Concientización y Cultura de Ciberseguridad

Concientización y Cultura de Ciberseguridad — KLG Technology

Ciberseguridad · KLG Technology

El 74% de las brechas de seguridad involucra el factor humano. Ningún firewall protege contra un colaborador que hace clic en un enlace malicioso. KLG diseña y ejecuta programas de concientización que cambian comportamientos reales, cumplen la Ley 21.663 y reducen el riesgo humano de forma medible.

🎓 Capacitación por roles

🎯 Simulaciones de phishing

⚖ Ley 21.663 Art. 8° h) · M-12 CEN

📊 Medición de riesgo humano

74%

de brechas involucran el factor humano

15 m

CEN exige reforzar cada 15 meses (M-12)

ISO

27001 Certificado · AENOR · IQNet

Por qué el factor humano es el riesgo más crítico

Las herramientas de seguridad no protegen contra el error humano

Una organización puede tener el mejor firewall, el EDR más avanzado y un SOC 24×7, y aun así sufrir un incidente grave porque un colaborador hizo clic en un correo de phishing, compartío sus credenciales o conectó un USB desconocido.

El ser humano es el último perímótro de defensa y también el más vulnerable. La concientización no es un curso anual que hay que completar para cumplir un requisito: es un proceso continuo que cambia comportamientos y construye una cultura de seguridad genuina en toda la organización.

74%

de las brechas involucran el factor humanoLa mayoría no son ataques técnicos sofisticados: son errores humanos explotados por atacantes oportunistas.

91%

de los ataques comienzan con phishingEl correo electrónico sigue siendo el vector de entrada más efectivo y el más fácil de prevenir con concientización.

60%

de las empresas que simulan phishing detectan clic en el primer envíoSin entrenamiento previo, la mayoría de los colaboradores caen en ataques básicos.

Cumplimiento regulatorio · Obligación legal

La capacitación en ciberseguridad es una obligación legal en Chile

Ley 21.663

Art. 8° h) — Medida permanente: Las entidades afectas deben adoptar medidas de carácter informativo para la prevención de incidentes de ciberseguridad, incluyendo capacitación del personal. Obliga a todas las entidades bajo la ley.

CEN · M-12

Medida M-12 — Educación y concientización: El Coordinador Eléctrico Nacional exige reforzar las prácticas de ciberseguridad al menos una vez cada 15 meses. Sujeto a auditoría por la SEC.

NERC-CIP

CIP-004 — Personal y capacitación: El estándar NERC-CIP del CEN exige que el acceso a ciber-activos de alto impacto sea restringido a personal que haya completado el programa de concientización.

ISO 27001

Control A.6.3 — Concientización: El estándar ISO/IEC 27001 exige que el personal sea consciente de su contribución a la efectividad del SGSI y de las consecuencias de incumplir las políticas.

Nuestros servicios

Seis componentes del programa de concientización

Un programa completo que va más allá de los cursos en línea: combina formación, simulaciones reales, medición continua y cultura organizacional para reducir el riesgo humano de forma sostenida.

🎓

Programa de Capacitación Sectorializada

Formación adaptada al rol y al nivel de cada colaborador: no es el mismo contenido para un operador de planta que para un director. El aprendizaje relevante genera comportamientos reales.

Módulos específicos por rol: operaciones, TI, finanzas, RRHH, directivos
Formatos presencial, e-learning y microlearning (módulos de 5–10 min)
Contenido en español con casos y amenazas relevantes para Chile
Evaluaciones con medición de conocimiento antes y después
Registros auditables de asistencia y calificaciones por persona

Ley 21.663M-12 CEN

📧

Simulaciones de Phishing Controlado

Campañas de phishing simulado que miden la vulnerabilidad real del personal frente a ataques de ingeniería social, con retroalimentación inmediata para quien hace clic y mejora medible a lo largo del tiempo.

Diseño de campañas realistas adaptadas al contexto de la empresa
Múltiples vectores: phishing, spear-phishing, smishing (SMS), QR codes
Página de entrenamiento inmediata para quien hace clic
Dashboard de resultados: tasa de clic, reporte y mejora por área
Informe ejecutivo con Human Risk Index (HRI) por departamento

PhishingSpear-phishing

🎧

Campañas de Cultura de Seguridad

Comunicaciones internas periódicas que mantienen la ciberseguridad presente en la mente de los colaboradores: infografías, boletines, alertas de amenazas reales y tips de seguridad para el día a día.

Calendario anual de comunicaciones de seguridad
Alertas de amenazas reales y actuales (campañas de phishing activas)
Tips de seguridad para el trabajo remoto y uso de dispositivos personales
Política de escritorio limpio, uso de USB y contraseñas
Poster y material visual para instalaciones físicas

CulturaComunicación

🏻👥

Formación Ejecutiva y de Directorio

Taller específico para directores y alta dirección: gobierno de ciberseguridad, responsabilidades legales, postura de riesgo y cómo supervisar efectivamente la ciberseguridad desde el directorio.

Responsabilidades del directorio bajo la Ley 21.663 y la Ley 21.719
Cómo leer e interpretar informes de postura de riesgo
Gobierno de ciberseguridad: preguntas que el directorio debe hacer al CISO
Simulación de incidente: cómo actúa el directorio en una crisis de ciberseguridad
Sesión de 3–4 horas, presencial o en línea

DirectorioGobierno

🎮

Ejercicios y Simulacros de Incidentes

Ejercicios de escritorio (tabletop) y simulacros prácticos de respuesta a incidentes que preparan a los equipos para actuar correctamente bajo presión, en los plazos que exige la regulación.

Tabletop exercise: simulación de escenario de incidente en sala
Prueba del protocolo de notificación al CSIRT (3 h) y CEN/SEC (1 h)
Evaluación de la cadena de comunicación interna durante el incidente
Informe post-ejercicio con brechas identificadas y plan de mejora
Requisito explícito de NERC-CIP CIP-008 para el sector eléctrico

TabletopNERC-CIP

📊

Medición del Riesgo Humano (HRI)

Indicadores cuantitativos del nivel de riesgo humano en la organización: tasa de clic en phishing, resultados de evaluaciones, cobertura de capacitación y evolución en el tiempo. Base para reportar al directorio.

Human Risk Index (HRI) por persona, área y cargo
Dashboard ejecutivo con evolución mensual del riesgo humano
Identificación de grupos de alto riesgo para formación reforzada
Informe para auditoría: registros completos exigidos por SEC y ANCI
Benchmarking sectorial del riesgo humano

HRIMétricas

Simulación de phishing · Así opera

El phishing simulado es el entrenamiento más efectivo para reducir el riesgo real

Las campañas de phishing simulado de KLG utilizan correos, mensajes y páginas diseñadas para imitar ataques reales en el contexto específico de la organización del cliente. Quien hace clic recibe retroalimentación inmediata, no una sanción.

El objetivo no es atrapar a los colaboradores: es entrenarlos con experiencia real para que desarrollen el hábito de verificar antes de hacer clic.

🎯

Campañas realistas y contextualizadas

Correos que imitan comunicaciones de bancos, proveedores, RRHH o la propia empresa del cliente

📊

Métricas en tiempo real

Tasa de apertura, clic en enlace, ingreso de credenciales y reporte del correo sospechoso por departamento

🎓

Entrenamiento inmediato

Quien hace clic accede en ese momento a un módulo educativo corto que explica cómo detectar el ataque

📈

Mejora sostenida en el tiempo

Las campañas periódicas generan una reducción progresiva y medible de la tasa de clic a lo largo del año

Bandeja de entrada — Simulación KLG

De: soporte@tu-banco-seguro.com • Para: colaborador@empresa.cl

⚠ Acción requerida: Verifica tu cuenta ahora

Estimado/a cliente,

Hemos detectado actividad inusual en su cuenta. Para proteger su información, necesitamos que verifique su identidad en las próximas 2 horas para evitar el bloqueo de su cuenta.

Haga clic en el botón a continuación para verificar su identidad:

Verificar mi cuenta ahora →

Si no realiza esta verificación, su acceso podría ser suspendido temporalmente.

⚠

Esto es un correo de phishing simulado. Las señales de alerta: dominio falso, urgencia artificial, solicitud de clic inmediato, amenaza de consecuencias. ¿Las viste antes de hacer clic?

Modelo de programa continuo

La concientización efectiva es un ciclo, no un evento anual

Un curso anual genera conocimiento puntual que se olvida en semanas. Un programa continuo genera hábitos y cultura que reducen el riesgo de forma sostenida.

🔍

Fase 1 · Diagnóstico

Medir la línea base

Primera campaña de phishing sin aviso previo para medir el riesgo humano real de la organización. Assessment de nivel de conocimiento en ciberseguridad por rol y área. HRI inicial.

🎓

Fase 2 · Formación

Capacitar por rol

Programa de formación sectorizado: módulos presenciales, e-learning y microlearning por rol. Taller ejecutivo para directivos. Ejercicio de respuesta a incidentes con equipos técnicos.

🎭

Fase 3 · Práctica

Simular y reforzar

Campañas periódicas de phishing simulado (trimestrales o mensuales). Comunicaciones de cultura de seguridad continuas. Alertas ante amenazas reales activas. Microlearning de refuerzo.

📊

Fase 4 · Medición

Medir y mejorar

Dashboard mensual con evolución del HRI, cobertura de capacitación y resultados de simulaciones. Informe trimestral al directorio. Registros auditables para SEC, ANCI y auditores externos.

Cobertura del programa

Un programa para toda la organización, con contenido por audiencia

Cada rol tiene riesgos distintos y necesita contenido distinto. El programa de KLG cubre la totalidad de la organización con contenido relevante para cada perfil.

🏛

Directorio y alta dirección

Gobierno, responsabilidades legales, lectura de informes de riesgo y simulación de crisis

👤

Gerentes y mandos medios

Gestión de incidentes, políticas de su equipo y liderazgo en cultura de seguridad

💻

Equipos TI y ciberseguridad

Contenido técnico: respuesta a incidentes, IoC, forense y protocolos de notificación

💵

Finanzas y contabilidad

Fraude del CEO (BEC), phishing financiero, autorización de transferencias y verificación

👥

Recursos Humanos

Protección de datos de empleados, Ley 21.719, phishing de RRHH y manejo de accesos

✅

Operaciones generales

Conceptos esenciales: phishing, contraseñas, USB, trabajo remoto y reporte de incidentes

⚡

Personal OT y planta

Ciberseguridad industrial, riesgos en entornos OT/ICS y cumplimiento CEN/NERC-CIP M-12

📌

Proveedores y contratistas

Acceso seguro a sistemas del cliente, políticas mínimas y riesgos de cadena de suministro

Cómo implementamos el programa

Del diagnóstico al programa continuo en cuatro fases

El programa no comienza con un curso: comienza midiendo el riesgo real de la organización para diseñar la intervención más efectiva según sus brechas específicas.

Semana 1–2

Diagnóstico de riesgo humano

Primera campaña de phishing sin aviso y evaluación de conocimiento base. HRI inicial por rol y área. Identificación de audiencias de mayor riesgo. Diseño del plan anual.

→

Mes 1–2

Implementación del programa

Desarrollo y despliegue de módulos de formación por rol, taller ejecutivo para directivos, configuración de la plataforma de simulaciones y lanzamiento de las primeras comunicaciones de cultura.

→

Mensual/trimestral

Simulaciones y refuerzo

Campañas periódicas de phishing simulado, microlearning de refuerzo, alertas de amenazas reales y actualización de contenidos ante nuevas tácticas de atacantes.

→

Mensual

Reporte y mejora continua

Dashboard mensual con evolución del HRI, informe trimestral al directorio y registros anuales para SEC, ANCI y auditores. Ajuste del programa según resultados y nuevas amenazas.

Marco regulatorio y estándares

Certificados en ISO/IEC 27001. Cumple Ley 21.663 y M-12 CEN.

KLG Technology cuenta con certificación ISO/IEC 27001 acreditada por AENOR e IQNet. El programa de concientización cumple los requisitos del Art. 8° h) de la Ley 21.663, la medida M-12 del CEN y el control A.6.3 de ISO 27001, generando registros auditables para todos los reguladores.

ISO/IEC 27001

✓ Certificado · AENOR · IQNet

Ley 21.663

Art. 8° h) · Medida permanente

CEN · M-12

15 meses · Auditable por SEC

NERC-CIP CIP-004

Marco de referencia aplicado

¿Por qué KLG Technology?

Un programa que cambia comportamientos, no que cumple un requisito

Hay muchos proveedores de cursos de ciberseguridad. KLG diseña programas que generan cambios reales y medibles en el comportamiento del personal.

Medición real del riesgo humano

El Human Risk Index (HRI) permite cuantificar el riesgo humano por área y cargo, identificar dónde concentrar el esfuerzo y demostrar al directorio la evolución del programa con datos.

Contenido en español y contextualizado

No traducimos materiales genéricos: desarrollamos contenido en español con casos relevantes para Chile, amenazas activas en la región y ejemplos del sector e industria de cada cliente.

Cumplimiento regulatorio garantizado

El programa genera los registros de asistencia y evaluación exigidos por la Ley 21.663 (Art. 8° h), el CEN (M-12 cada 15 meses), NERC-CIP CIP-004 e ISO 27001 A.6.3, auditables ante SEC y ANCI.

Integrado al ecosistema KLG

El programa de concientización se integra con el CISO as a Service, el DPO, el SOC y el equipo de GRC. Cuando ocurre un incidente real, el equipo de respuesta y el equipo de formación reaccionan coordinadamente.

Especialización en entornos OT y sector eléctrico

El personal de planta y operaciones tiene riesgos distintos al personal de oficina. Nuestros módulos para entornos OT e industrial están diseñados específicamente para cumplir la medida M-12 del CEN.

Programa continuo, no puntual

Un curso anual reduce el riesgo temporalmente. Un programa continuo de simulaciones, microlearning y comunicaciones construye hábitos permanentes que reducen el riesgo humano de forma sostenida.

El atacante solo necesita que un colaborador haga clic una vez. El programa de concientización de KLG entrena a toda la organización para que eso no ocurra.

Comenzamos con un diagnóstico de riesgo humano gratuito: una campaña de phishing simulado que revela en días el nivel real de vulnerabilidad de su organización.

Solicitar diagnóstico de riesgo humano →