Cómo formar al personal en ciberseguridad sin aburrirlo 

La ciberseguridad puede parecer algo propio de los departamentos de informática y las empresas de software, pero es igual de importante en la práctica general. De hecho, con el aumento del acceso digital, los sistemas basados en la nube y las amenazas de phishing, el personal suele ser la primera línea de defensa, o el primer punto de fallo. Sin embargo, una de las quejas más frecuentes del personal del SNS es que la formación cibernética es demasiado técnica, aburrida o alejada de las funciones cotidianas. Si su módulo anual de GI parece una tarea de marcar casillas, es hora de replantearse la forma de transmitir el mensaje. Esta guía ofrece formas prácticas de involucrar a su equipo en una formación en ciberseguridad significativa y relevante, sin que se duerman. 

Por qué es importante la ciberseguridad en la atención primaria 

Un solo clic en un enlace de correo electrónico malicioso puede dejar al descubierto miles de historiales de pacientes. Una contraseña débil o un dispositivo mal utilizado pueden dejar fuera de servicio sus sistemas clínicos durante días. En los últimos años, los consultorios se han enfrentado a: 

• Ataques de ransomware contra los sistemas clínicos de los médicos de cabecera.

• Correos electrónicos de phishing haciéndose pasar por proveedores del NHS. 

• Personal que utiliza cuentas de correo electrónico personales para tareas relacionadas con el trabajo. 

• Pérdida de portátiles o teléfonos sin encriptar. 

• Solicitudes fraudulentas de datos de pacientes. 

Ninguno de ellos es infrecuente y todos pueden prevenirse, si el personal es consciente de los riesgos y sabe qué hacer. La ciberseguridad no es solo un problema informático, sino de seguridad del paciente. 

Por qué fracasa a menudo la formación tradicional 

La mayor parte de la formación en GI o cibernética fracasa por una de estas tres razones: 

1. Es demasiado abstracta- La formación habla de conceptos como "activos de datos" o "actores de amenazas" sin mostrar relevancia en el mundo real. 

2. No es específico de cada función: un recepcionista, un enfermero y un médico de cabecera se enfrentan a riesgos diferentes, pero la formación suele ser de talla única. 

3. Es pasivo: ver un vídeo de 30 minutos o hacer clic en una presentación de diapositivas no impulsa el cambio de comportamiento. 

El personal necesita una formación que hable su idioma, se relacione con su trabajo diario y despierte suficiente interés para que el mensaje cale. 

Cinco maneras de hacer más eficaz (y menos aburrida) la ciberformación 

1.Empezar con historias reales de la atención sanitaria 

Nada llama más la atención que algo que ha ocurrido de verdad. Comience su próxima actualización cibernética compartiendo un incidente del mundo real: 

• Una recepcionista de otra consulta que hizo clic en una factura falsa. 

• Un CCG local que tuvo que cerrar sistemas tras un ciberataque. 

• Un portátil GP robado de un coche, posteriormente rastreado hasta la dark web. 

Hágalo específico, humano y relevante para su equipo. 

2.Utilizar sesiones informativas de equipo breves y nítidas 

No todos los momentos de formación tienen por qué ser una sesión formal. Utiliza tus reuniones semanales o mensuales para transmitir lecciones clave: 

• "Consejo de la semana: cómo detectar un correo de phishing". 

• "Repaso rápido: qué hacer si pierdes el teléfono del trabajo". 

• "¿Sabías que? NHSmail tiene un filtro antispam incorporado: aquí te explicamos cómo informar de algo sospechoso". 

La formación en trozos pequeños impartida con regularidad es más eficaz que una sola sesión larga. 

3.Adaptar los ejemplos a cada función 

Las recepcionistas pueden ser objeto de falsas solicitudes de cita. Los médicos pueden correr peligro al acceder a sus historiales a distancia. Al personal administrativo se le puede pedir que procese solicitudes de datos inusuales. Asegúrese de que su formación refleja las decisiones cibernéticas reales que debe tomar cada función. Considere la posibilidad de elaborar breves folletos o escenarios específicos para cada función. 

4.Realización de simulaciones de mesa o simulacros de "qué pasaría si 

La gente recuerda lo que experimenta. Intenta hacer una simulación corta: 

• "¿Qué harías si recibieras este correo sospechoso?".

• "Imaginemos que tu ordenador no arranca: ¿qué es lo primero que haces?".

• "Te llaman para pedirte los datos de un paciente: ¿qué preguntas debes hacer?".

Que sea ligero pero significativo. Fomente el debate y las preguntas. 

5.Celebrar las buenas prácticas y dar retroalimentación 

Si un miembro del equipo detecta y notifica un correo electrónico sospechoso, elógielo. Si alguien hace una buena pregunta sobre seguridad, comparta la respuesta con todo el equipo. Reforzar los comportamientos positivos crea una cultura en la que se valora la conciencia cibernética, no se le teme. 

Recursos de ayuda 

Considera su uso: 

• Campaña "Keep IT Confidential" de NHSDigital: carteles, salvapantallas y mensajes gratuitos diseñados para el personal de atención primaria. 

• NHS England's cyber security awareness toolkit- Incluye plantillas personalizables y estudios de casos reales. 

• Equipos locales de formación del ICB o del CSU: pueden ofrecer formación breve presencial o virtual adaptada a la práctica general. 

Última palabra: no se trata de perfección, sino de concienciación. 

No es necesario que todos los empleados se conviertan en expertos en ciberseguridad. Pero sí necesita que se preocupen, que estén alerta y que sepan qué hacer cuando algo parece ir mal. Al incorporar la formación en ciberseguridad a las conversaciones cotidianas, basarla en ejemplos del mundo real y hacerla relevante para el trabajo de las personas, creará una práctica más resistente, más consciente y mejor protegida, sin necesidad de volver a sentarse ante otra aburrida presentación de diapositivas.