Propuesta de diseño de implementación de un programa de concientización anual para una empresa financiera

Abstract

En el contexto de un sector financiero digitalizado y altamente expuesto a ciber amenazas, la seguridad de la información se convierte en un pilar estratégico. En Financial corredores se detectó que el factor humano era el eslabón más débil: el proceso de concientización existente se limitaba a charlas ocasionales sin métricas, ni roles definidos, ni sponsor directivo, lo que mantenía una madurez insuficiente de ciberseguridad Ante esta brecha, el proyecto de título planteó como objetivo general diseñar un programa anual de concientización que habilitara a los colaboradores para identificar, prevenir y reportar amenazas, fortaleciendo la cultura de seguridad corporativa. Se derivaron objetivos específicos orientados a diagnosticar el nivel de conciencia, seleccionar buenas prácticas, elaborar un plan medible y dimensionar los recursos necesarios para su sostenibilidad La metodología utilizada aplicó un diagrama de Ishikawa que agrupó seis causas raíz y reveló quince riesgos prioritarios; luego se jerarquizaron mediante una matriz de criticidad; finalmente se generó una propuesta siguiendo el ciclo PDCA, integrando estándares ISO 27001/27002 y NIST para garantizar alineación con las mejores prácticas internacionales. Este enfoque permitió transformar un diagnóstico descriptivo en un plan de mejora continua sustentado en evidencia. La solución resultante define un marco de gobernanza con sponsor del directorio y del Comité de Riesgo, roles claramente asignados y reportes periódicos. El programa aprovecha los recursos internos para impartir capacitaciones, infografías y simulaciones de phishing mediante la herramienta de código abierto GoPhish. Se establecen KPI asegurando un seguimiento cuantificable del comportamiento humano y la efectividad pedagógica. Desde la perspectiva económica, la propuesta reutiliza infraestructura existente, por lo que los costos de capital, fijos y variables se estiman en $0 CLP. El desembolso se concentra en capital humano —principalmente horas hombre— ascendiendo a $47.936.064 CLP para el primer año. Si bien no genera flujo de caja positivo, el análisis costo-beneficio demuestra que la mitigación de incidentes, multas y daños reputacionales justifica ampliamente la inversión. Entre los beneficios proyectados destacan la reducción de los quince riesgos iniciales a niveles bajos o medios, la consolidación de una cultura organizacional orientada a la seguridad, el refuerzo del cumplimiento normativo y la mejora de la preparación ante auditorías internas y externas. En conclusión, la tesis acredita la viabilidad técnica, económica y operativa de un programa anual de concientización diseñado con enfoque de mejora continua y sustentado en estándares internacionales. El modelo propuesto no solo cumple los objetivos planteados, sino que ofrece un marco replicable para organizaciones con desafíos similares, posicionando la concientización como pilar estratégico para una postura de ciberseguridad resiliente

This project presents the design proposal for the implementation of an annual information security and cybersecurity awareness program in a financial company with more than 400 employees. The initiative aims to strengthen the organization’s security posture by addressing one of its most vulnerable components: the human factor. The proposed program leverages the company’s internal communication channels to deliver a variety of educational strategies, including dynamic training sessions, infographics, practical exercises, and feedback activities. It seeks to enable employees to identify, prevent, and report cyber threats effectively, thereby reducing the likelihood of incidents caused by human error. To support the program’s design, a detailed analysis of the current situation was conducted to identify existing awareness gaps and assess the organization's risk exposure. International best practices and standards were reviewed and adapted to fit the company’s specific context. Furthermore, this project includes an economic feasibility analysis through a cost effectiveness study to ensure that the implementation of the awareness program is both sustainable and aligned with the company’s strategic objectives.