Curso completo ciberseguridad gratis Controles CIS. Control 18.2

 Estimados amigos de Inseguros !!!

Seguimos con el control 18 de los CIS, formación y concienciación, y hoy toca el 18.2: impartir formación y concienciación a los empleados. Este control es la parte “operativa” del 18.1. Ya no es “tengo un programa en un papel”. Aquí es: ¿lo estás ejecutando o no?

Y esto, en empresas reales, es donde se separa el postureo de la madurez. Porque todos decimos “sí, sí, tenemos concienciación”. Pero luego preguntas: ¿cada cuánto? ¿a quién? ¿qué contenidos? ¿qué evidencias? ¿qué métricas? Y ahí se cae mucha gente.

Qué significa impartir formación de verdad

Significa que todos los empleados reciban formación inicial y formación recurrente.

Inicial: cuando entra alguien nuevo, no puede empezar a trabajar “a ciegas”. Tiene que saber lo básico: correo, phishing, contraseñas, MFA, datos, herramientas, y cómo reportar incidentes.

Recurrente: porque la gente olvida, los ataques cambian, y la empresa también cambia. Esto no es una charla anual. Esto es un hábito. Micro píldoras, recordatorios, simulaciones, y refuerzos en los puntos donde ves fallos.

Y aquí un matiz importante: no todo el mundo necesita lo mismo. Un usuario de oficina necesita unas cosas. Un directivo necesita otras (BEC, fraudes, suplantación). Un perfil técnico necesita otras (hardening, logs, respuesta, privilegios). El 18.2 se hace bien cuando segmentas.

Qué contenidos suelen dar más retorno

Phishing y suplantación: esto es el número uno. Que sepan identificar, que sepan reportar, y que no les dé vergüenza preguntar.

MFA y fatiga: enseñar que no se aprueba un prompt “porque sí”, y que los ataques de push bombing existen.

Uso seguro de SaaS: aquí hay mucho Shadow IT. Explicar qué se puede usar, cómo, y qué riesgos hay con datos.

Gestión de datos: clasificar, compartir, almacenar, no enviar cosas sensibles por canales raros.

Dispositivos y teletrabajo: WiFi, USB, móviles, VPN, actualizaciones.

Y, muy importante, el “qué hago si me equivoco”. Porque si el usuario tiene miedo, oculta. Y si oculta, pierdes tiempo de respuesta. El objetivo no es humillar, es reducir impacto.

Cómo impartirlo para que funcione

Aquí lo mejor suele ser mezcla.

Formación corta y recurrente (10–15 minutos).
Simulaciones de phishing con feedback.
Casos reales de la propia empresa (sin señalar a nadie).
Recordatorios prácticos (carteles, mensajes, banners, Teams).
Y, para perfiles técnicos, sesiones más profundas y laboratorios.

La clave es continuidad. Si lo haces una vez al año, no cambia nada. Si lo haces en formato pequeño y constante, cambia hábitos.

Y ahora, el punto que casi nadie hace: evidencias

El 18.2 no solo es “enseñar”, también es poder demostrarlo.
Listas de asistencia, módulos completados, resultados de tests, campañas realizadas, métricas de mejora. Porque cuando venga auditoría o cuando quieras medir madurez, necesitas trazabilidad.

Si quieres aprender a montar formación de ciberseguridad con mentalidad profesional (no solo concienciación genérica, sino formación real por perfiles: usuarios, dirección, IT), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia. Porque formar bien a la gente es de las medidas más rentables que existen.

Gracias por leerme !!!