Traducido del inglés al español - www.onlinedoctranslator.

com

Creación de un programa de
concientización sobre ciberseguridad

Ángel Hueca
Brittany Manley
Larry Rogers

[Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada.

 En este documento presentamos una colección de alto nivel de
Contenido mejores prácticas y orientación comúnmente aceptadas para
Introducción 2 ayudarlo a crear un programa exitoso de concientización sobre
Programas de concientización sobre ciberseguridad: ciberseguridad para su organización. Esta guía se derivó de las
Propósito y mejores prácticas 3 experiencias del Instituto de Ingeniería de Software (SEI) y aprovecha

Comprensión de su entorno Diseño de un programa de 5 los recursos del Instituto Nacional de Estándares y Tecnología (NIST).
2 y el Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST).3
concientización sobre ciberseguridad Realización de su programa 8
Tenemos la intención de dejarles con:
de concientización sobre ciberseguridad Consideraciones de la 12
• mejores prácticas para el desarrollo y diseño de programas de
campaña de concientización sobre ciberseguridad Conciencia como 14
concientización sobre ciberseguridad
servicio 15
• una consideración de las funciones y responsabilidades en los programas de
Materiales suplementarios 18 concientización sobre ciberseguridad

Recursos 18 • una discusión sobre cómo diseñar e implementar un

programa de concientización

Introducción • ideas para llevar a cabo una campaña de concientización sobre

ciberseguridad en su organización o para su electorado

El conocimiento de los problemas de seguridad en Internet es un • una mirada hacia el futuro: considerar la concientización sobre la ciberseguridad

beneficio para todos, desde el administrador de sistemas como un servicio

experimentado, hasta el usuario doméstico que paga una factura Si bien la concienciación sobre la ciberseguridad se puede describir de muchas
maneras diferentes según la organización y la necesidad organizativa,
en línea o transmite una película, hasta los usuarios que recién
concienciano es equivalente acapacitación. El propósito de la concientización,
están aprendiendo sobre computadoras e Internet. Gestionar la según lo define la Publicación especial (SP) 800–16 del NIST,Requisitos de

seguridad de nuestra información personal y mantener la capacitación en seguridad de la tecnología de la información: un modelo
basado en roles y desempeño,“es simplemente centrar la atención en la
propiedad de los bienes y servicios que hemos adquirido son
seguridad”. La concientización tiene como objetivo "permitir que las personas
desafíos universales. La comunidad de Internet conoce pocos reconozcan las preocupaciones de seguridad de TI y respondan en

límites geográficos y la concienciación fundamental sobre la consecuencia". Además, FIRST describe el propósito de la concientización como
un servicio para “aumentar la postura general de seguridad del electorado y
ciberseguridad es fundamental para la seguridad del público en
ayudar a sus miembros a detectar incidentes y recuperarse de ellos; garantizar
general. que los electores estén mejor preparados y educados”. Ambas descripciones se
centran en la noción de mejorar la conciencia de un empleado o usuario sobre
cómo reconocer y responder adecuadamente a algún tipo de actividad en línea
Los usuarios, definidos como aquellos que utilizan los recursos de una cuestionable, o una anomalía en sus prácticas informáticas diarias. Esto es
organización, suelen ser el eslabón más débil de una organización. Los importante porque el usuario es la primera línea de defensa de la postura de

intrusos se centran en aprovecharse de los usuarios1para obtener acceso ciberseguridad de una organización.

a las redes de una organización y su información confidencial. Mediante

técnicas como el phishing, el enmascaramiento o la ingeniería social, los

Audiencia
intrusos intentan manipular las emociones humanas. Los usuarios pueden Hemos escrito esta guía principalmente para los siguientes grupos:
tener acceso a datos críticos, credenciales de inicio de sesión y otra • líderes y gerentes organizacionales
información que, si se utiliza incorrectamente, podría causar daño a una
• partes interesadas en ciberseguridad organizacional
organización. Si bien muchas organizaciones han implementado
• gerentes de tecnología de la información y ciberseguridad
soluciones técnicas para mitigar estas actividades maliciosas, las
• Personal del Centro de ciberseguridad, Centro de operaciones de seguridad
soluciones de seguridad requieren unauna cultura arraigada de
(SOC) o Equipo de respuesta a incidentes de seguridad informática (CSIRT)
concienciación sobre la ciberseguridad para que sea verdaderamente
• CSIRT de Responsabilidad Nacional
eficaz.
• CSIRT sectoriales

2 NIST, una agencia federal no regulada de los Estados Unidos, es responsable de la promoción de la
innovación estadounidense y del avance de la ciencia, los estándares y la tecnología de medición.
1 Empleado y Usuario no siempre son lo mismo. Un empleado es una persona que trabaja para su
organización y podría ser un usuario interno de sus sistemas de información. Los usuarios 3 FIRST tiene como objetivo permitir que los equipos de respuesta a incidentes respondan eficazmente a los incidentes
pueden ser personas ajenas a su organización que estén autorizadas a tener o utilizar algún de seguridad proporcionando mejores prácticas, herramientas y mecanismos de comunicación confiables con otros
aspecto del sistema de información de la organización. equipos de seguridad miembros.

2 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
 Cómo utilizar este documento
Un programa exitoso de concientización sobre Este documento debe ser utilizado por personas y equipos responsables

ciberseguridad está diseñado para cambiar el de programas o campañas de concientización sobre ciberseguridad, o
cualquier entidad organizacional encargada de diseñar un programa
comportamiento de los usuarios y reforzar el buen uso
para mejorar la concientización de los usuarios. El documento destaca
de las computadoras y las prácticas de seguridad.
consideraciones clave y proporciona aplicaciones basadas en procesos
que usted puede aprovechar en sus propias organizaciones, sectores,
economías o países. Los lectores deben seguir teniendo presentes las
Alcance
siguientes consideraciones, ya que la aplicación e implementación de
Este documento proporciona a las organizaciones las mejores prácticas para
esta guía siempre debe estar alineada con
abordar, diseñar e implementar programas de concientización sobre
ciberseguridad para los usuarios, así como orientación que puede incorporarse
a un programa de seguridad de TI existente o desarrollarse para una campaña • sus electores
de concientización sobre ciberseguridad. Si bien el objetivo principal de un • tu audiencia
programa de concientización sobre ciberseguridad es educar a los usuarios
• las metas y objetivos de la sensibilización
sobre la informática segura y su responsabilidad en la protección de la
• el alcance de su esfuerzo de concientización
información y los activos de su organización, diferentes audiencias requieren
diferentes niveles de participación, diferentes tipos de capacitación y diferentes Hay muchas actividades incluidas dentro del diseño y desarrollo de
niveles de controles de seguridad. Al considerar el alcance de un programa de un programa o campaña de concientización. Es importante
concientización sobre ciberseguridad, se deben incluir a todos los usuarios de comprender que el programa debe adaptarse para satisfacer las
los recursos de TI de una organización, desde los usuarios finales hasta los necesidades de su organización. Si bien no existe un enfoque único
supervisores y los gerentes de nivel ejecutivo. Se deben dar consideraciones para todos, este documento proporciona algunos puntos en común
adicionales a la audiencia, los objetivos del programa de creación de conciencia y consideraciones que se pueden aplicar en varios programas de
y el alcance del esfuerzo. Tenga en cuenta que las técnicas específicas de concientización.
capacitación en ciberseguridad están fuera del alcance de este documento; en
cambio, este documento se centrará principalmente en las consideraciones y el
Programas de concientización sobre
diseño de un programa o campaña organizacional de concientización sobre
ciberseguridad: propósito y mejores prácticas
ciberseguridad en lugar de necesidades específicas de capacitación en
ciberseguridad. El objetivo principal de un programa de concientización es informar a los
usuarios sobre los riesgos cibernéticos en un esfuerzo por influir en el
comportamiento del usuario y ayudarlos a tomar las decisiones correctas al

PROGRAMA O CAMPAÑA: ¿QUÉ ES QUÉ? interactuar con computadoras e Internet mientras desempeñan sus
responsabilidades diarias. Usuariosdebetenga en cuenta los esquemas
Programas de sensibilización sobre ciberseguridad y campañas de
comunes de fraude y phishing, así como las técnicas básicas que los actores
sensibilización sobre ciberseguridad.
maliciosos utilizan para engañar a los usuarios desprevenidos para que
Las organizaciones y equipos que hacen referencia a este documento pueden
realicen un acto no intencionado. Un programa de concientización sobre
estar interesados en desarrollar un programa integral de concientización sobre
ciberseguridad bien diseñado debería fomentar el aprendizaje organizacional
ciberseguridad, una campaña de concientización sobre ciberseguridad o ambos.
y respaldar la misión organizacional general desde la perspectiva de la
Si bien una campaña implica una diferencia en el alcance (las campañas pueden
seguridad. Sin aprendizaje organizacional, los usuarios carecerán de la
estar más dedicadas a un enfoque o área temática en particular), gran parte del
experiencia o las habilidades para identificar amenazas comunes a los
diseño y los componentes de un programa de concientización sobre
sistemas de información en los que trabajan.
ciberseguridad también se aplicarán a una campaña.
NIST SP 800-50,Creación de un programa de capacitación y concientización sobre

la seguridad de la tecnología de la información,Describe tres componentes

observados en programas exitosos de concientización sobre ciberseguridad.

Estos son

1. Establecer una política de seguridad de la tecnología de la información que refleje

las necesidades comerciales y aborde los riesgos conocidos.

2. Informar a los usuarios de sus responsabilidades

3. Identificar procesos recurrentes para monitorear y

revisar el programa

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. 3
Además, los expertos de la industria describen los siguientes componentes A lo largo del proceso de aprendizaje, éste avanza a medida que las
como mejores prácticas, algunos de los cuales ya se han mencionado: responsabilidades de seguridad del usuario se expanden dentro de la
organización. En la capa más baja, todos los empleados o usuarios necesitan
• Participación del liderazgo: el liderazgo superior debe apoyar el programa
de concientización; Los usuarios serán conscientes de la participación de ciberseguridad.conciencia de la ridad.La capa de capacitación se compone de
los altos directivos y reaccionarán en consecuencia. "conceptos básicos de seguridad y alfabetización" junto con "roles y
responsabilidades relativas a los sistemas de TI". Esta etapa del continuo
• Persistencia: Para un programa de concientización, la mejor práctica
es construir un plan anual con hitos de aprendizaje específicos a lo representa requisitos de capacitación para todas las personas en un rol que

largo del año. requiere conocimientos especializados que involucran amenazas a la

seguridad, vulnerabilidades, estrategias de mitigación y salvaguardas. El
• Relevancia: Los programas de concientización sobre ciberseguridad
deben ser relevantes para los usuarios y sus tareas diarias. nivel educativo, “educación y experiencia”, se aplica a personas dentro de la
organización que han hecho de la seguridad de la información su profesión.
• Retroalimentación inmediata: Proporcionar capacitación práctica refuerza las
actividades de concientización cubiertas en la campaña o programa.

• Evaluaciones: para determinar los ajustes necesarios, es

necesario comprender dónde comenzó el programa y cómo está El continuo de aprendizaje permite a las organizaciones evaluar a las personas
progresando. El uso de métricas identificadas ayudará a en comparación con el continuo de aprendizaje, determinar sus necesidades
determinar los ajustes que deben realizarse. de concientización sobre ciberseguridad e identificar y abarcar
adecuadamente las actividades de concientización en el nivel apropiado según
Teniendo todo esto en consideración, un programa de concientización sobre
la audiencia. Tenga en cuenta que en este documento nos centramos
ciberseguridad debe ser aplicable a todos los usuarios de su organización, y la
principalmente en el nivel de conciencia del continuo de aprendizaje.
gerencia debe tomar la iniciativa y dar ejemplo a todos los usuarios. El
programa de concientización sobre ciberseguridad funciona como un vehículo
para la difusión de información dentro de la organización y se mantiene
actualizado, con ajustes realizados de acuerdo con las amenazas actuales y los CAPAS CONTINUAS DE APRENDIZAJE
cambios en la forma en que la organización responde a las amenazas.
CONCIENCIA
Diseñe sus esfuerzos de concientización sobre ciberseguridad para cambiar los

comportamientos de los empleados y reforzar las buenas prácticas de seguridad. La publicación

Los programas eficaces de concientización sobre la ciberseguridad también deben
especial 800-16 del NIST afirma que “la concientización no es capacitación”, sino que la
informar y educar a los usuarios sobre las expectativas de las políticas de seguridad
concientización se centra en ayudar a las personas a reconocer los problemas de ciberseguridad.
y las actualizaciones de las políticas y procedimientos de seguridad con fines de
Con la conciencia, el individuo es el receptor de la información, mientras que en la formación, el
cumplimiento. En última instancia, es necesario concienciar a los usuarios de lo que
participante tiene un papel activo en las actividades de aprendizaje.
se espera de ellos, y cualquier incumplimiento justificará la rendición de cuentas.
CAPACITACIÓN
Un programa de concientización sobre ciberseguridad que desarrolle una fuerza
Capacitar a las personas para que produzcan habilidades y competencias de seguridad
laboral bien informada (muy consciente de las expectativas, riesgos y amenazas)
relevantes y necesarias. En comparación con la conciencia, la formación tiene como objetivo
conducirá a una mayor seguridad para la organización en su conjunto.
enseñar habilidades que permitan a una persona realizar una función específica. Por el

contrario, la conciencia se centra en la atención del individuo a un tema o un conjunto de temas.

Continuo de aprendizaje EDUCACIÓN

Para establecer el contexto para diseñar un programa de concientización, es Este conjunto de conocimientos se esfuerza por producir profesionales de la ciberseguridad capaces de

dar una respuesta proactiva en materia de ciberseguridad.

importante comprender los componentes fundamentales delcontinuo de
aprendizaje.Tanto NIST SP 800-16 como NIST SP 800-50 describen niveles de
aprendizaje a lo largo de un continuo. El continuo comienza con la
concientización, se desarrolla en la capacitación y se desarrolla en la educación.
Una organización puede aplicar estas categorizaciones para determinar la
competencia de un usuario en cualquiera de estos niveles dentro del continuo
de aprendizaje. Este tipo de modelo se basa en roles y supone que los usuarios
tendrán diferentes roles dentro de la organización, junto con diferentes
responsabilidades y relaciones con los recursos de TI.

4 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
Comprender su entorno
Antes de que su organización o equipo pueda comenzar a
diseñar un programa o campaña de concientización, es
importante comprender primero el entorno en el que opera.
Agencia
Hay muchos factores a considerar, pero la consideración Cabeza
principal debe ser comprender su

• funciones y responsabilidades
Roles y
• partes interesadas externas o auxiliares CIO/CISO Gerentes
Responsabilidades
• políticas, regulaciones o leyes existentes

• cultura de ciberseguridad

• el caso de negocio

• presupuesto La seguridad cibernética

Programa Usuarios
Todos estos factores deben considerarse al diseñar e implementar Gerente
un programa o campaña de concientización eficaz. Estas
consideraciones, como mínimo, ayudarán a determinar cómo
avanzar en el diseño de un programa, quién será responsable del
programa y cómo se verá afectado por las limitaciones y desafíos
existentes. Estas consideraciones principales también lo ayudarán a
determinar la audiencia y las metas y objetivos de un programa o
Adicional
campaña de concientización. Partes interesadas

Interesados externos

constituyentes Comunidad

Roles y
Responsabilidades

Funciones y responsabilidades
Negocio La seguridad cibernética
Los equipos funcionan y se coordinan de manera más eficiente cuando
Caso Cultura
existe una comprensión común de los roles y responsabilidades de los
Organizativo
individuos dentro de la arquitectura organizacional o del equipo. A
Ambiente
menudo, puede faltar esta comprensión clara; Es posible que las personas
no comprendan cómo estos roles y responsabilidades funcionan juntos
para lograr la misión organizacional. Si bien es importante comprender
Externo las directivas y orientaciones descritas en políticas específicas al iniciar un
Presupuesto Partes interesadas
programa de concientización sobre ciberseguridad, es de suma

Política existente, importancia que las organizaciones comprendan quiénes son las partes
Legislación y responsables en el diseño, desarrollo e implementación de programas de
Regulación concientización sobre ciberseguridad.

La Tabla 1 identifica partidos de ejemplo según lo descrito por NIST SP

800-50. Dependiendo de la organización, agencia o equipo, una persona
puede cumplir con las funciones de múltiples funciones. La siguiente
tabla proporciona un ejemplo de alto nivel de posibles partes
responsables.

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. 5
tabla 1 Tabla 2
AGENCIA O Asignar responsabilidad sobre TI y INTERESADO Cualquier organización o entidad que tenga un interés o
ORGANIZATIVO ciberseguridad. alguna otra preocupación relacionada con valores con su
CABEZA organización/equipo.
Garantizar que se implemente el programa de
ciberseguridad. Puede no ser atendido directamente por la organización/
equipo, pero puede recibir importantes beneficios
INFORMACIÓN PRINCIPAL Establecer una estrategia general de programa de
secundarios.
FUNCIONARIO (CIO) O concientización sobre ciberseguridad.

INFORMACIÓN PRINCIPAL Organizaciones o entidades a las que se puede solicitar que

Asegúrese de que todos los altos directivos y
OFICIAL DE SEGURIDAD proporcionen aportes tales como financiación, dotación de personal,
propietarios de datos comprendan los conceptos y la
(CISO) estrategia del programa de concientización sobre
asesoramiento y orientación sobre políticas o autoridades legales.

ciberseguridad y estén informados sobre el progreso y CONSTITUCION Un subconjunto de las partes interesadas.

la implementación del programa.

Organizaciones o entidades que serán atendidas por
LA SEGURIDAD CIBERNÉTICA Asegúrese de que los materiales de concientización y su organización/equipo (por ejemplo, aquellas a las
DIRECTOR DEL PROGRAMA capacitación desarrollados sean apropiados y que se les proporcionan servicios de ciberseguridad
oportunos para la audiencia prevista. y respuesta a incidentes).

Dependiendo de su organización, puede ser un COMUNIDAD Conjunto más amplio de organizaciones tangenciales y
Gerente del Programa de Seguridad de TI u otra relacionadas que tienen alguna relación con su organización/
persona designada, o el rol puede ser asumido por equipo, pero que pueden no ajustarse a la definición de partes
un equipo de respuesta a incidentes de una interesadas o constituyentes.
organización matriz.
Los ejemplos pueden incluir, entre otros,
GERENTES Trabajar con los líderes organizacionales para cumplir con las organizaciones locales, regionales o internacionales de
responsabilidades compartidas. respuesta a incidentes, CSIRT de responsabilidad
nacional, comunidades internacionales de CSIRT, CSIRT
Asegúrese de que todos los usuarios estén adecuadamente
de países vecinos o CSIRT sectoriales.
capacitados para cumplir con las responsabilidades de

ciberseguridad de los sistemas a los que acceden.

Grupos de partes interesadas adicionales

USUARIOS Comprender y cumplir con las políticas y

procedimientos de ciberseguridad de la agencia. Regulación o Legislación
Como señalamos anteriormente, la concienciación sobre la ciberseguridad
Estar adecuadamente formado en las normas de
comportamiento de los sistemas y aplicaciones a tiene como objetivo moldear el comportamiento del usuario en apoyo de la
los que tiene acceso. seguridad de la información. Esto incluye el conocimiento de las reglas,

AUXILIAR Participar o estar involucrado en el diseño e políticas y requisitos de la organización. Estos requisitos suelen definirse y
PARTES INTERESADAS implementación de programas de sensibilización comunicarse dentro de una política de seguridad de la información (ISP). El ISP
en ciberseguridad con carácter auxiliar.
describe el comportamiento de seguridad de la información del usuario y el
Los ejemplos pueden incluir, entre otros, uso de la computadora que la organización considera conforme, así como las
recursos humanos, gestión de talentos,
expectativas organizacionales de los usuarios. El ISP también puede alinearse
departamentos de capacitación y
comunicaciones/relaciones públicas. con políticas específicas o requisitos regulatorios que deben cumplirse para
alinearse con una obligación descrita por un organismo rector. Estos requisitos
Partes responsables en un programa de concientización sobre seguridad cibernética (adaptado de NIST SP
reglamentarios pueden proporcionarse a la organización a nivel nacional,
800-50)
estatal, local y/u organizacional. Un usuario que no toma las acciones
Partes interesadas adicionales adecuadas, o se comporta de una manera que no es aceptable con base en las
Al desarrollar programas o campañas de concientización sobre medidas establecidas, no sólo está en incumplimiento, sino que también hace
ciberseguridad para entidades fuera de su organización, es posible que que la organización esté en incumplimiento.
haya grupos adicionales que involucrar durante las fases de diseño e
implementación de un programa. Esto es particularmente aplicable a los
Normalmente, el cumplimiento normativo se refiere a industrias o
Centros de Ciberseguridad, SOC o CSIRT interesados en desarrollar
sectores específicos. Es importante considerar e incorporar la regulación
programas o campañas de concientización sobre ciberseguridad para un
existente y aplicable al diseñar e implementar un programa de
grupo o comunidad más amplia. La Tabla 2 identifica los grupos
concientización sobre ciberseguridad. A continuación se muestran
adicionales a considerar.
algunos ejemplos de regulaciones que pueden pertenecer a países,
regiones y sectores específicos.

• El Reglamento General de Protección de Datos (GDPR) de la Unión Europea

(UE) define los datos personales, el programa de seguridad y los requisitos
de notificación de violaciones para las empresas que procesan datos de
ciudadanos de la UE y sujetos que se encuentran en la UE/Espacio
Económico Europeo (EEE).

6 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
• La Directiva de la UE sobre seguridad de redes y sistemas de
información (Directiva NIS) requiere una estrategia nacional sobre
seguridad de redes y sistemas de información, la designación de un
CSIRT y la cooperación a nivel nacional.

• Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA),

aborda la protección de la información médica personal.
Liderazgo Responsabilidades
• La Ley Sarbanes Oxley (SOX) de Reforma Contable de Empresas Públicas
y Protección de Inversores aborda la transparencia y la retención de
registros de las corporaciones públicas.
Común
• La Ley Gramm-Leach-Bliley (GLBA) exige que las instituciones
Conciencia
financieras o empresas que ofrecen servicios financieros revelen sus
Meta
prácticas de intercambio de información y cómo salvaguardan la Empleados Usuarios

información de los consumidores.

CONSIDERAR LAS OBLIGACIONES LEGALES Y REGULATORIAS

Una de las funciones principales de un CSIRT es contener y mitigar

un incidente de la manera más eficiente posible, garantizando al Valores Políticas
Robusto
mismo tiempo que el incidente cause la menor interrupción a las
La seguridad cibernética
operaciones comerciales normales. Específicamente para los CSIRT Cultura
y/o los CSIRT nacionales, los pasos realizados durante un evento o
incidente de seguridad deben considerar cualquier obligación legal
o regulatoria y deben estar dentro del alcance de las leyes y El caso empresarial

regulaciones aplicables. Por lo tanto, la creación de un programa de La aceptación del liderazgo es a menudo un desafío. Esto puede deberse a

concientización debe tomarlos en consideración; Las actividades del restricciones presupuestarias, falta de recursos, falta de conocimiento de

programa de concientización pueden centrarse en aumentar la los principios básicos de ciberseguridad u otras prioridades comerciales.

conciencia de los electores sobre las leyes y regulaciones y/o cómo Para que la alta dirección comprenda verdaderamente el valor que la

los electores deben operar dentro de los límites de estas leyes y seguridad aporta a una organización y promueva una cultura de

regulaciones. ciberseguridad eficaz, debe comprender el papel que desempeña la

seguridad dentro de la organización y en la continuidad de su negocio. Es

Cultura de ciberseguridad
posible que necesite un esfuerzo dedicado centrado en educar a los altos

Los programas de concientización sobre ciberseguridad presentan a los

directivos y presentar el caso de negocio para la concientización sobre la

usuarios prácticas seguras en línea y los ayudan a desarrollar habilidades que

ciberseguridad. El caso de negocio puede diferir, dependiendo de su

utilizarán tanto en el trabajo como en su vida personal. Los programas de

organización, su misión y sus constituyentes. Un argumento común

concientización exitosos unen a los líderes organizacionales en torno a un

implica comparar el costo de recuperarse de un incidente de

objetivo de concientización común: proteger los activos y recursos relacionados

ciberseguridad con el costo de desarrollar un programa de

con la tecnología de la información de la organización. Al “aceptar” los objetivos

concientización sobre ciberseguridad. Responder y recuperarse de un

de seguridad de la organización (y construir una cultura organizacional con

incidente de ciberseguridad puede ser extremadamente costoso, lo que

todos los empleados y usuarios responsables de la ciberseguridad), los líderes

podría desviar importantes fondos, recursos y esfuerzos de otras tareas y

organizacionales aumentan la conciencia sobre la ciberseguridad y crean una

conjuntos de misiones prioritarias. El caso de negocio también podría

cultura de seguridad sólida. Una cultura de ciberseguridad organizacional se

incluir métricas menos cuantitativas, como daño a la reputación o pérdida

puede caracterizar como una faceta de la cultura organizacional más amplia,

de confianza por parte del electorado.

que alienta a los empleados y usuarios a cumplir con sus responsabilidades de

Presupuesto
acuerdo con las políticas de seguridad de la organización.
Esta consideración es un subconjunto del caso de negocio. Es
importante comprender la financiación y los recursos desde el
principio de cualquier programa o campaña de concientización. Eso le
permite evaluar adecuadamente el alcance del programa y
determinar cuántas actividades (y qué nivel) se ofrecerán.
Comprender y gestionar el presupuesto puede ser un desafío, pero
es esencial para garantizar el alcance y el éxito de un programa o
campaña de concientización sobre ciberseguridad.

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. 7
 Modelo de gestión de programas centralizado
Diseño de un programa de
concientización sobre ciberseguridad
Al diseñar un programa o campaña de concientización, es importante Política
que el programa respalde las necesidades comerciales de la
Autoridad central Estrategia
organización y complemente la cultura organizacional y la
Necesita valoración
infraestructura de TI. Estos programas deben diseñarse con la intención
Presupuesto
de apoyar la misión organizacional en alineación con las necesidades de
Plan de entrenamiento
seguridad de la organización o grupo. Además, los usuarios deberían
CIO y programa Implementación
encontrar el programa relevante para sus actividades diarias. A medida
Gestión
que se diseña el programa de concientización sobre ciberseguridad,
debe complementar la concientización, las necesidades y los objetivos de
la organización o grupo.

Identificar el modelo de programa de concientización La responsabilidad

de administrar diversos aspectos de un programa de concientización sobre
ciberseguridad puede centralizarse o distribuirse, según la estructura
Organizativo Organizativo
organizacional y los recursos disponibles. NIST SP 800-50 identifica tres
Unidad Unidad
enfoques comunes para diseñar, desarrollar e implementar un programa de
concientización sobre ciberseguridad, como se enumera a continuación: En el modelo de gestión de programas centralizado, la política, la estrategia y los planes de

implementación de concienciación sobre ciberseguridad están centralizados y gestionados por la

autoridad central. Esto significa que todas las directivas relacionadas con el desarrollo de estrategias
Modelo 1 Política, estrategia e implementación centralizadas de concientización sobre ciberseguridad, la planificación de modelos, la programación/

implementación y cualquier coordinación son realizadas por la autoridad central.

Modelo 2 Política y estrategia centralizadas,
implementación distribuida Dado que la autoridad central es responsable del desarrollo de la estrategia de

sensibilización y formación, debe realizar una evaluación de las necesidades de

Modelo 3 Política centralizada, estrategia distribuida e
sensibilización y formación. Esta evaluación de necesidades ayudará a identificar las brechas
implementación.
y deficiencias existentes en la capacitación y las necesidades específicas de la unidad

Los tres modelos muestran una política centralizada. La responsabilidad de la organizacional. Con base en los hallazgos de la evaluación de necesidades, la autoridad

central desarrollará la estrategia, el plan y cualquier material de concientización necesario

implementación de la estrategia y el programa puede transferirse a entidades
para el programa de concientización.
subordinadas dependiendo de la disponibilidad de fondos y recursos, como se
resume en los siguientes modelos descritos en NIST 800-50. En este modelo, la autoridad central comunica y orienta a las unidades organizativas
con (1) las políticas y directivas de la organización matriz con respecto a la
concientización y capacitación en ciberseguridad, (2) la estrategia y los materiales de
concientización en ciberseguridad y (3) los métodos para implementar el programa
PROPIEDAD DEL PROGRAMA
de concientización en ciberseguridad. . La autoridad central puede solicitar
Es importante que piense quién será el propietario del programa comentarios de la unidad organizativa sobre la eficacia de los materiales de
de concientización sobre ciberseguridad, cómo se difundirá en concientización, los métodos de impartición o la capacitación misma. Esta
toda su organización y quién es el órgano rector. En algunas retroalimentación permitirá a la autoridad central actualizar los materiales según sea

organizaciones, esta responsabilidad puede recaer en la oficina necesario para mejorar el programa de concientización sobre ciberseguridad.

del CIO, la Oficina de Cumplimiento o una Oficina de Gestión del

Programa de Ciberseguridad. Según las pautas del NIST, este
órgano rector se denomina "autoridad central". Sin embargo, PROS CONTRAS

para todos los efectos, es el órgano rector de cualquier programa Una autoridad central gobierna todos los Es posible que falte el aporte de la unidad
aspectos del programa de concientización organizacional.
de concientización. Además, las pautas del NIST identifican
sobre ciberseguridad.
entidades subordinadas como "unidades organizativas". Estas
unidades organizativas reportan al órgano de gobierno. Para
Funciona bien con una gestión Las modificaciones a los materiales del programa de
fines de estandarización, utilizamos los términos identificados por
estructurada y central. concientización pueden retrasarse debido a
NIST en los siguientes modelos. de las funciones de TI. limitaciones de la autoridad central.

Las unidades organizativas ayudan Las modificaciones a los materiales del

según sea necesario. programa de concientización son realizadas por
la autoridad central y pueden no reflejar el
estado exacto, las prioridades o los problemas
en la unidad organizacional.

8 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
Modelo de gestión de programas parcialmente descentralizado Modelo de gestión de programas totalmente descentralizado

Autoridad central Autoridad central

Política

Estrategia Política
Necesita valoración

CIO y programa CIO y programa

Gestión Gestión

Estrategia
Presupuesto Necesita valoración
Plan de entrenamiento Presupuesto

Implementación Plan de entrenamiento

Implementación
Organizativo Organizativo Organizativo Organizativo
Unidad Unidad Unidad Unidad

En un modelo de programa parcialmente descentralizado, tanto la política como la estrategia de En el modelo de programa totalmente descentralizado, la autoridad central comunica la

concientización sobre la ciberseguridad son prescritas por la autoridad central. Sin embargo, la política general de concientización sobre ciberseguridad de la organización y las expectativas

implementación del programa de concientización, el desarrollo de materiales y la programación son con respecto a la implementación y gestión del programa. En este modelo, es

responsabilidad de las unidades organizacionales. responsabilidad de la unidad organizacional presupuestar, crear, implementar y gestionar el

programa de concientización sobre ciberseguridad. Las directivas y expectativas las

En este modelo, la autoridad central comunica la política de concientización sobre ciberseguridad, la
proporciona la autoridad central a las unidades organizativas.
estrategia de implementación del programa de concientización sobre ciberseguridad y la asignación

presupuestaria general para cada unidad organizacional. La autoridad central también lleva a cabo En este modelo, la evaluación de necesidades la realiza cada unidad organizacional, ya que las

una evaluación de las necesidades de la unidad organizativa, ya que esta evaluación ayuda a guiar la propias unidades organizativas determinan la mejor estrategia para el programa de concientización

estrategia para el programa de concientización. La autoridad central puede brindar orientación a la sobre ciberseguridad. Con base en los hallazgos de la evaluación, las unidades organizacionales

unidad organizacional en la creación de un plan de implementación de concientización sobre desarrollan los planes de capacitación, materiales de concientización y métodos de entrega

ciberseguridad; sin embargo, la gestión del presupuesto y la implementación son responsabilidad de adecuados que mejor se adapten a sus necesidades. La autoridad central puede solicitar

la unidad organizativa. El plan de implementación también describirá el mejor método de entrega actualizaciones periódicas sobre el estado de los gastos del programa de concientización, los

para los usuarios o electores de la unidad organizacional. resultados de la evaluación de necesidades, la implementación del programa y la

resultados de las capacitaciones realizadas hasta la fecha.

En una función de supervisión, la autoridad central puede solicitar actualizaciones periódicas de las unidades

organizativas para elementos tales como el estado del desarrollo del programa de concientización,

actualizaciones sobre el progreso de la implementación y el desarrollo de materiales, y gastos financieros. Una

vez que se haya implementado el programa de concientización sobre ciberseguridad, la autoridad central

también podrá solicitar métricas en cuanto a la cantidad de asistentes a las sesiones de capacitación de

concientización, la cantidad de personas capacitadas en temas específicos y la cantidad de personas que aún

no han participado en las actividades de concientización. . Estas métricas pueden ayudar a la organización a

determinar el nivel de cumplimiento y eficacia de la implementación del programa de concientización de la

unidad organizacional.

PROS CONTRAS PROS CONTRAS

Dividir responsabilidades entre La falta de recursos puede afectar la La unidad organizativa tiene El desarrollo del programa de
la autoridad central. creación de programas de concientización. control total de la campaña de sensibilización es responsabilidad del
concientización sobre unidad organizacional.
ciberseguridad.

Puede extenderse a amplias Las limitaciones de recursos en la unidad Es ideal para grandes Las limitaciones de recursos pueden afectar
zonas geográficas. organizacional pueden afectar la creación de organizaciones. el desarrollo y la implementación de
material de concientización sobre ciberseguridad. programas de concientización.

Es adecuado para organizaciones Dado que la unidad organizacional es Permite la autonomía de la unidad Puede provocar una falta de
con misiones diversas. responsable de la implementación, esto puede organizativa. estandarización en las unidades
requerir aportes de varios equipos, lo que organizativas distribuidas.
retrasa la implementación.

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. 9
Realizar una evaluación de necesidades para determinar la línea de base Determinar fuentes y métodos de evaluación de necesidades Hay
Establecer una línea de base del estado actual antes de implementar un muchas fuentes dentro de la organización que se pueden aprovechar
programa de concientización. Esto le ayudará a comprender plenamente las para ayudar en la identificación de las necesidades de concientización
necesidades de seguridad de su organización o grupo. Esta línea de base sobre ciberseguridad. Además, NIST 800-50 proporciona varios
ayudará a determinar las áreas de enfoque o temas particulares que se métodos que se pueden utilizar para recopilar esta información, que
abordarán a lo largo de un programa o campaña de concientización. incluyen, entre otros, los siguientes:

Una línea de base ayudará a determinar métricas clave que luego se pueden • entrevistas con grupos clave dentro de la organización

utilizar para medir el desempeño de un programa o campaña de • encuestas organizacionales

concientización. Es necesario evaluar un programa o campaña para que la
• revisión de materiales y métodos de evaluación, y materiales de
organización pueda comprender la eficacia del programa de concientización
capacitación actuales
en general y realizar cambios cuando sea necesario, lo que conducirá al
• revisión de planes de seguridad para sistemas de soporte generales
éxito del programa. Las métricas deben ser relevantes para la audiencia y el
programa objetivo; por lo tanto, no todas las métricas pueden aplicarse • revisión de los hallazgos de cualquier órgano de gobierno y supervisión

universalmente a todos los grupos, ya que las necesidades variarán. • análisis de incidentes y eventos de seguridad
Consulte la sección posterior a la implementación para obtener más
• revisión de cualquier cambio técnico y de infraestructura
información sobre las métricas.
• estudio de eventos actuales y tendencias identificadas en todo el
Independientemente del modelo seleccionado, se debe realizar una evaluación panorama de seguridad
de necesidades para determinar esta línea de base. La evaluación de
• cualquier métrica obtenida de actividades anteriores de
necesidades es un proceso que puede ayudar a determinar dónde se concientización sobre ciberseguridad
encuentra su organización con respecto a la concientización sobre
ciberseguridad, identificar brechas en capacitación y comprensión y, como Desarrollar una estrategia de programa de concientización

resultado, determinar las necesidades de concientización sobre ciberseguridad Los resultados de la evaluación de necesidades se pueden utilizar para

de su organización. Es importante abordar las necesidades específicas de los desarrollar una estrategia para el desarrollo, implementación y

diferentes roles dentro de la organización y en qué pueden diferir. Del mismo mantenimiento de un programa de concientización sobre ciberseguridad.

modo, es importante abordar las necesidades de un grupo o subconjunto La estrategia debe abordar los elementos fundamentales discutidos hasta

particular del público en general, si se está desarrollando una campaña de ahora, así como otros proporcionados por NIST 800-50, como

concientización para ellos. Consulte la Tabla 3 para ver un ejemplo de • cualquier política nacional, regulatoria o local que requiera que se
necesidades de capacitación. completen actividades de concientización sobre ciberseguridad

Tabla 3 • el alcance del programa de concientización sobre ciberseguridad

EJECUTIVO Requiere una comprensión clara del entorno • funciones y responsabilidades de quienes deben diseñar, desarrollar e
GESTIÓN operativo, incluidas las políticas, la legislación, implementar el programa de concientización sobre ciberseguridad
los requisitos regulatorios y de seguridad, así
• los objetivos a lograr para cada aspecto del programa
como sus funciones en la promoción de una
cultura de ciberseguridad y el logro del - Objetivos de aprendizaje
cumplimiento de los requisitos obligatorios.
– temas a tratar

SEGURIDAD Actuar como expertos en la materia (PYME) y debe tener – actualizaciones de materiales y evaluación de la frecuencia del material
PERSONAL una comprensión clara de las políticas de seguridad y las
– frecuencia de la actividad de concientización sobre ciberseguridad
mejores prácticas aceptadas.

PROPIETARIOS DE SISTEMAS Requieren comprender los sistemas que poseen y las • Público objetivo y aplicabilidad del programa a públicos
políticas que afectan la forma en que se implementan específicos
los controles de seguridad en los sistemas que
– Nivel C, gerencia, personal contratista, coordinadores de
administran.
capacitación, etc.
SISTEMAS Requiere un alto nivel de conocimiento técnico y
ADMINISTRADORES autoridad sobre las operaciones de soporte de sistemas. - el público general

GERENTES Y Requieren un alto grado de conciencia sobre la • categorizar aún más, según sea necesario (es decir, audiencias
USUARIOS ciberseguridad, para incluir controles de seguridad en riesgo como niños o ancianos)
organizacionales, políticas de uso aceptable y reglas de
comportamiento para los sistemas en los que realizan
operaciones comerciales.

Necesidades de capacitación en toda la organización (adaptado de:https://nvlpubs.

nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-50.pdf–pág. 16.)

10 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
Desarrollar un plan de programa de concientización e identificar/priorizar los Después de recopilar materiales relevantes y realizar ejercicios de lluvia de
componentes del programa de concientización ideas, puede comenzar a organizar y adaptar la información a
Cuando la estrategia de concientización sobre ciberseguridad esté necesidades específicas. Recuerde siempre la audiencia y los mensajes
completa y acordada, establecer el plan del programa de concientización deseados al desarrollar contenido. También debe considerar la escala de
y el cronograma de implementación ayudará a poner el programa en los diversos mecanismos y necesidades de creación de conciencia, ya sea
marcha. Este plan establece cómo se ejecutará la estrategia. Es posible un programa de creación de conciencia completamente desarrollado, una
que la implementación del programa deba realizarse por etapas si semana o un mes de concienciación o un cartel sencillo y divertido de
existen limitaciones presupuestarias o de disponibilidad de recursos. creación de conciencia.
Entonces es importante decidir qué factores deben tenerse en cuenta al
determinar qué iniciativas programar primero y cualquier secuencia Identificar los mejores métodos de entrega

particular que deba aplicarse, según el alcance, el calendario, la audiencia Se implementan programas de concientización sobre ciberseguridad para

y/o el presupuesto. Algunos factores clave a considerar incluyen concienciar a los usuarios sobre problemas y conceptos de seguridad. El
éxito del programa de concientización sobre ciberseguridad depende de
cómo se entrega al usuario. Los implementadores de programas de
• disponibilidad de materiales y recursos
concientización sobre ciberseguridad tienen varias técnicas de
• rol e impacto organizacional implementación a su disposición. Los métodos de entrega no
• estado de cumplimiento/valor de referencia actual necesariamente tienen que ser, ni siempre deben ser, en un salón de clases

• dependencias críticas del proyecto o en un entorno formal. Los métodos de ejecución, como muchos otros
componentes del programa, deben estar determinados por el alcance, la
• financiación, si es necesario
audiencia y los objetivos previstos del programa. En todos los casos, los

Desarrollar materiales para el programa de concientización métodos de impartición deben ser atractivos, suscitar la participación y

Antes de desarrollar material de concientización personalizado, fomentar un entorno de aprendizaje eficaz.

es fundamental determinar la audiencia y los temas que

CONVENCIONAL Prepare correos electrónicos que llamen la atención o
resonarán en ese grupo en particular. Si bien algunos materiales MÉTODOS: productos en papel, como folletos y folletos con consejos y
pueden ser adecuados para la población general, existen ELECTRÓNICO O trucos de concientización sobre ciberseguridad, incluidos
categorías particulares, como edad, educación y habilidades EN PAPEL recordatorios sobre la complejidad de las contraseñas u
PRODUCTOS
técnicas, que deben considerarse al desarrollar contenido. La otros temas relacionados con la seguridad relevantes para la

clave para una concienciación eficaz del usuario es comprender organización.

la demografía de su electorado y adaptar los recursos más útiles Muestre carteles que muestren mensajes relacionados con la
a su audiencia. El mensaje debe seridentificable, realista y seguridad en áreas públicas (úselos para recordar a los
memorablepara ese grupo demográfico particular y usuarios cuestiones urgentes, como completar la

tema. Mantén tu mensajeSencillo, directo y atractivo. capacitación obligatoria o próximos cambios en los

procedimientos de seguridad). Sin embargo, tenga en cuenta

Una vez que determine la audiencia, los temas y los objetivos de un programa o
que los usuarios pueden pasar por alto el mensaje y pasarlo
campaña de creación de conciencia, puede recopilar recursos y solicitar ideas por alto, o volverse insensibles a este método.
para el contenido. Mantener un depósito de fuentes confiables para el
Los boletines impresos y electrónicos son periódicos;
desarrollo de materiales también puede ayudar en la cantidad de esfuerzo,
utilizarlos para reforzar el programa de concientización
tiempo y recursos necesarios para desarrollar material de concientización y
sobre ciberseguridad; Una ventaja de los newsletters es
capacitación. La concientización sobre la ciberseguridad trasciende fronteras,
que pueden transmitir varios mensajes al mismo tiempo.
sectores y organizaciones: existe una cantidad significativa de materiales Sin embargo, aunque los boletines pueden atraer a un
disponibles públicamente a los que se puede hacer referencia, utilizar y adaptar grupo específico, no hay garantía de que un usuario
a diferentes organizaciones y audiencias. Consulte la sección Materiales haya leído el boletín.

complementarios para obtener una lista de recursos de creación de conciencia

DIRIGIDO POR UN INSTRUCTOR Estos pueden ser talleres formales o informales en
disponibles públicamente. ENTREGA aulas o seminarios facilitados por expertos en
seguridad internos o externos. La ventaja de la
enseñanza dirigida por un instructor es que éste
puede percibir señales no verbales de los
participantes y determinar la mejor manera de
modificar la instrucción.

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. 11
 Componentes del programa de concientización sobre ciberseguridad
ENTREGA EN LÍNEA Este método es muy adecuado para comunicarse con
MÉTODOS usuarios en diferentes áreas geográficas. La entrega en
línea puede incluir transmisión de correo electrónico, Comprender las restricciones/consideraciones
discusión asincrónica y en tiempo real, carga de normativas/políticas.
contenido, blogs, videos, distribución de contenido
multimedia y otras técnicas.

BASADO EN VIDEO Muchas organizaciones utilizan la entrega de contenido Determinar roles y responsabilidades.
ENTREGA basado en video como parte de su programa de
MÉTODOS concientización sobre ciberseguridad. No es necesario un

instructor y los usuarios marcan su propio ritmo. Los

métodos de entrega basados en videos se pueden

Determinar modelo.
combinar con ejercicios de lectura y cuestionarios para

brindar al usuario una experiencia más efectiva.

BASADO EN JUEGOS Los métodos de entrega de juegos son interactivos y

ENTREGA ofrecen una alternativa efectiva a los métodos más Realizar una evaluación de necesidades.
MÉTODOS tradicionales de entrega de contenido. Estos juegos
suelen estar basados en computadora y combinan
gráficos con conceptos de capacitación para crear
entornos de aprendizaje interactivos. Desarrollar y documentar la estrategia.

SIMULACIÓN- Los métodos de entrega basados en simulación son

ENTREGA BASADA altamente interactivos y se presentan como una actividad
MÉTODOS legítima. Este tipo de entrega se utiliza a menudo en
Diseñar un plan de programa de concientización basado en los
ejercicios de phishing para probar las vulnerabilidades de los
modelos, las brechas de evaluación de necesidades y la estrategia.
usuarios a las técnicas de phishing y, a menudo, va seguido

de capacitación, en caso de que un usuario sea víctima del

correo electrónico de phishing simulado. Los correos

electrónicos de phishing simulados a menudo reflejan Determinar métricas

eventos actuales o afirman involucrar al usuario a nivel

personal para incitarlo a realizar una acción específica.

(Adaptado de:https://nvlpubs.nist.gov/nistpubs/Legacy/SP/
Desarrollar material de concientización para el programa.
nistspecialpublication800-50.pdf–pág. 34.)

Realización de su programa de
concientización sobre ciberseguridad Comunicar el programa.

Una vez que se hayan finalizado la estrategia y los componentes clave de un

programa o campaña de concientización sobre seguridad cibernética (por
ejemplo, se haya realizado la evaluación de necesidades, se haya desarrollado
Realizar/ejecutar programa de concientización.
la estrategia de la campaña de concientización, se haya completado el plan del
programa de concientización sobre seguridad y se hayan diseñado los
materiales), puede comenzar a implementar su programa o campaña de
concientización sobre ciberseguridad. Las consideraciones para la
Realizar actividades posteriores a la implementación.
implementación incluyen la comunicación y socialización del programa, la
entrega de materiales y actividades de concientización sobre ciberseguridad, el
desarrollo y seguimiento de medidas de éxito y la revisión continua de la
efectividad del programa. A continuación se muestra un resumen de los Comunicar el programa de concientización
componentes y pasos para el desarrollo de un programa de concientización Para lograr el apoyo de los usuarios y los recursos necesarios es
sobre ciberseguridad. necesario socializar el programa o campaña de sensibilización en
ciberseguridad. Los componentes del programa también deben
comunicarse claramente. Estas comunicaciones describirán la
Expectativasasí como lo esperadoresultadosdel programa y
el valor proporcionado a los usuarios y/o al electorado.

12 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
Realizar actividades de concientización y ejecutar Para métricas más amplias asociadas con un programa o campaña de
programa de concientización concientización, las métricas rastreadas también pueden incluir, entre
Los implementadores de programas de concientización sobre ciberseguridad otras,

utilizan diversas técnicas para difundir información en toda la organización. La • tráfico del sitio web

elección se basa en la cultura y las necesidades de la organización. La forma en • descargas de materiales de ciberseguridad disponibles o
que se difunde el mensaje depende de los recursos disponibles, los temas y la información proporcionada a los electores
complejidad del mensaje. En todos los casos, garantizar la facilidad de acceso a
• Cobertura mediática
los materiales del programa de concientización; por ejemplo, una página de
• actividad en las redes sociales
intranet con acceso a materiales de concientización, enlaces de capacitación y
otras actividades puede servir como ventanilla única para todas las
Actividades posteriores al programa
actualizaciones e información del programa.
Para seguir siendo relevante, el programa de concientización sobre
ciberseguridad debe mantenerse actualizado con los avances en tecnología,
Desarrollo de métricas y seguimiento del cumplimiento El uso de métricas
cambios en la organización o infraestructura de TI, cambios en la misión
y mediciones objetivas es importante para monitorear el desempeño,
organizacional, cambios en las políticas de ciberseguridad y, lo más
considerando que el panorama de amenazas a la ciberseguridad cambia
importante, actualizarse continuamente para reflejar las amenazas cambiantes
constantemente. Al implementar un programa integral de métricas de
y el panorama cibernético. . La estrategia de concientización sobre
ciberseguridad, las organizaciones pueden lograr varios objetivos, incluida la
ciberseguridad debe incluir mecanismos para garantizar que el programa siga
toma de decisiones, la visibilidad y la capacidad de evaluar su programa de
siendo no solo relevante para la organización sino que también siga
concientización sobre ciberseguridad frente a los puntos de referencia
cumpliendo. En la fase posterior a la implementación, según lo descrito por
regulatorios y de la industria. Las métricas se pueden adaptar para satisfacer
NIST 800-50, el programa de concientización sobre ciberseguridad debe
las necesidades de cualquier público objetivo y se pueden utilizar para mejorar
apuntar a la mejora continua y ofrecer a los usuarios la información más
las políticas de ciberseguridad y los programas de concientización sobre la
reciente y actualizada disponible.
ciberseguridad.

Al implementar métricas como parte de un programa de Lecciones aprendidas

concientización, una tarea clave es identificar qué métricas medir, La retroalimentación de los participantes y las lecciones aprendidas del
junto con dónde y cómo obtener los datos sin procesar. Definir lanzamiento de un programa de concientización pueden ayudar a mejorar la
métricas puede ser difícil y, al desarrollarlas, se deben aplicar calidad del programa. Al incorporar comentarios, hallazgos y lecciones
consideraciones organizacionales en cuanto a qué información se aprendidas, el programa puede mejorar a largo plazo. En organizaciones más
recopila, cómo se recopila y cómo se almacena. Las métricas grandes donde las unidades organizacionales son responsables de
recopiladas e informadas deben seguir algo similar a loELEGANTE implementar sus propios programas de concientización sobre ciberseguridad,
objetivos meta: compartir lecciones aprendidas, experiencias, ideas y procesos que funcionan

• Específico-Dirigido al área que se está midiendo, no a un resultado beneficiaría a la organización en su conjunto.

o una suposición.
Auditoría periódica y mantenimiento del programa
• Medible—Los datos recopilados son precisos, completos
Debe determinar con qué frecuencia revisar y auditar su programa de
y fiables.
concientización sobre ciberseguridad, así como identificar quién realizará
• Accionable—Los datos son fáciles de entender y procesables. una auditoría periódica. Como mínimo, se prefieren revisiones anuales.
• Importante-Mida lo que es importante en los datos. Incorporarán lecciones aprendidas, actividades que se ajustarán en
función del entorno de amenazas en evolución y cualquier cambio o
• Oportuno—Los datos están disponibles cuando se necesitan.
ajuste a las funciones y responsabilidades del programa.
Al medir áreas de seguridad específicas, es posible que las organizaciones
quieran abordar:
Además, una organización puede optar por realizar una auditoría o
• Datos de vulnerabilidad, como vulnerabilidades internas o externas, o
evaluación después de ciertas actividades del programa de
vulnerabilidades por criticidad, gravedad o prioridad.
concientización. Hay muchos tipos diferentes de auditorías o evaluaciones
• Política de ciberseguridad y cumplimiento de cumplimiento, como que se pueden realizar, incluida una revisión de políticas de seguridad,
excepciones, configuración y seguimiento de cumplimiento normativo.
escaneo, pruebas de penetración y otros. Dependiendo del tipo de
• Capacitación y concientización, como finalización y seguimiento de la auditoría o evaluación, también podría subcontratarse a un contratista
capacitación. externo o a un proveedor de servicios de seguridad gestionados con la
• Monitoreo y respuesta, como el número de eventos/alertas experiencia adecuada en la realización de auditorías y evaluaciones. Las
recopilados y el número de eventos/incidentes reportados por los auditorías y evaluaciones están fuera del alcance de este documento. Sin
electores. embargo, es importante continuar

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. 13
Pensar en los diversos métodos y mecanismos para la auditoría y el Consideraciones sobre la campaña de
mantenimiento del programa con el fin de maximizar la efectividad del
concientización sobre ciberseguridad
programa a largo plazo.
Si bien una campaña de concientización sobre ciberseguridad implica un
El seguimiento del cumplimiento también desempeñará un papel en la
alcance diferente al de un programa de concientización sobre ciberseguridad,
medición del éxito de un programa de concientización sobre ciberseguridad. El
gran parte del diseño y los componentes de un programa de concientización
cumplimiento de la concienciación sobre ciberseguridad no solo será necesario
sobre ciberseguridad también se aplican a una campaña. Es importante volver
a nivel organizacional, sino que también puede ser requerido por mandato
a consultar la sección Cómo utilizar este documento y continuar respondiendo
gubernamental o regulación basada en la industria o sector. Debería existir una
las siguientes preguntas al desarrollar una campaña de concientización:
herramienta para monitorear el cumplimiento y la efectividad del programa.
NIST 800-50 sugiere que se debe implementar y diseñar un sistema de
seguimiento automatizado para capturar información de la actividad del
• ¿Quiénes son sus electores?

programa para incluir actividades de concientización, fechas, audiencia, • ¿Quién es tu audiencia?

tamaño y fuentes, por nombrar algunos. Estos datos deben capturarse, • ¿Cuáles son las metas y objetivos específicos de la
analizarse y reportarse a intervalos regulares para garantizar que se monitoree creación de conciencia?
el cumplimiento y que las metas y objetivos del programa de concientización se
• ¿Cuál es el alcance de este esfuerzo específico de
cumplan continuamente.
creación de conciencia?

Las preguntas deben responderse antes de iniciar campañas de

concientización efectivas y significativas. Desarrollar una campaña de
MEDIR EL ÉXITO DE LAS CAMPAÑAS DE CONCIENTIZACIÓN
concientización es muy similar a desarrollar un programa de creación de
SOBRE PHISHING
concientización. Dado que las campañas pueden tener un alcance más amplio
Muchas organizaciones implementan campañas de concientización (es decir, para el público en general) o un enfoque potencialmente más
sobre el phishing para brindar a los usuarios las herramientas restringido (desarrolladas en torno a un tema o área de enfoque en particular),
necesarias para reconocer las estafas de phishing. Hay muchos puede no ser factible realizar una evaluación de las necesidades de
factores que se deben considerar al determinar la efectividad de concientización. Sin embargo, los temas de la campaña de concientización
una campaña de concientización sobre phishing y es muy común deben ser impulsados por la audiencia y cualquier conocimiento o dato
que las organizaciones destaquen su "tasa de clics". Sin embargo, al disponible sobre ciberseguridad común.desafíos.
determinar las métricas, se debe establecer una base de
Por ejemplo, los CSIRT nacionales se encuentran en una posición única
comprensión para identificar dónde puntúan los individuos en las
para recopilar datos sobre incidentes y amenazas comunes de
condiciones laborales actuales. Una vez realizada una campaña, se
ciberseguridad, y esta información debe usarse para identificar áreas
puede volver a evaluar a las personas para determinar la eficacia de
de desafío que pueden determinar temas de campaña o áreas de
la campaña. Las posibles métricas que las organizaciones pueden
enfoque particulares. También se debe desarrollar una estrategia de
utilizar para determinar la efectividad de las campañas de
campaña de manera similar a un programa de creación de conciencia.
concientización sobre phishing incluyen las siguientes:
La audiencia, el alcance, las funciones y responsabilidades deben
determinarse antes de las etapas de planificación.
1. Intentos de phishing exitosos.La cantidad que recibe un
usuario entre seis meses y un año. Comunicación y Marketing
¿Los usuarios están cada vez más cerca o más lejos de adquirir Se debe prestar especial atención a la comunicación y el
conocimientos en la identificación de técnicas de phishing? Una marketing de la campaña. Una campaña de concientización
campaña eficaz de concientización sobre el phishing arrojaría como
puede ser más efectiva con
resultado una disminución de los intentos de phishing exitosos.
• un mensaje único y unificado
2. Se informaron correos electrónicos de phishing:La cantidad recibida
por el equipo de seguridad en seis meses a un año. • material divertido, atractivo e interactivo

Una campaña eficaz de concientización sobre el phishing puede generar un aumento • aplicabilidad y relación en el mundo real
en los correos electrónicos de phishing reportados.
• contenido adaptado a audiencias específicas
3. Resultados de una campaña de phishing simulada ¿Qué tan
Publicitar la campaña antes de que comience; ampliar hasta alcanzar
bien evitaron los usuarios convertirse en víctimas?
el máximo alcance e interés por parte de todos los electores y
audiencias posibles. Coordinar con el departamento de
comunicaciones o relaciones públicas, si corresponde; puede ayudar
en los mensajes, la marca y el alcance de una campaña, y permitir que
el equipo de ciberseguridad se centre en el contenido y la
implementación de la campaña en sí.

14 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
 EJEMPLOS DE CAMPAÑAS DE CONCIENTIZACIÓN EN

CIBERSEGURIDAD

Para los CSIRT nacionales u otros CSIRT, las campañas de

concientización sobre la ciberseguridad a menudo se llevan a cabo Información
Evento de seguridad
durante el Mes Nacional de Concientización sobre la Ciberseguridad.
Gestión
Este esfuerzo suele ser una campaña dedicada que se centra en temas y
audiencias particulares, incluida la seguridad infantil en línea, la
protección y privacidad de datos, la concientización de los usuarios u Información Vulnerabilidad
otros temas similares. Las campañas efectivas son identificables, Seguridad Gestión
Servicios
aplicables y fáciles de entender. No sólo aumentan la conciencia sobre Incidente
Gestión
la ciberseguridad, sino que también deberían crear conciencia sobre los
propios CSIRT y sus misiones y propósitos. La Organización de Estados
Americanos (OEA) compiló un exhaustivoKit de herramientas de la
campaña de concientización sobre ciberseguridadque puede ser
aprovechado por cualquier CSIRT interesado en desarrollar una
Conocimiento situacional
campaña (consulte las secciones de Materiales y recursos Transferir Conciencia
complementarios).

Conciencia como servicio Áreas de servicio del marco de servicios del FIRST CSIRT

Los centros de ciberseguridad, SOC o CSIRT pueden centrarse más en

Área de Servicio: Transferencia de Conocimiento
campañas de concientización sobre ciberseguridad, o concientización como
Los equipos de respuesta a incidentes se encuentran en una posición única
un servicio para sus electores, en lugar de crear programas de
para crear mejores prácticas que ayuden a los usuarios y a los electores a
concientización organizacional. Si bien los equipos de respuesta a incidentes
detectar, prevenir y responder a incidentes de seguridad. Al transferir este
pueden realizar muchos servicios diferentes, la concientización puede ser o
conocimiento a los grupos de interés, los equipos de respuesta a incidentes
no uno de estos servicios principales.
tienen la capacidad de mejorar la postura general de ciberseguridad. Las
El Marco de Servicios de FIRST CSIRT describe los servicios y funciones siguientes categorías se consideran servicios del área de servicio de
de los equipos de respuesta a incidentes dentro de un marco de alto Transferencia de conocimientos y están extraídas del Marco de servicios de
nivel para ayudar en la estandarización en toda la comunidad y la FIRST CSIRT como referencia.
selección y establecimiento de la cartera de servicios de un equipo. Es
importante señalar que no se espera que los equipos brinden todos los
servicios; debe seleccionar sus servicios en función de su misión,
constituyentes, recursos y capacidad.
La estructura del marco se basa en cuatro elementos: áreas de
servicio, servicios, funciones y subfunciones. Cuando desarrolle un
programa de concientización o un servicio de apoyo, consulte el
Marco de servicios CSIRT para ayudar a su organización a
establecer objetivos, comprender los resultados deseados y
planificar la implementación.

El Marco de Servicios de FIRST CSIRT identifica cinco áreas de servicio,

como se describe en la imagen de la derecha. El área de servicio de
Transferencia de Conocimiento aborda específicamente la
sensibilización. Resumiremos el área de servicio de Transferencia de
conocimientos para resaltar los propósitos y resultados clave que
deben considerarse al desarrollar estos servicios. Si estos servicios no
son una parte crítica de su misión, la información aún puede ayudar a
diseñar partes particulares de un programa o campaña de
concientización.

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. 15
Creación de conciencia Servicio de Formación y Educación
Las funciones dentro del Servicio de creación de conciencia se basan Al establecer un programa de capacitación y educación, puede
en la comunicación con sus electores, expertos, socios confiables y establecer relaciones y mejorar el panorama general de
otras partes interesadas para aumentar la comprensión y la conciencia ciberseguridad para todos sus integrantes y partes interesadas,
colectivas sobre las amenazas identificadas y las acciones que se para incluir la capacidad de evitar que ocurran futuros incidentes.
pueden tomar para mitigar las vulnerabilidades y los riesgos que
plantean estas amenazas.
ObjetivoProporcionar capacitación y educación a un grupo (que puede
incluir personal de la organización) sobre temas relacionados con la
ObjetivoIncrementar la postura de seguridad del electorado y ciberseguridad, el aseguramiento de la información y la gestión de
ayudar a sus miembros a detectar, prevenir y recuperarse de incidentes.
incidentes; garantizar que los electores estén mejor
DescripciónUn programa de capacitación y educación puede
preparados y educados.
ayudar al equipo a establecer relaciones y mejorar la postura
DescripciónEste servicio incluye trabajar con la comunidad, general de ciberseguridad de sus integrantes, incluida la
expertos y socios confiables para aumentar la comprensión capacidad de evitar que ocurran futuros incidentes.
colectiva de las amenazas y las acciones que se pueden tomar Un programa de este tipo puede ayudar a mantener la conciencia de los

para prevenir o mitigar los riesgos que plantean estas amenazas. usuarios, la comprensión de los electores sobre el panorama cambiante y

las amenazas, la facilitación de los intercambios de información y la

capacitación sobre herramientas, procesos y procedimientos relacionados

ResultadoSe proporciona a los electores la conciencia
con la seguridad y la gestión de incidentes.
necesaria sobre las mejores prácticas operativas y de
seguridad y los pasos a seguir para detectar, prevenir y ResultadoSe proporciona un programa de capacitación y educación
mitigar amenazas y actividades maliciosas. consistente que permite a su electorado adquirir métodos
apropiados para detectar, prevenir o responder a amenazas,
herramientas y prácticas para ayudar a proteger activos críticos y
comprender los procesos de gestión de incidentes y cómo obtener
asistencia.

dieciséis [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
Servicio de ejercicios Servicio de asesoramiento técnico y de políticas
Al realizar ejercicios en colaboración con los participantes y los equipos, Al brindar este servicio, puede garantizar que las políticas y
se puede evaluar mejor la eficacia y eficiencia de las funciones y la procedimientos de los mandantes incluyan consideraciones de
ciberseguridad existentes. Este servicio se puede ofrecer a los mandantes gestión de incidentes. Este servicio se puede proporcionar a sus
y equipos que apoyan el diseño, la ejecución y la evaluación de ejercicios electores y partes interesadas clave. Formalizar y aceptar
de ciberseguridad utilizados para capacitar o evaluar las capacidades de políticas y procedimientos legitima aún más los servicios que
los mandantes y la comunidad de partes interesadas en general. puedes ofrecer.

ObjetivoAsegúrese de que las políticas y procedimientos de la

ObjetivoRealizar ejercicios para evaluar y mejorar la circunscripción incluyan consideraciones de gestión de incidentes y
eficacia y eficiencia de los servicios y funciones de permitan a la circunscripción gestionar mejor los riesgos y amenazas.
ciberseguridad.

DescripciónLa organización ofrece servicios a los mandantes DescripciónApoyar a la circunscripción y a las partes interesadas clave
que apoyan el diseño, la ejecución y la evaluación de en actividades relacionadas con la gestión de riesgos y la continuidad del
ejercicios cibernéticos destinados a capacitar y/o evaluar las negocio, brindando asesoramiento técnico según sea necesario y
capacidades de los mandantes individuales y de la contribuyendo a la creación e implementación de las políticas de la
comunidad de partes interesadas en su conjunto, incluidas circunscripción. Las políticas también son importantes para legitimar los
las capacidades de comunicación. servicios de un equipo.

ResultadoSe mejora la eficacia y eficiencia de los servicios y ResultadoUn grupo puede tomar decisiones organizativas
funciones de ciberseguridad y se identifican oportunidades basadas en las mejores prácticas de seguridad operativa y, al
para futuras mejoras. El análisis de requisitos, el desarrollo de mismo tiempo, comprender la necesidad de incluir equipos de
formatos y entornos, el desarrollo de escenarios, la ejecución gestión de incidentes como asesores confiables en las decisiones
de ejercicios y las revisiones de los resultados de los ejercicios comerciales, cuando corresponda.
son partes de la implementación de este servicio.

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. 17
Materiales suplementarios

Tus comentarios son bienvenidos.

noviembre 2019

Si tiene comentarios que le gustaría dar sobre esta publicación, nos

encantaría escucharlos. Por favor envíe un correo electrónico a
[email protected]

Marco de servicios del Equipo de respuesta a incidentes de

seguridad informática (CSIRT)

Versión 2.1.0

PRIMERO . Org, Inc. (www.first.org)

Marco de servicios del FIRST CSIRT Recursos para crear conciencia sobre la
ciberseguridadfolleto

Recursos
FIRST CSIRT Marco de Servicios v2.1 Preferencia del usuario sobre los métodos de entrega de concienciación sobre seguridad cibernética

first.org/standards/frameworks/csirts/ tandfonline.com/doi/full/10.1080/0144929x.2012.708787
csirt_services_framework_v2.1
Digital Guardian "Los expertos en seguridad y análisis comparten las
Publicación especial del NIST 800-50:Creación de un programa de capacitación y métricas y KPI de ciberseguridad más importantes"
concientización sobre la seguridad de la tecnología de la información digitalguardian.com/blog/cuáles-son-las-métricas-de-
csrc.nist.gov/publications/detail/sp/800-50/final ciberseguridad-más-importantes-kpis

Publicación especial del NIST 800-16:Requisitos de capacitación en Para obtener más información sobre la implementación de un programa de

seguridad de la tecnología de la información: un modelo basado en roles concientización sobre ciberseguridad

y desempeño
Recursos y kit de herramientas de planificación de concientización sobre la seguridad de SANS
csrc.nist.gov/publications/detail/sp/800-16/final
sans.org/security-awareness-training/resources/
securityawareness-planning-toolkit
Kit de herramientas de la campaña de concientización sobre seguridad cibernética de la OEA

sans.org/security-awareness-training/resources
sites.oas.org/cyber/Documents/2015%20OAS%20-%20
Cyber%20Security%20Awareness%20Campaign%20
El Centro para la Seguridad de Internet (CIS) implementa un programa de
Toolkit%20(inglés).pdf
capacitación y concientización sobre seguridad

Medición de un programa de concientización sobre la seguridad de la información cisecurity.org/controls/implement-a-

clutejournals.com/index.php/RBIS/article/view/5398/5483 securityawarenessand-training-program/

Conciencia de seguridad de la información centrada en la persona Mejores prácticas del PCI Security Standards Council para
implementar un programa de concientización sobre la seguridad
sciencedirect.com/science/article/pii/S0167404817301566
pcisecuritystandards.org/documents/
De la conciencia sobre la seguridad de la información a la acción de cumplimiento PCI_DSS_V1.0_Best_Practices_for_Implementing_Security_Awareness_
razonada: análisis del cumplimiento de la política de seguridad de la información en Program.pdf
una gran organización bancaria

dl.acm.org/doi/abs/10.1145/3130515.3130519 La redistribución o reproducción de cualquier material de las fuentes

contenidas en este documento, así como cualquier requisito para obtener el
Siete elementos de un programa de concientización sobre seguridad exitoso consentimiento adecuado, son responsabilidad del usuario final de este

csoonline.com/article/2133408/networksecurity-the-7- documento.

elements-of-a-successful-securityawareness-program.html

18 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada. CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD
Copyright 2020 Universidad Carnegie Mellon. [DECLARACIÓN DE DISTRIBUCIÓN A] Este material ha sido aprobado para su publicación pública y
distribución ilimitada. Consulte el aviso de derechos de autor para uso y distribución fuera del gobierno de
Este material se basa en el trabajo financiado y apoyado por el Departamento de Defensa bajo el Contrato No.
EE. UU.
FA8702-15-D-0002 con la Universidad Carnegie Mellon para la operación del Instituto de Ingeniería de
Software, un centro de investigación y desarrollo financiado con fondos federales. Uso interno:* Se concede permiso para reproducir este material y preparar trabajos derivados de
este material para uso interno, siempre que se incluyan las declaraciones de derechos de autor y
Los puntos de vista, opiniones y/o hallazgos contenidos en este material son los de los autores y
“Sin garantía” con todas las reproducciones y trabajos derivados.
no deben interpretarse como una posición, política o decisión oficial del gobierno, a menos que
así lo indique otra documentación. Uso externo:* Este material puede reproducirse en su totalidad, sin modificaciones, y
distribuirse libremente en forma escrita o electrónica sin solicitar permiso formal. Se
SIN GARANTÍA. ESTE MATERIAL DEL INSTITUTO DE INGENIERÍA DE SOFTWARE Y DE LA UNIVERSIDAD
requiere permiso para cualquier otro uso externo y/o comercial. Las solicitudes de permiso
CARNEGIE MELLON SE PROPORCIONA “TAL CUAL”. LA UNIVERSIDAD CARNEGIE MELLON NO OFRECE
deben dirigirse al Instituto de Ingeniería de Software en
GARANTÍAS DE NINGÚN TIPO, YA SEA EXPRESA O IMPLÍCITA, EN CUANTO A NINGÚN ASUNTO, INCLUYENDO,
[email protected] .
PERO NO LIMITADO A, GARANTÍA DE IDONEIDAD PARA EL PROPÓSITO O COMERCIABILIDAD, EXCLUSIVIDAD O
RESULTADOS OBTENIDOS DEL USO DEL MATERIAL. LA UNIVERSIDAD CARNEGIE MELLON NO OFRECE * Estas restricciones no se aplican a entidades gubernamentales de EE. UU.
NINGUNA GARANTÍA DE NINGÚN TIPO CON RESPECTO A LA LIBERTAD DE INFRACCIÓN DE PATENTES, MARCAS
Carnegie Mellon®, CERT® y CERT Coordination Center® están registrados en la Oficina de
REGISTRADAS O DERECHOS DE AUTOR.
Patentes y Marcas de EE. UU. de la Universidad Carnegie Mellon.

DM20-0905

CREACIÓN DE UN PROGRAMA DE CONCIENCIACIÓN EN CIBERSEGURIDAD 19

Acerca de la División CERT Contáctenos

El CERT®La División del Instituto de Ingeniería de Software de la INSTITUTO DE INGENIERÍA DE SOFTWARE DE

Universidad Carnegie Mellon estudia y resuelve problemas con LA UNIVERSIDAD CARNEGIE MELLON
implicaciones generalizadas en materia de ciberseguridad, investiga 4500 QUINTA AVENIDA; PITTSBURGH, PA 15213-2612
vulnerabilidades de seguridad en productos de software, contribuye a
sei.cmu.edu
cambios a largo plazo en los sistemas en red y desarrolla información y
412.268.5800 | 888.201.4479
capacitación de vanguardia para ayudar a mejorar la ciberseguridad.
[email protected]

©2020 Universidad Carnegie Mellon | 5479 | C 19.04.2016 | S 20.10.2020 [Declaración de distribución A] Aprobado para publicación pública y distribución ilimitada.