1 103 Table of Contents 105 148

Red Seguridad 107

104 red seguridad cuarto trimestre 2024 monográfico entidades esenciales respuesta ante incidentes y ajustar planes de contingencia. Aunque estas medidas son funda- mentales, hay un componente clave que muchas organizaciones subesti- man: la formación y concienciación de sus empleados. Plan de concienciación Las tecnologías más avanzadas pueden ser inútiles si el “eslabón humano” sigue siendo vulnerable. Los empleados de las entidades esenciales e importantes son la primera línea de defensa, pero tam- bién, en muchos casos, la vía más senci- lla para que los atacantes accedan a los sistemas. Implantar un plan integral de concienciación en ciberseguridad no es solo una recomendación, sino una nece- sidad estratégica para las organizaciones que buscan cumplir con la directiva NIS2. 1. Mejorar la postura de ciberseguri- dad. Un plan de concienciación no se limita a enseñar conceptos básicos, sino que tiene un impacto tangible en la mejora de la postura de segu- ridad organizacional. A través de la formación continua, los empleados aprenden a identificar riesgos y tomar medidas adecuadas antes de que se conviertan en incidentes graves. 2. Dar a conocer las amenazas. Es esencial que los empleados entiendan el panorama actual de amenazas. Si- mulaciones de phishing , casos reales de ransomware y ejemplos de ataques a la cadena de suministro pueden ser herramientas efectivas para ilustrar el impacto de estas amenazas en su contexto laboral. 3. Prevenir errores y negligencias. El 95 por ciento de los incidentes de ci- berseguridad tienen al error humano como factor contribuyente. Un progra- ma de concienciación eficaz reduce este porcentaje al capacitar a los em- pleados para que reconozcan correos sospechosos, eviten enlaces malicio- sos y utilicen contraseñas seguras. 4. Reacción ante incidentes. La for- mación no solo debe enfocarse en la prevención, sino también en cómo re- accionar en caso de que ocurra un inci- dente. Desde notificar inmediatamente un posible ataque hasta seguir los pro- tocolos establecidos, los empleados deben estar preparados para actuar con rapidez y minimizar el daño. 5. Entrenamiento continuo y adapta- tivo. La seguridad es un objetivo en constante evolución, y los atacantes innovan continuamente. Por ello, es fundamental que la formación sea continua y adaptativa, ajustándose a las nuevas amenazas y al nivel de preparación de cada empleado. De hecho, simulaciones de phishing con niveles de dificultad progresivos pue- den ayudar a reforzar las habilidades de los empleados sin abrumarlos. 6. Involucrar a la dirección. La alta di- rección debe ser parte activa de estos programas. Su implicación no solo re- fuerza la cultura de seguridad en toda la organización, sino que también ase- gura que las decisiones estratégicas tengan en cuenta el impacto ciberné- tico. Además, los líderes deben recibir formación específica para entender su papel en la gestión de incidentes y el cumplimiento de la directiva NIS2. Beneficios a largo plazo Implantar un plan de concienciación en ciberseguridad tiene beneficios tangi- bles y duraderos: Reducción del riesgo de ataques exi- tosos: los empleados capacitados ac- túan como una barrera efectiva contra intentos de intrusión. Cumplimiento normativo: la Directiva NIS2 exige que las entidades esencia- les gestionen el riesgo humano como parte de su estrategia de seguridad. Cultura organizativa positiva: fomentar la ciberseguridad como parte del día a día incrementa la confianza interna y externa en la organización. Resiliencia organizacional: un equipo preparado no solo previene inciden- tes, sino que también acelera la recu- peración en caso de crisis. Conclusión Las entidades esenciales e importantes enfrentan un panorama de amenazas cibernéticas cada vez más complejo y sofisticado. Aunque las soluciones tec- nológicas son indispensables, la verda- dera resiliencia solo se consigue cuando se aborda el factor humano. Un plan integral de concienciación en cibersegu- ridad no solo protege a las organizacio- nes frente a las amenazas actuales, sino que también las prepara para los retos futuros. Por ende, en el cumplimiento de la Directiva NIS2, la formación de em- pleados y directivos no es un gasto, sino una inversión estratégica que puede marcar la diferencia entre la continuidad y el colapso. Implantar un plan integral de concienciación en ciberseguridad es una necesidad estratégica

RkJQdWJsaXNoZXIy MTI4MzQz