Comunicación y evangelismo de seguridad
Puede tener políticas perfectas y excelentes herramientas, pero si a nadie le importa la seguridad, no habrá logrado nada. El trabajo más importante del Security Champion no es técnico — es la comunicación. Hacer que las personas entiendan por qué importa la seguridad, mantenerla presente y convertir a los escépticos en aliados.
Este capítulo cubre cómo comunicar sobre seguridad de maneras que realmente funcionen: contar historias en lugar de dar lecciones, crear canales donde la seguridad se sienta accesible, llevar a cabo puntos de contacto regulares que la gente quiera atender, y usar la gamificación para que el buen comportamiento sea recompensado.
Por qué falla la comunicación de seguridad
La mayoría de la comunicación de seguridad es terrible. He aquí por qué:
Es aburrida. "Recuerde usar contraseñas seguras" tiene el mismo impacto que "Precaución: el contenido puede estar caliente." Las personas lo ignoran de inmediato.
Es condescendiente. "DEBE seguir estas reglas" genera resistencia. Los adultos no les gusta que les den lecciones.
Da miedo. Las advertencias constantes sobre hackers y brechas crean ansiedad o, peor aún, impotencia aprendida. "De todas formas estamos condenados, ¿para qué molestarse?"
Es irrelevante. Los consejos genéricos de seguridad no conectan con lo que la gente realmente hace. A un diseñador no le importa la inyección SQL.
Es unidireccional. Boletines que nadie lee, capacitación obligatoria que nadie recuerda, políticas que nadie consulta.
Es invisible. La seguridad solo aparece cuando algo sale mal. Sin puntos de contacto positivos.
El objetivo no es hacer que todos sean paranoicos. Es hacer que la seguridad se sienta como una parte normal del trabajo — como la revisión de código o el respaldo de archivos. Algo que las personas hacen porque tiene sentido, no porque se les obligue.
Principios de comunicación de seguridad efectiva
Lidere con historias, no con reglas
Los seres humanos recuerdan las historias. Olvidamos las estadísticas y los puntos de viñeta.
MAL: "Los ataques de phishing aumentaron un 65% el año pasado. Siempre verifique la identidad del remitente."
BIEN: "El mes pasado, un empleado de una empresa como la nuestra hizo clic en un enlace de un correo
que parecía exactamente una notificación de DocuSign. Tres horas después,
los atacantes habían descargado toda su base de datos de clientes. El correo
provenía de 'docusign-notifications.com' — una letra diferente de la real."
Dónde encontrar historias:
- Noticias de seguridad (Krebs on Security, Bleeping Computer, The Record)
- Brechas específicas del sector (sus competidores, empresas similares)
- Sus propios incidentes casi-ocurridos (anonimizados)
- Informes de investigadores de seguridad
Hágalo relevante para su trabajo
Diferentes roles se preocupan por diferentes cosas. Personalice su mensaje.
| Audiencia | Lo que les importa | Cómo enmarcar la seguridad |
|---|---|---|
| Desarrolladores | Calidad del código, velocidad de entrega | "El código seguro es código de calidad. Detectar problemas a tiempo significa menos parches de emergencia." |
| Ventas | Cerrar contratos, confianza del cliente | "Los cuestionarios de seguridad son parte de los contratos empresariales. Buena seguridad = ventaja competitiva." |
| Soporte | Ayudar a clientes, evitar escaladas | "Reconocer robos de cuentas salva a los clientes del fraude y le ahorra llamadas furiosas." |
| Finanzas | Dinero, cumplimiento, auditoría | "Una buena higiene de seguridad significa auditorías más fluidas y primas de seguro más bajas." |
| Ejecutivos | Riesgo, reputación, asuntos legales | "Una brecha puede deshacer años de construcción de marca. Esto es continuidad del negocio." |
Manténgalo breve y frecuente
Los correos largos de seguridad se hojean. Los boletines mensuales se ignoran. Un mejor enfoque:
- Breve y frecuente supera a largo y ocasional — 2 minutos de lectura semanal > 20 minutos de lectura mensual
- Un mensaje por comunicación — No agrupe 5 consejos; concéntrese en una cosa accionable
- Repita los mensajes importantes — Las personas necesitan escuchar las cosas 7 o más veces para que se afiancen
Muestre, no diga
En lugar de explicar riesgos abstractos, demuéstrelos:
- Demo de phishing en vivo — Muestre lo fácil que es crear una página de inicio de sesión falsa convincente
- Demo de crackeo de contraseñas — Rompa contraseñas débiles en vivo (toma segundos)
- Demo de OSINT — Muestre qué información está disponible públicamente sobre su empresa
- Cronología de una brecha real — Recorra cómo se desarrolló un ataque real
Celebre el buen comportamiento
La mayoría de la comunicación de seguridad trata sobre lo que NO se debe hacer. Dé la vuelta:
- Reconozca a las personas que reportan correos sospechosos
- Agradezca al desarrollador que detectó una vulnerabilidad en la revisión de código
- Celebre al equipo que logró el 100% de adopción de MFA
- Destaque a la persona que preguntó "¿es esto seguro?" antes de hacer clic
Canales de comunicación interna
Cree espacios dedicados donde se discuta la seguridad, no solo se anuncie.
Canales de Slack/Teams para seguridad
#security-alerts — incidentes de seguridad, advertencias urgentes, acciones obligatorias. Bajo volumen, alta señal. Todos deben unirse y habilitar notificaciones.
#security-questions — pregunte cualquier cosa sobre seguridad. No hay preguntas tontas, respuestas rápidas. El Security Champion lo monitorea activamente.
#security-news — brechas interesantes, vulnerabilidades, artículos. Discusión ligera, enfocada en el aprendizaje. Opcional pero recomendado.
#phishing-reports — reporte correos sospechosos aquí. El Security Champion confirma si son reales o falsos. Crea un registro visible de amenazas.
Para hacer los canales efectivos:
- Responda rápidamente — Si alguien hace una pregunta y espera 3 días, no volverá a preguntar
- Nunca avergüence — "¡Buena pregunta!" incluso si es básica
- Comparta el contexto — Al alertar sobre una vulnerabilidad, explique por qué importa para su stack
- Use hilos — Mantenga las discusiones organizadas
- Fije lo importante — Políticas, procedimientos de respuesta a incidentes, contactos clave
Flujo de trabajo para reportar phishing
Cree un flujo de trabajo simple para reportar correos sospechosos:
## Cómo Reportar Correos Sospechosos
1. **No haga clic en ningún enlace ni abra archivos adjuntos**
2. **Reenvíe el correo a:** [email protected] (o publique en #phishing-reports)
3. **Incluya:** "¿Es esto legítimo?" en el asunto
4. **Responderemos en 2 horas** durante horario laboral
### Qué sucede a continuación:
- We analyze the email
- We'll tell you if it's safe or not
- If it's a real phish, we'll alert the company
- You'll get credit for catching it
Rastree y comparta resultados:
Weekly phishing stats (last 7 days):
- Phishing emails reported: 12
- Confirmed threats blocked: 4
- People who reported: Sarah ⭐, Marcus, Priya ⭐⭐, James
- Close call: Fake DocuSign caught before anyone clicked
Thanks for staying vigilant!
Boletín de seguridad
Un boletín periódico mantiene la seguridad visible sin resultar molesto. La clave es hacer algo que la gente realmente quiera leer.
Estructura del boletín
# Security Digest — [Month Year]
## This month's highlight
[One story in 3-4 paragraphs — could be a breach, a near-miss,
a cool thing someone did, or a new threat]
## Quick tip
[One actionable thing, 2-3 sentences max]
## What we fixed
[Brief summary of security improvements made — shows progress]
## Shout-outs
[Recognize people who reported issues, completed training, etc.]
## Upcoming
[Security office hours, training sessions, policy updates]
## Ask me anything
[Reminder that questions are welcome + how to reach Security Champion]
Boletín de muestra
# Security Digest — January 2025
## This month's highlight: The $100K lesson
A company in our industry lost $100,000 last month to a business email
compromise attack. Here's how it happened:
An attacker compromised an employee's email account (weak password, no MFA).
They spent two weeks reading emails, learning the company's processes and
communication style. Then they sent an email from the employee's actual
account to the finance team, requesting an urgent wire transfer to a "new
vendor." The email referenced real projects and used the employee's normal
writing style.
Finance followed their usual process... which didn't include verifying
large transfers by phone. By the time anyone noticed, the money was gone.
**What saved us from this:** We require MFA on all accounts, and our
finance team has a policy of calling to verify any transfer over $5,000.
---
## Quick tip: Lock your screen
Windows: Win + L
Mac: Cmd + Ctrl + Q (or close the lid)
Do this every time you step away, even for a minute. It takes 10 seconds
to plug in a USB device or peek at your screen.
---
## What we fixed this month
- Enabled phishing-resistant MFA for all admin accounts
- Deployed new endpoint detection on all laptops
- Closed 3 vulnerabilities found in our Q4 security scan
- Updated our incident response plan with lessons from the tabletop exercise
---
## Shout-outs
- **Priya (Engineering)** — Caught a real phishing email targeting our
DocuSign process and reported it within minutes. This was a targeted
attack, not spam.
- **Marcus (Support)** — Noticed unusual login activity on a customer's
account and escalated before the customer even knew.
- **Everyone on the Sales team** — 100% completion on the Q4 security training!
---
## Upcoming
- **Security office hours:** Every Thursday 3-4pm in #security-questions
- **Phishing simulation:** Coming in February (keep it quiet)
- **New password policy:** Rolling out next week — same requirements,
better enforcement
---
## Got questions?
Reply to this email or ping me in #security-questions. No question is
too basic. Seriously — I'd rather answer 100 "dumb" questions than miss
one real incident.
— [Your name], Security Champion
Mejores prácticas del boletín
| Haga | No haga |
|---|---|
| Manténgalo en menos de 5 minutos de lectura | Escriba ensayos que nadie termina |
| Incluya historias reales | Use consejos genéricos de seguridad |
| Reconozca a personas específicas | Envíe a todos sin personalización |
| Muestre lo que ha logrado | Hable solo de amenazas |
| Sea consistente (mismo día/semana) | Envíe esporádicamente |
| Incluya una acción clara | Sature con 10 consejos |
| Escriba como humano | Suene como un documento de cumplimiento |
Seguimiento del engagement
Use las analíticas de su herramienta de correo:
- Tasa de apertura (objetivo: 50%+)
- Tasa de clics en enlaces (¿están interactuando las personas?)
- Respuestas/preguntas generadas
Si nadie está leyendo, cambie el formato. Pruebe más corto, más divertido, diferente horario. Pregunte a las personas qué encontrarían útil.
Hora del Security Champion
Una reunión periódica donde se discute la seguridad abiertamente. No es una conferencia — es una conversación.
Opciones de formato
| Formato | Duración | Frecuencia | Ideal para |
|---|---|---|---|
| Horario de oficina | 1 hora | Semanal | Preguntas sin cita, bajo compromiso |
| Brown bag | 30-45 min | Mensual | Presentaciones, demos, aprendizaje |
| Standup de seguridad | 15 min | Semanal | Actualizaciones rápidas, integración con el equipo |
| Ejercicio de simulación | 1-2 horas | Trimestral | Práctica de respuesta a incidentes |
Cómo dirigir un horario de oficina efectivo
Configuración:
- Mismo horario cada semana (la consistencia importa)
- Enlace de videollamada dedicado o sala física
- Promovido en Slack, calendario, boletín
- El Security Champion siempre asiste
Estructura:
0:00-0:05 Actualización rápida (cualquier urgencia, nuevas políticas, cambios próximos)
0:05-0:55 Preguntas abiertas (lo que sea que la gente quiera discutir)
0:55-1:00 Cierre, vista previa de la próxima semana
Si nadie se presenta:
- Use el tiempo para trabajar en tareas de seguridad (visiblemente)
- Publique en Slack: "Horario de oficina abierto — semana tranquila, estoy trabajando en X"
- Eventualmente la gente vendrá; la consistencia es clave
- Considere combinarlo con otra cosa (chat de café, almuerzo)
Para aumentar la asistencia:
- Invite a personas específicas que puedan tener preguntas
- Adelante temas interesantes ("Haré una demo de crackeo de contraseñas si alguien tiene curiosidad")
- Lleve snacks si es presencial
- Hágalo genuinamente opcional — sin culpa por faltar
Brown bags mensuales de seguridad
Inmersiones más profundas en temas específicos. Rote entre:
Temas de presentación:
- Cómo ocurrió una brecha reciente (empresa externa)
- Demo de una herramienta de seguridad
- Análisis profundo de una política (por qué la tenemos, cómo seguirla)
- "Intenté hackearme" — resultados de pruebas internas
- Ponente invitado (proveedor, equipo de seguridad de empresa más grande, experto externo)
Sesiones interactivas:
- Resumen de simulación de phishing (después de ejecutar una)
- Ejercicio de simulación (práctica de respuesta a incidentes)
- "Encuentre la vulnerabilidad" — desafío de revisión de código
- Cuestionario de seguridad con premios
- "Pregúntame lo que quieras" — preguntas abiertas
Agenda de muestra:
# Security Brown Bag — February 2025
## Topic: How Attackers Use LinkedIn to Target Us
### What we'll cover (30 min)
- How attackers gather info from LinkedIn profiles
- Real examples of targeted phishing using LinkedIn data
- What you can do to reduce your exposure
- Live demo: I'll show how I'd craft a phishing email using public info
### Q&A (15 min)
Open discussion
### Attendance
Optional but encouraged. Recording available for those who can't make it.
### Pizza provided
Gamificación y recompensas
Haga que el buen comportamiento de seguridad sea visible y recompensado. No se trata de manipulación — se trata de refuerzo positivo.
Qué recompensar
| Comportamiento | Por qué recompensarlo | Nivel de recompensa |
|---|---|---|
| Reportar phishing | Fomenta la vigilancia, proporciona inteligencia de amenazas | Pequeño (agradecimiento público) |
| Encontrar vulnerabilidad en revisión de código | Detecta problemas antes de producción | Mediano (reconocimiento + pequeño premio) |
| Completar capacitación de seguridad opcional | Demuestra iniciativa | Pequeño (insignia, reconocimiento) |
| 100% de adopción de MFA en el equipo | La responsabilidad grupal funciona | Mediano (almuerzo de equipo) |
| Reportar un problema de seguridad real | Crítico para la detección temprana | Grande (reconocimiento significativo) |
| Ganar CTF o desafío de seguridad | Desarrolla habilidades, crea entusiasmo | Mediano-grande (premio, entrada a conferencia) |
Ideas de recompensas por presupuesto
$0 (solo reconocimiento):
- Reconocimiento público en Slack, boletín, reunión general
- Título de "MVP de Seguridad" del mes
- Prioridad en proyectos interesantes de seguridad
- Insignia de perfil o emoji en Slack
- Nota de agradecimiento del liderazgo
Presupuesto bajo ($10-50):
- Tarjetas de regalo (café, Amazon)
- Almuerzo con el Security Champion
- Merchandising temático de seguridad (stickers, camisetas)
- Libro de su elección
- Día adicional de PTO (si el liderazgo aprueba)
Presupuesto medio ($50-200):
- Entrada a conferencia (meetups locales de seguridad)
- Curso de capacitación (Pluralsight, Udemy)
- Hardware de seguridad mejorado (YubiKey, pantalla de privacidad)
- Almuerzo o happy hour de equipo
Presupuesto alto ($200+):
- Asistencia a conferencia importante (DEF CON, RSA)
- Curso de certificación de seguridad
- Donación a la organización benéfica de su elección
- Última laptop/actualización de hardware
Tablas de clasificación y puntos
Algunos equipos responden bien a la competencia; a otros les resulta molesta. Conozca su cultura.
Si su equipo es competitivo:
Security Leaderboard — Q1 2025
1. Priya (Engineering) — 450 pts
2. Marcus (Support) — 380 pts
3. Sarah (Product) — 350 pts
4. James (Sales) — 275 pts
5. Everyone else — Time to catch up!
Points this quarter:
- Report phishing: 10 pts
- Complete training: 50 pts
- Find vulnerability: 100 pts
- Win security challenge: 150 pts
- Mentor colleague: 75 pts
Si su equipo no es competitivo:
- Omita las tablas de clasificación, concéntrese en objetivos colectivos
- "Hemos bloqueado 47 intentos de phishing este trimestre — gracias a todos"
- Celebre los logros del equipo sobre los rankings individuales
Desafíos de seguridad
Desafíos periódicos que hacen la seguridad interactiva:
Desafíos mensuales:
| Mes | Desafío | Premio |
|---|---|---|
| Enero | Reporte 3 correos sospechosos | Merchandising de seguridad |
| Febrero | Complete la nueva capacitación de phishing | Acceso anticipado a algo |
| Marzo | Participe en el ejercicio de simulación | Almuerzo de equipo |
| Abril | Encuentre un error/problema en nuestras políticas | Libro de su elección |
| Mayo | Active MFA en cuentas personales | Tarjeta de regalo de $25 |
| Junio | Complete la configuración del gestor de contraseñas | Premium del gestor de contraseñas |
Eventos CTF (Capture The Flag):
Organice competencias CTF internas:
- Use plataformas como CTFd, PicoCTF, u OWASP Juice Shop
- Equipos de 2-3 personas
- Eventos de 2-4 horas
- Mezcle niveles de dificultad para que todos puedan participar
- Premios para los equipos ganadores, premios de participación para todos
Manejo de la fatiga de seguridad
Demasiada comunicación de seguridad crea fatiga. Esté atento a las señales:
Síntomas:
- Bajas tasas de apertura del boletín
- Nadie asiste a los horarios de oficina
- Respuestas cínicas a temas de seguridad
- "Otra cosa de seguridad más"
- Cumplimiento sin comprensión
Causas:
- Demasiada comunicación
- Contenido irrelevante
- Sin resultados visibles del esfuerzo
- Solo advertencias, sin aspectos positivos
- Falta de autonomía ("solo haga esto")
Soluciones:
| Problema | Solución |
|---|---|
| Sobrecarga de información | Reduzca la frecuencia, aumente la calidad |
| Contenido irrelevante | Segmente por rol, personalice |
| Solo fatalismo | Equilibre amenazas con logros y reconocimientos |
| Entrega aburrida | Añada historias, demos, humor |
| Sin ciclo de retroalimentación | Pregunte qué quiere la gente, realmente responda |
Señales de que está funcionando
- Las personas hacen preguntas de seguridad de forma proactiva
- Los reportes de phishing aumentan (¡están notando!)
- Asistencia voluntaria a sesiones opcionales
- La seguridad se menciona en conversaciones en las que usted no está
- Los nuevos empleados preguntan "¿dónde está la capacitación de seguridad?"
- Los ejecutivos hacen referencia a la seguridad en las decisiones
Errores comunes
- Hablar a las personas en lugar de con ellas — La conversación supera a la conferencia
- Comunicar solo durante las crisis — Los contactos positivos regulares importan
- Lenguaje empresarial genérico — Escriba como humano para su equipo real
- Esperar cambio de comportamiento inmediato — El cambio cultural toma meses
- Castigar errores públicamente — Las personas dejan de reportar si temen la vergüenza
- Medir entradas en lugar de resultados — "Enviamos 12 correos" vs. "Los clics de phishing bajaron un 40%"
- El Security Champion siendo la única voz — Reclute aliados, comparta la carga
- No iterar — Lo que funciona cambia; siga experimentando
- Ignorar la retroalimentación — Si la gente dice que es demasiado, créales
- Hacer todo obligatorio — El engagement opcional genera compromiso real
Taller: lance su programa de comunicación de seguridad
Parte 1: Configure los canales (1 hora)
-
Cree canales de Slack/Teams:
- #security-alerts (todos se unen)
- #security-questions (todos se unen)
- #phishing-reports (todos se unen)
- #security-news (opcional)
-
Escriba descripciones de canales y mensajes fijados:
- Propósito de cada canal
- Cómo reportar phishing
- Enlace al procedimiento de respuesta a incidentes
- Información de contacto del Security Champion
-
Anuncie los canales:
- Publique en el canal principal de la empresa
- Inclúyalos en la próxima reunión general
- Añádalos al proceso de incorporación de nuevos empleados
Parte 2: Cree el primer boletín (1-2 horas)
-
Reúna contenido:
- Encuentre una buena historia de seguridad del último mes
- Liste las mejoras de seguridad que ha realizado
- Identifique a alguien a quien reconocer
- Elija un consejo rápido
-
Escriba el boletín:
- Use la plantilla proporcionada
- Manténgalo en menos de 500 palabras
- Incluya una llamada a la acción clara
- Haga que la línea de asunto sea interesante
-
Envíe y rastree:
- Programe para un horario consistente (p. ej., primer martes del mes)
- Rastree la tasa de apertura
- Note cualquier respuesta o pregunta
Parte 3: Programe la Hora del Security Champion (30 minutos)
-
Elija un horario:
- Revise el calendario para evitar conflictos
- Considere las zonas horarias si el equipo es remoto
- Los jueves por la tarde suelen funcionar bien
-
Configure una reunión recurrente:
- 30-60 minutos
- Semanal o quincenal
- Mismo horario en cada ocurrencia
-
Promuévala:
- Añádala al calendario de la empresa
- Menciónela en el boletín
- Invite a personas específicas inicialmente
- Publique un recordatorio en Slack antes de cada sesión
Artefactos a producir
Después de este taller, debería tener:
- Canales de seguridad en Slack/Teams creados y anunciados
- Descripciones de canales y mensajes fijados
- Primer borrador del boletín listo para enviar
- Plantilla del boletín para los meses siguientes
- Hora del Security Champion en el calendario
- Flujo de trabajo de reporte de phishing documentado
- Al menos un elemento de gamificación planificado
Preguntas de autoevaluación
- ¿Por qué las historias funcionan mejor que las estadísticas para la comunicación de seguridad?
- ¿Cuáles son los tres canales esenciales de Slack para la comunicación de seguridad?
- ¿Con qué frecuencia debe enviar un boletín de seguridad?
- ¿Cuál es la diferencia entre el horario de oficina y las sesiones brown bag?
- ¿Cuándo NO debe usar gamificación o tablas de clasificación?
- ¿Cuáles son las señales de fatiga de seguridad en su equipo?
- ¿Por qué es importante celebrar el buen comportamiento de seguridad?
- ¿Cómo maneja el hecho de que nadie se presente al horario de oficina?
- ¿Qué debería rastrear para saber si su comunicación está funcionando?
- ¿Por qué la comunicación de seguridad debe personalizarse por rol?
Cómo explicar esto al liderazgo
El argumento: "Los controles técnicos no son suficientes — las personas necesitan entender y preocuparse por la seguridad. Quiero establecer canales de comunicación regulares: un boletín mensual, horarios de oficina semanales y una forma de reconocer el buen comportamiento. Esto construye una cultura donde la seguridad es responsabilidad de todos."
Lo que necesita:
- 2-3 horas por semana para actividades de comunicación
- Presupuesto pequeño para reconocimiento ($100-300/trimestre para tarjetas de regalo)
- Espacio en la reunión general de la empresa ocasionalmente
- Participación del liderazgo (reenvíe el boletín, asista al horario de oficina una vez)
El ROI:
- Detección de phishing más rápida (medida en minutos vs. horas)
- Menos incidentes de seguridad por errores de empleados
- Mejores respuestas a cuestionarios de seguridad (impacto en el ciclo de ventas)
- Menores costos de capacitación (aprendizaje comprometido vs. capacitación de cumplimiento)
Métricas a rastrear:
- Tasas de apertura del boletín
- Frecuencia de reportes de phishing
- Asistencia al horario de oficina
- Volumen de preguntas de seguridad en Slack
- Tasas de clics en simulaciones de phishing (deben disminuir)
Conclusión
Las personas no pueden hacer lo correcto si no saben qué es. La comunicación es la mitad del trabajo. La otra mitad es hacer que lo correcto sea lo suficientemente fácil como para que no necesiten que se los recuerden.
Qué sigue
Siguiente: trabajar con incidentes y aprender lecciones — cómo manejar los incidentes cuando ocurren y convertirlos en mejoras duraderas.