concientización en ciberseguridad: Importancia y buenas prácticas

Tabla de Contenidos
¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

En 2017, el instituto Ponemon reportó que el 28% de las brechas de seguridad informática habían sido producto del error humano. Este tipo de reporte nos indica que la concientización de la ciberseguridad por parte de los empleados de una empresa es esencial para la protección de la misma.

¡Sigue leyendo y conoce más sobre este importante tema! 

¿Qué es la formación y concientización en ciberseguridad?

La formación y concientización de la ciberseguridad se puede definir como una serie de prácticas, estrategias, y políticas de seguridad que las empresas emplean para garantizar la seguridad de la información, basadas en dinámicas que causen un impacto positivo en la organización.

La mayor parte de los problemas de seguridad informática que ocurren en las empresas, es usualmente debido a la falta de nociones básicas sobre los riesgos de ciberseguridad por parte de sus empleados, lo que los lleva a tener hábitos de trabajo que ponen en peligro a la empresa.

Políticas de seguridad

Las políticas de seguridad informática son las reglas que se aplican dentro de una organización para proteger la información y los sistemas de posibles riesgos o ataques. Estas reglas son importantes para que los empleados sepan cómo usar la tecnología de forma segura y responsable. 

Una buena política de seguridad debe ser clara y lo suficientemente sencilla de entender por todo el mundo. Además, esta debe responder algunas preguntas básicas como: ¿Cuál es su objetivo? ¿Por qué se lleva a cabo? ¿Cómo se debe y se puede cumplir? ¿Quiénes deben cumplirla? ¿Qué pasa si no se cumple?

Una vez que la política de seguridad haya sido diseñada esta debe ponerse en práctica dentro la organización. A continuación te comentamos algunos sencillos pasos para que puedas implementar las distintas políticas de seguridad:

  • Realiza y documenta las políticas de seguridad, las cuales han sido debidamente justificadas.
  • Solicita el apoyo de la Alta Dirección o de algún patrocinador para implementarlas.
  • Utiliza los medios de comunicación internos para dar a conocer estas políticas a los empleados.
  • Haz uso de comunicados, emails, videos y socialización personal para dar a entender mejor la importancia de dichas políticas.
  • Solicita la aceptación de las mismas a las personas pertinentes, utilizando algún método como voto o firma electrónica.

Importancia de la concientización en ciberseguridad

Es importante para una empresa que todos sus empleados, sin distinción de su puesto de trabajo, estén bien informados con respecto a la ciberseguridad, ya que los activos digitales se han vuelto cada vez más valiosos, lo que hace que su protección sea primordial.

Por otro lado, son diversos los ciberataques que podría sufrir una empresa, algunos de los más comunes son:

  • Los ataques de ransomware, donde los atacantes logran acceder al sistema y encriptan la información valiosa, pidiendo un rescate para liberar la información.
  • Los ataques de phishing, que se hacen a través de correos electrónicos fraudulentos, los cibercriminales pueden obtener credenciales de acceso a la empresa o lograr estafas de diversos tipos;
  • Los ataques de spyware, donde se espía y roba información sensible de la empresa.

Entre 2013 y 2015, Facebook y Google, dos de las compañías tecnológicas más grandes del mundo, fueron víctimas de un tipo de ataque conocido como phishing, en donde a través de correos electrónicos fraudulentos los atacantes lograron robarle a las compañías alrededor de 100 millones de dólares.

Podemos ver entonces la importancia de concientizar a los empleados sobre la seguridad de la red de la empresa, y de que aprendan a reconocer las vulnerabilidades de la compañía y actuar de manera activa para eliminar o mitigar dichas vulnerabilidades, pues son tu primera línea de defensa contra los ciberdelitos. 

A continuación, te dejamos algunos pasos que se pueden implementar como medidas de seguridad:

Utiliza un gestor de contraseñas

A veces, se hace complicado tratar de recordar distintas contraseñas para cada una de las cuentas que se utilizan en una empresa. Sin embargo, esto no quiere decir que debas utilizar la misma contraseña para todas las plataformas, ya que al verse comprometida alguna de dichas plataformas, podrían verse afectadas todas las demás cuentas.

Lo ideal para evitar este problema, es usar un gestor de contraseñas, el cual ayuda a organizar todas las contraseñas de las distintas cuentas, solo necesitando recordar la contraseña de esta plataforma.

Mantén tu software actualizado

Otra medida importante que puedes tomar es la de mantener actualizados todos los programas y softwares que usa la empresa.

Muchas de estas actualizaciones suelen contener nuevos parches de seguridad para algunas vulnerabilidades viejas, o incluso la implementación de nuevos sistemas de seguridad.

Mantén tu backup al día

La información digital es propensa a dañarse, bien sea por daños físicos de las computadoras o servidores, o por algún virus, ataque de ransomware o algo similar.

Es por esto que es importante mantener respaldo de la información, en particular de la información sensible y valiosa. Pero no solo es importante hacer un respaldo una sola vez, sino realizar copias de seguridad de manera periódica, ya que constantemente estamos añadiendo información nueva a nuestros sistemas, y un fallo o daño puede llegar sin previo aviso.

Evita el uso de redes públicas

A veces nos podemos encontrar en alguna situación donde parezca conveniente conectarnos a un Wifi o red pública de Internet. Sin embargo, debemos ser cuidadosos, ya que estas redes podrían estar comprometidas.

Si se hace necesario conectarnos a una de estas redes públicas, podemos usar una VPN (Virtual Private Network, o Red Privada Virtual), la cual ayudará a mantener la conexión cifrada y segura.

Forma a los trabajadores

La seguridad es tema de todos ya que cualquier persona en una empresa podría ser un punto vulnerable. Es por esto que es de suma importancia educar y formar, a través de cursos de concienciación, a todos los empleados, para que aprendan a reconocer posibles amenazas en su entorno de trabajo y sepan cómo mitigarlas.

Son varios los temas que un empleado debe manejar en materia de ciberseguridad se trata. A continuación, te explicamos los más básicos e importantes, que mantendrán a tu empresa más segura.

Temas de ciberseguridad sobre los que deberías capacitar a tus empleados

Responsabilidad del negocio y datos de clientes

La información personal de los clientes es uno de los activos más valiosos para una empresa y es por esto que es vital su protección. Es importante entrenar a los empleados con la visión de la responsabilidad del negocio y el valor de los datos personales del cliente, incluye el manejo de los datos y los conocimientos técnicos sobre las regulaciones legales que competen al caso particular.

Informe de incidentes de datos

Una práctica esencial para la ciberseguridad es realizar un informe sobre todos los incidentes relacionados con los datos. Esto nos permite tener un conocimiento detallado sobre el incidente, lo cual nos puede ayudar a determinar las causas de dichos incidentes, además de ayudarnos a prevenirlos en el futuro.

Estos informes deben contener la siguiente información mínima necesaria:

  • El título, que describe de forma general el incidente.
  • Una breve descripción resumida del evento.
  • La función u objetivo de dicho reporte.
  • El nombre de las personas o entidades afectadas.
  • Una explicación del tipo particular de incidente.
  • Los sistemas o recursos afectados.
  • El nivel de peligrosidad del incidente.
  • El posible origen del incidente.
  • La fecha y hora del incidente y de su detección.
  • Las posibles acciones a ser tomadas en respuesta al incidente.
  • Cualquier material adjunto de interés.

Contraseñas

Se hace necesario resaltar y concientizar a los empleados sobre el uso de contraseñas seguras, ya que este es un aspecto esencial de la ciberseguridad.

Como mencionamos previamente, un gestor de contraseña puede ser una herramienta valiosa a la hora de manejar las distintas contraseñas en diferentes plataformas.

Detección de correos electrónicos fraudulentos

Una de las maneras más comunes en que las empresas son atacadas es a través de los correos fraudulentos, por un ataque dirigido llamado phishing, el cual logra su cometido gracias a la ingeniería social.

Es importante educar a los trabajadores sobre las características más comunes que presentan los correos de phishing, como por ejemplo: un sentido de urgencia en el correo, archivos adjuntos sospechosos, direcciones web o enlaces acortados, entre otros.

Detección de actividades sospechosas

Son muchas las maneras en las que los ciberdelincuentes podrían tratar de atacar a una empresa, por ello los empleados deben aprender a reconocer las actividades sospechosas que podrían indicar algún tipo de ataque. 

Estas podrían ser, por ejemplo, el funcionamiento errático de alguna aplicación o programa, la ralentización excesiva de los servidores, cambios inesperados en la configuración del sistema, u otras.

Buenas prácticas para crear un plan de concientización de ciberseguridad

Un plan de concienciación es una buena manera de mitigar estas amenazas, y son muchas las buenas prácticas para la creación de campañas de concienciación. Este plan debe contener una estrategia sólida, la cual fundamente estas buenas prácticas. En esta sección veremos algunos consejos para la creación de esta estrategia y las buenas prácticas para crear un plan de concientización.

5 elementos esenciales para una buena estrategia de concientización

Una buena estrategia de concientización es parte del soporte fundamental de un buen plan de concientización. A continuación te comentamos los 5 elementos esenciales que debe incluir una buena estrategia:

1. Considera los mayores riesgos

La estrategia de concientización de la ciberseguridad debe tener en cuenta los riesgos más relevantes y frecuentes a los que se enfrentan los usuarios, los empleados y la organización. Algunos de estos posibles riesgos son el phishing, el malware, el ransomware, el robo de identidad, el robo o pérdida de dispositivos, etc. 

2. Establece un esquema motivacional

Debemos incentivar a los empleados y colaboradores a participar y comprometerse con la estrategia de concientización de la ciberseguridad, mediante un esquema motivacional que reconozca sus esfuerzos y sus logros. 

Este esquema puede incluir elementos como recompensas, reconocimientos, feedback, etc. El objetivo es generar un clima de confianza, colaboración y aprendizaje continuo entre los empleados y la organización.

3. Reconocer a aquellos que cumplen con el programa

Debemos valorar y destacar a los empleados y colaboradores que cumplen con la estrategia de concientización de la ciberseguridad, tanto a nivel individual como grupal. Esto puede implicar otorgar certificados, diplomas, insignias, premios, etc. 

También se puede crear una red de líderes o embajadores de seguridad que difundan las buenas prácticas y apoyen a sus compañeros. El reconocimiento debe ser oportuno, transparente y equitativo.

4. Generar contenido que genere un impacto positivo

Es importante crear contenido que sea atractivo, entretenido y relevante para los empleados y colaboradores, que les haga sentir parte de la solución y no del problema. El contenido debe transmitir un mensaje positivo y constructivo, que fomente la confianza y el orgullo de pertenecer a la organización. 

El contenido debe usar formatos variados y dinámicos, como videos, infografías, historias, juegos, etc. El contenido debe ser personalizado y adaptado a las necesidades y preferencias de todos los participantes.

5. Aceptar sugerencias 

Es valioso establecer un canal de comunicación entre los empleados y colaboradores con la organización, que permita recoger las sugerencias y comentarios sobre la estrategia de concientización de la ciberseguridad. 

Estas sugerencias pueden servir para mejorar el contenido de la estrategia. Debemos dar respuesta a las sugerencias y mostrar cómo se han tenido en cuenta. Además, es importante fomentar la participación activa y el compromiso de los empleados y colaboradores con la mejora continua de la estrategia.

6 Buenas prácticas para un plan de concientización

Una vez que se ha tomado en cuenta los elementos esenciales de una buena estrategia de concientización, podemos entender mejor cuáles serán las buenas prácticas que debe cumplir un plan de concientización. A continuación te comentamos 6 de ellas: 

1. Identifica las necesidades de formación

El tema de ciberseguridad es muy extenso y complejo. Formar a los empleados con todo el conocimiento posible de este tema sería abrumador.

Por eso, debemos identificar adecuadamente cuáles son las necesidades más esenciales de la empresa respecto al tema de la ciberseguridad. Esto mostrará cuáles son las capacitaciones necesarias y particulares que se deben hacer.

2. Revisa tus objetivos estratégicos de seguridad de la información

Luego de haber identificado apropiadamente cuáles son las necesidades de tu empresa, los objetivos estratégicos referentes a la seguridad de la información deben estar alineados con estas necesidades. 

Es importante tener objetivos claros y factibles, reconociendo cuáles son las posibles vulnerabilidades de la empresa, y analizando la posibilidad real de implementar dichos objetivos.

3. Transmite mensajes claros

Un aspecto sutil, pero importante, es tener claridad a la hora de comunicarse con los empleados. El tema de ciberseguridad puede ser un tema complejo, lleno de tecnicismos. Evita usar un lenguaje complejo y favorece un lenguaje más sencillo, en el cual todos puedan tener claridad de las ideas transmitidas.

Utiliza como ejemplos casos reales y situaciones en las que los empleados puedan sentirse identificados, para así transmitir el mensaje de manera mucho más efectiva.

4. Promueve el buen uso de los dispositivos

Otro aspecto valioso a considerar es el adoptar una buena política respecto al uso de dispositivos dentro de la empresa. Es común que los empleados usen los dispositivos de la compañía tanto para el trabajo como para su uso personal, como por ejemplo, el uso de redes sociales a través de dispositivos móviles.

Lo cual no es buena práctica, ya que sin quererlo podrían abrirle las puertas a vulnerabilidades que podrían comprometer la seguridad informática de la empresa.

5. Gamifica la formación en ciberseguridad 

En los últimos años, se ha venido implementando una tendencia en distintas empresas, la cual consiste en la gamificación o gamification, particularmente aplicada a la formación en ciberseguridad.

Este concepto consiste en usar mecánicas de juegos para la resolución de problemas, incluyendo la motivación mediante la competición y los premios. Según un estudio realizado por Pulse Learning, el 79% de los participantes indicaron que se sentirían más motivados si les tocara aprender en un ambiente similar a un juego.

6. Busca apoyo en profesionales de ciberseguridad

Si bien existen diversos recursos valiosos en Internet que te pueden ayudar a entender un poco mejor cómo tratar el tema de la ciberseguridad en una empresa, esto no es suficiente. La mejor opción siempre será contar con el apoyo de profesionales de ciberseguridad, ya que son quienes tienen el conocimiento adecuado para lidiar con cualquier necesidad que tenga una empresa.

En Delta Protect te ofrecemos nuestra solución Apolo, la cual te ayuda a facilitar y automatizar todo lo que necesites en cuestión de ciberseguridad. Pues sabemos que mantener a los empleados concientizados en cuanto a ciberseguridad no es tarea sencilla, y mucho menos lo es mantener identificados los riesgos internos, mientras se busca corregir esas vulnerabilidades. 

Por eso no dudes en agendar una demo de Apolo, en donde cada uno de estos puntos están cubiertos.

Escrito por:
Jorge García Martinez
Head of Security & Compliance

Experto en Seguridad de la Información con más de 25 años de experiencia en el sector financiero y farmacéutico para diversas empresas en México, como Citibanamex, Banca Mifel, Volkswagen Bank, GBM y SANFER entre otros. Se ha especializado en la gestión de riesgos tecnológicos con la finalidad de sensibilizar a los grupo de Dirección sobre la importancia de certificar a las empresas como medio que agrega valor y confianza a autoridades, clientes e inversionistas.

👋 ¡Déjanos tu correo
para tener acceso al E-Book!
🙌 ¡Gracias por dejarnos tu correo!

Si el E-Book no se descarga automaticamente, haz click 👉 aquí.
Oops! Something went wrong while submitting the form.