Concienciación y formación
La dirección y el consejo son hoy el objetivo favorito del atacante: un fraude del CEO, una factura falsa, una llamada que clona la voz del jefe. Y, con NIS2, también son responsables por ley de la ciberseguridad de la empresa: tienen que aprobar las medidas, supervisarlas y formarse, y responden en persona si algo falla. La formación en ciberseguridad para dirección y consejo no es el curso de la plantilla. Es breve, estratégica y a su medida, para que decidan con criterio y cumplan lo que la norma les exige.
Formación para dirección, en toda España.
Por qué
Los directivos manejan lo que el atacante quiere y firman lo que más pesa. La alta dirección es, por eso, el objetivo, y por eso la ley la señala personalmente.
El fraude del CEO, la factura falsa, la orden urgente de un "jefe". El engaño de mayor valor se dirige arriba.
Ya no hace falta un correo torpe. Clonan la voz o la cara del directivo para colar una orden que parece real.
El artículo 20 obliga a consejeros y administradores a aprobar las medidas, supervisarlas y formarse. La responsabilidad es personal: responden si algo falla.
Si la cúpula no se lo toma en serio, no lo hará nadie. Y NIS2 espera que velen por que su gente también se forme, no solo ellos.
Qué incluye
La formación para directivos no es el e-learning de la plantilla: es una sesión que habla el idioma de la alta dirección, el del riesgo, la decisión y la responsabilidad.
Breves y al grano, en el lenguaje del comité: el riesgo del negocio, no la jerga técnica.
Qué os obligan NIS2, DORA, el ENS o el RGPD según vuestro sector, de qué respondéis y cómo cubrirlo, no solo el artículo 20.
No la seguridad en abstracto: dónde estáis expuestos, qué es crítico para el negocio y cómo de preparados estáis hoy.
Un fraude del CEO de mentira contra el propio comité, para entrenar la reacción donde más duele.
Qué hacer ante una orden urgente y creíble que pide saltarse el procedimiento. El reflejo de verificar.
Constancia de que el consejo se ha formado, lista para el acta del consejo de administración y para cuando pregunte el auditor.
El enfoque
Un consejero no necesita aprender a configurar un cortafuegos. Necesita conocer las leyes que le aplican y el nivel de riesgo de su organización lo justo para aprobar las medidas con sentido, supervisar que funcionan y responder por ellas. No se puede supervisar lo que no se entiende.
El nivel de riesgo real de su empresa, las leyes que les afectan (no solo NIS2, también DORA, el ENS o el RGPD según el sector) y el reflejo de no caer en el engaño que les apunta.
Con eso, la dirección pasa de ser el eslabón más caro de romper a gobernar el ciberriesgo como gobierna el financiero o el legal.
La diferencia
Meter a los directivos en el mismo e-learning que al resto no cumple, no engancha y no respeta su tiempo.
Al comité, el mismo e-learning que a toda la plantilla. Ni les habla a ellos, ni cubre lo que la norma les exige, ni respeta una agenda de dirección.
Breve, en su lenguaje, con sus amenazas y su responsabilidad legal encima de la mesa. La que de verdad cumple el artículo 20 y deja evidencia.
Cuándo
Tu empresa es entidad esencial o importante, y el consejo tiene que aprobar medidas, supervisarlas y formarse.
Un intento de suplantar a la dirección, o un susto cercano, y queréis que no cuele.
La seguridad se delega en IT y arriba no se mira. Eso ya no vale, ni de hecho ni de derecho.
ISO 27001 o el ENS piden un compromiso visible de la dirección, y hay que demostrarlo.
Método
Vemos vuestro contexto, vuestro riesgo y qué os exige la norma según el sector.
Preparamos la sesión a medida, con vuestras amenazas reales y vuestra responsabilidad concreta.
Sesión presencial, directa, con un simulacro dirigido al propio comité para que cale.
Dejamos la evidencia lista para el acta del consejo y para la auditoría.
Encaja con
La formación de los directivos no va sola: marca el tono de la formación de toda la plantilla y se entrena con simulacros dirigidos a la cúpula, dentro de un mismo programa de concienciación.
Y conecta con la gobernanza de la seguridad: es la formación NIS2 de la dirección y encaja con el plan director y la figura del CISO que necesita a su lado para decidir.
Dudas
Sí. El artículo 20 de NIS2 obliga a los órganos de dirección a aprobar las medidas de ciberseguridad, supervisarlas y formarse específicamente. No es una recomendación: acarrea responsabilidad personal y, en caso de negligencia, puede llegar a la inhabilitación. Por eso esa formación debe quedar documentada.
Poco. Son sesiones breves y al grano, pensadas para la agenda de un comité o un consejo. No se trata de convertir a la dirección en técnicos, sino de darles el criterio para decidir y cumplir, sin robarles más tiempo del necesario.
El fraude del CEO es un correo o mensaje que suplanta a un alto cargo para que alguien autorice un pago o un acceso. El deepfake va más allá: clona la voz o la cara del directivo en una llamada o un vídeo. La sesión entrena justo a reconocer y frenar esos engaños dirigidos a la cúpula.
Para dirección lo preferimos así: una sesión presencial permite cercanía, discreción y un diálogo franco sobre riesgos y responsabilidades, con material de apoyo después. También se puede combinar con formato online cuando conviene.
Sí. Tanto la ISO 27001 como el ENS exigen un compromiso visible de la dirección con la seguridad. Una formación específica del consejo, documentada, es una de las mejores formas de demostrar ese compromiso ante un auditor.
No, la complementa desde arriba. Los directivos marcan el tono y asumen su responsabilidad; la plantilla cubre el día a día. Si la cúpula no se lo toma en serio, difícilmente lo hará el resto de la empresa.
¿Respondería tu consejo si algo falla?
Cuéntanos en qué punto están tus directivos. Preparamos una sesión a medida que cubre su responsabilidad legal y los ataques que la apuntan.
Ponte en contacto