Auditoria Exprés de Ciberseguretat — 10 preguntes clau + puntuació semàfor de risc + recomanacions per a la teva PIME. PDF de 2 pàgines.
Descarregar gratis →El 95% dels incidents de ciberseguretat tenen el seu origen en un error huma. Un empleat que fa clic en un enllas de phishing, que reutilitza la contrasenya del correu personal a la feina, que connecta un USB desconegut o que envia informacio confidencial al destinatari equivocat. La tecnologia es imprescindible, pero sense empleats formats, qualsevol sistema de proteccio te una escletxa critica.
Per a les PIMEs, la formacio en ciberseguretat es probablement la inversio amb millor retorn. No requereix grans pressupostos, te un impacte directe i mesurable, i existeixen recursos gratuits de gran qualitat. Aquest article t’explica com dissenyar i implementar un programa de formacio eficac per a la teva empresa.
Per que la formacio es la mesura mes rendible
Instal.lar un tallafocs, un antivirus o un sistema de backup es essencial, pero cap d’aquestes eines pot protegir-te d’un empleat que voluntariament (encara que inconscientment) dona les seves credencials a un atacant. Considerem les dades:
- El phishing es el vector d’entrada del 90% dels ciberatacs exitosos (Verizon DBIR 2024).
- El cost mitja d’una bretxa de dades per error huma es de 45.000 EUR per a PIMEs espanyoles (Hiscox 2024).
- Les empreses amb programes de conscienciacio redueixen els incidents per phishing en un 70% en 12 mesos (SANS Institute).
- La formacio basica en ciberseguretat pot costar 0 EUR si s’utilitzen recursos de l’INCIBE.
Que ha d’incloure un programa de formacio
Un programa eficac no es un curs puntual de dues hores que es fa una vegada i s’oblida. Es un proces continu amb aquests components:
1. Sessio inicial de conscienciacio (2-3 hores)
La primera sessio ha de cobrir els conceptes fonamentals:
- Que es la ciberseguretat i per que importa a la teva empresa concretament (amb exemples reals del teu sector).
- Phishing i enginyeria social: com reconixer correus, trucades i missatges fraudulents. Mostrar exemples reals.
- Contrasenyes segures: per que les contrasenyes curtes o reutilitzades son perilloses, com funciona un gestor de contrasenyes.
- Seguretat del dispositiu: bloqueig automatic, actualitzacions, no connectar USBs desconeguts.
- Que fer si sospites un incident: a qui avisar, que NO fer (no apagar l’ordinador, no esborrar res).
2. Phishing simulat periodic (mensual)
Les simulacions de phishing son la manera mes eficac de mesurar i millorar la resistencia dels empleats. Consisteix a enviar correus de phishing falsos (controlats per l’empresa) i veure qui fa clic:
| Eina | Preu | Caracteristiques |
|---|---|---|
| GoPhish (open source) | Gratuit | Auto-allotjat, templates personalitzables, informes basics |
| KnowBe4 | Des de 15 EUR/usuari/any | Plataforma completa, centenars de plantilles, formacio integrada |
| Proofpoint Security Awareness | Consultar | Enterprise, analytics avancats, integracio amb correu |
| INCIBE (campanyes sectorials) | Gratuit | Recursos educatius, guies sectorials, exercicis |
Com fer-ho amb GoPhish (gratuit):
- Instal.la GoPhish al teu servidor o en una maquina virtual.
- Configura un domini de prova per als correus de simulacio.
- Crea plantilles de phishing realistes (factures falses, avisos de seguretat, paqueteria).
- Envia la primera campanya sense avisar.
- Mesura la taxa de clic (benchmark: 20-30% en la primera simulacio per a empreses sense formacio previa).
- Forma individualment als qui han picat.
- Repeteix mensualment. L’objectiu es baixar per sota del 5%.
3. Micro-formacions mensuals (15-20 minuts)
Sessions curtes i regulars son mes eficaces que un curs anual llarg. Cada mes, aborda un tema concret:
- Mes 1: Phishing avancat (spear phishing, whaling, vishing per telefon)
- Mes 2: Seguretat de contrasenyes i MFA
- Mes 3: Seguretat en dispositius mobils
- Mes 4: Com treballar de manera segura des de casa
- Mes 5: Enginyeria social presencial (tailgating, shoulder surfing)
- Mes 6: Seguretat al nuvol (permisos de comparticio, shadow IT)
- Mes 7: Privacitat i RGPD al dia a dia
- Mes 8: Ransomware: que es i com evitar-lo
- Mes 9: Seguretat en xarxes WiFi
- Mes 10: Copies de seguretat: que ha de fer cada empleat
- Mes 11: Gestio d’incidents: simulacre practic
- Mes 12: Revisio anual i quiz de ciberseguretat
4. Politica d’us acceptable (PUA)
Un document clar que cada empleat ha de llegir i signar, que defineix:
- Quins dispositius es poden usar per treballar (BYOD o nomes dispositius corporatius).
- Quins serveis cloud estan autoritzats.
- Com gestionar informacio confidencial.
- Que fer i que no fer amb el correu electronic.
- Consequencies de l’incompliment (formatives, no punitives en primera instancia).
Recursos gratuits per a la formacio
INCIBE (Institut Nacional de Ciberseguretat)
L’INCIBE ofereix un catàleg extens de recursos gratuits:
- Kit de conscienciacio: Material descarregable per a sessions formatives (presentacions, videos, fitxes).
- Cursos online: Formacio en linia de diverses hores, amb certificat.
- Guies sectorials: Material especific per a comerç, hostaleria, sanitat, etc.
- Linia 017: Telefon gratuit per a consultes de ciberseguretat.
Altres recursos gratuits
- Google Phishing Quiz (phishingquiz.withgoogle.com): Quiz interactiu de Google per aprendre a detectar phishing. Excel.lent per a sessions de formacio.
- Have I Been Pwned (haveibeenpwned.com): Mostra als empleats si les seves adreces de correu apareixen en filtracions de dades. Molt impactant per conscienciar.
- Cybrary: Cursos gratuits de ciberseguretat en angles.
- OWASP: Si la teva PIME te desenvolupadors web, els recursos d’OWASP sobre seguretat d’aplicacions son imprescindibles.
Com mesurar l’eficacia de la formacio
No n’hi ha prou amb fer formacio; cal mesurar si funciona. Aquestes son les metriques clau:
| Metrica | Com mesurar-la | Objectiu |
|---|---|---|
| Taxa de clic en phishing simulat | Plataforma de simulacio (GoPhish, KnowBe4) | Baixar del 20-30% al menys del 5% en 12 mesos |
| Taxa de report de phishing | Comptador de correus reportats vs rebuts | Pujar per sobre del 60% |
| Temps de report d’incidents | Registre d’incidents (hora de deteccio vs hora de report) | Menys de 30 minuts |
| Compliment de la PUA | Auditories periodiques | 100% de signatures, menys de 5% d’incompliments |
| Resultats del quiz anual | Puntuacio mitjana | Per sobre del 80% |
Errors habituals a evitar
1. Formacio punitiva
Castigar els empleats que cauen en el phishing simulat genera por i ocultacio, no millora. Si un empleat pica, ha de rebre formacio addicional, no una sanció. L’objectiu es que la gent reporti els incidents sense por a represalies.
2. Formacio unica i aïllada
Un curs anual de dues hores te un efecte que es dissipa en poques setmanes. La formacio ha de ser continua, curta i frequent. Les micro-formacions mensuals de 15 minuts son molt mes eficaces.
3. Contingut generic
Utilitza exemples del teu sector i de la teva empresa. Un correu de phishing que simula ser una factura del teu proveidor habitual es molt mes impactant que un exemple generic.
4. No involucrar la direccio
Si el CEO o el gerent no participa en la formacio ni dona exemple, els empleats no la prendran seriosament. La ciberseguretat ha de ser un compromis de dalt a baix.
Pla d’implementacio en 90 dies
Dies 1-15: Preparacio
- Designa un responsable de ciberseguretat (pot ser un empleat amb interes, no cal un tecnic).
- Redacta la Politica d’Us Acceptable.
- Descarrega el Kit de Conscienciacio de l’INCIBE.
- Registra’t a GoPhish o KnowBe4 (versio trial).
Dies 16-30: Llancament
- Sessio inicial de conscienciacio (2-3 hores) per a tots els empleats.
- Distribucio i signatura de la PUA.
- Primera simulacio de phishing (sense avisar).
Dies 31-60: Consolidacio
- Analitza resultats de la primera simulacio.
- Formacio individual per als qui han picat.
- Primera micro-formacio mensual.
- Segona simulacio de phishing (diferent plantilla).
Dies 61-90: Rutina
- Tercera simulacio de phishing.
- Segona micro-formacio mensual.
- Revisio de metriques i ajust del programa.
- Planificacio del calendari anual de formacio.
Pressupost de formacio per a una PIME de 10 empleats
| Element | Cost (opcio gratuita) | Cost (opcio premium) |
|---|---|---|
| Material formatiu | INCIBE (0 EUR) | KnowBe4 (150 EUR/any) |
| Simulacions de phishing | GoPhish (0 EUR) | KnowBe4 (inclos) |
| Temps de formacio (4h/any/empleat) | 40 hores x cost hora | 40 hores x cost hora |
| Responsable intern | Part del temps d’un empleat | Part del temps d’un empleat |
| Total directe | ~0 EUR | ~150 EUR/any |
El cost real no es el material (que pot ser gratuit) sino el temps dels empleats dedicat a la formacio. Pero es una inversio que es recupera amb el primer incident evitat.
Conclusio
La formacio en ciberseguretat no es un luxe ni una formalitat. Es la mesura de proteccio amb millor relacio cost-eficacia que existeix. Un programa senzill, continu i ben mesurat pot reduir els incidents per phishing en un 70% en menys d’un any.
Comenca avui: descarrega el Kit de Conscienciacio de l’INCIBE, fes la primera sessio i llanca la primera simulacio de phishing. Els resultats et sorprendran.
Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions especifiques a la vostra empresa.
AUDITORIA GRATUITA
Auditoria Exprés de Ciberseguretat per a PIMEs
10 preguntes clau per avaluar el nivell de protecció de la teva empresa + puntuació amb semàfor de risc + recomanacions. PDF de 2 pàgines, gratis.
Descarregar l'auditoria gratuita →
