Curso completo ciberseguridad gratis Controles CIS. Control 18.1

Estimados amigos de Inseguros !!!

Hoy nos vamos al control 18 de los CIS, que ya es la parte de “programa” y no solo de técnica suelta. Y empezamos con el 18.1: establecer y mantener un programa de formación y concienciación en ciberseguridad.

Y aquí te lo digo claro: esto no va de poner un curso una vez al año y mandar un PDF. Eso es cumplir expediente. Un programa de verdad es otra cosa: tiene continuidad, tiene objetivos, tiene métricas, y se adapta a cómo trabaja tu organización.

Por qué el 18.1 importa tanto

Porque puedes tener firewall, EDR, SIEM y cloud “bien”. Pero si tus usuarios no entienden lo básico, el atacante entra por el sitio más barato: el humano. Phishing, BEC, ingeniería social, contraseñas reutilizadas, MFA fatigue, compartir ficheros donde no toca… todo eso no se arregla solo con tecnología. Se arregla con hábitos. Y los hábitos se entrenan.

Qué es “un programa” y no “una charla”

Un programa tiene:
contenidos recurrentes (micro píldoras, recordatorios, campañas),
segmentación (no es lo mismo RRHH que IT, ni dirección que operaciones),
práctica (simulaciones, ejercicios, casos reales),
y seguimiento (medir mejora, medir fallos, medir participación).

Y además tiene un dueño. Alguien responsable. Porque si no hay dueño, dura dos semanas y se olvida.

Qué debería incluir sí o sí

Phishing y suplantación: detectar, reportar, no caer en urgencias.
Uso seguro del correo: adjuntos, enlaces, macros, reglas raras.
Contraseñas y MFA: buenas prácticas, fatiga, no aceptar prompts raros.
Datos: clasificación, compartir, almacenamiento, uso de SaaS.
Dispositivos: actualizaciones, USBs, móviles, VPN, WiFi.
Incidentes: qué hacer si pasa algo, a quién avisar, cómo reportar rápido.
Y en perfiles técnicos: hardening, logs, respuesta, privilegios, etc.

Y esto, además, debería estar conectado con lo que tú ves en la realidad. Si has tenido incidentes con BEC, refuerzas BEC. Si ves problemas con Shadow IT, atacas Shadow IT. Si ves que la gente acepta MFA prompts sin mirar, machacas ese punto. Un programa vivo se alimenta de tus propios hallazgos.

Cómo se mide para no autoengañarte

Aquí hay tres métricas simples que funcionan:
participación (quién lo hace),
resultado (tests, simulaciones),
y comportamiento (si reportan más phishing, si bajan clics, si se reducen incidentes).

Y ojo, medir no es para castigar. Es para mejorar. Si lo conviertes en castigo, la gente te oculta cosas. Y eso es lo peor.

Si quieres montar un programa de concienciación y formación que funcione de verdad, con enfoque profesional y adaptado a entornos reales (desde usuarios hasta equipos IT), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia. Porque la concienciación sin contenido bueno es teatro, y aquí venimos a mejorar de verdad.

Gracias por leerme !!!