La falta de atención o de definición de las responsabilidades asociada a la seguridad de la información impide la aplicación efectiva y eficaz de las medidas de seguridad en todos los puestos de trabajo aumentando el nivel de vulnerabilidad de la organización drásticamente.

La falta de un adecuado nivel de concientización, educación y capacitación a todos los usuarios empleados, contratistas y terceras personas en procedimientos de seguridad y en el uso correcto de los medios disponibles para el procesamiento de la información aumenta la cantidad, frecuencia e impacto de los posibles riesgos de seguridad.

La falta de mantenimiento de las responsabilidades con respecto a la protección de la información fuera de las horas de trabajo o de las instalaciones corporativas permite el acceso a terceros a sus activos y/o información corporativa más fácilmente (p.ej. acceso a conversaciones confidenciales en ubicaciones públicas, visibilidad por encima del hombro de pantallas de computadoras portátiles o teléfonos inteligentes) .

La falta de métricas o revisiones frecuentes en el grado de implantación de los programas de concienciación y observancia de las medidas de seguridad de la información evita conocer el grado de madurez del personal y el modo de mejorar el nivel para una protección real y eficaz.

Una falta de control en la gestión actualizada de las competencias y concientización de los empleados manteniendo situaciones de mal entrenamiento, descontento, negligencia o deshonestidad de manera intencionada o inadvertida puede acarrear consecuencias, entre otras posibles, como:

• Exposición física del personal de la organización y/o chantajes 
• Recolección de información de la organización para diversos propósitos
• Uso abusivo de los medios técnicos de la organización para diversos propósitos 
• Fraude, robo
• Sobornos por acceso a información sensible/confidencial
• Introducción de datos falsificados y/o corruptos
• Intercepción de las comunicaciones de la empresa (redes, plataformas o sistemas)
• Código malicioso (por ejemplo, virus, bomba lógica,
Caballo de Troya)
• Acceso y venta de información personal de usuarios y clientes
• Errores, sabotajes y/o intrusión y accesos en el sistema

7.2.1 Responsabilidades de gestión: La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos.

7.2.2 Concienciación, educación y capacitación en SI: Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.

7.2.3 Proceso disciplinario: Debería existir un proceso formal disciplinario comunicado a empleados que produzcan brechas en la seguridad.

Respuesta a las actividades de concienciación en seguridad medidas por (por ejemplo) el número de e-mails y llamadas relativas a iniciativas de concienciación individuales.

AGPD: En esta página la Agencia Española de Protección de Datos pone a disposición de los ciudadanos información, consejos así como recursos y materiales para fomentar un uso seguro de Internet.

CCN: CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Dispone de cursos online públicos de formación en análisis de riesgos y Esquema Nacional de Seguridad, además de convocatorias de cursos presenciales y privados.

derechoycambiosocial.com: Análisis de la sentencia STS 1323/2011 del Tribunal Supremo español.

ENISA: ENISA ha producido material útil (clips de vídeo, ilustraciones, posters, salvapantallas) que hará que los empleados sean conscientes de los riesgos de seguridad de la información y recordarles las buenas prácticas. El material de ENISA están disponibles en distintos idiomas incluido el español para ser descargados y usados en cualquier programa de formación de seguridad de la información y en la actividad de sensibilización desde la web de la empresa.

ENISA: Material de capacitación para PYMES que puede ser utilizada por individuos o presentado en una sala de formación por los instructores que participan en el esfuerzo de su organización en temas de seguridad. Las guías de referencia de "formación de formadores" proporcionan información adicional y referencias externas para formadores y presentadores para utilizar durante el entrenamiento en concienciación de seguridad.

INCIBE: Cursos en seguridad de la información.

INCIBE: Guías en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.

INFORMATION SECURITY ENCYCLOPEDIA: Cada vídeo presenta una lección sobre un tema de seguridad. Unos tienen un enfoque generalista e introductorio y otros más específicos, incluso con cierto nivel de dificultad y en ese caso orientado a técnicos y especialistas. Al final de cada lección encontrarás un conjunto de preguntas que te servirán de autoevaluación.

ISO27001Security: Caso genérico de concienciación sobre el valor de negocio de ISO 27001.

ISQ: Formación en inglés sobre en qué consiste y cómo informar de Incidentes de seguridad. Sirve como modelo de formación útil a implantar internamente por una organización. IQS dispone de material diverso de demostración y tambien para su adquisición y traducción al español.

Kirkpatrick: El Modelo Kirkpatrick es una metodología ampliamente extendida de evaluación de la eficacia de acciones de formación. Previo registro, en este sitio se tiene acceso gratuito a información y herramientas sobre el modelo. El libro oficial es de pago (también traducido al español).

LAMP Security: LAMPSecurity training está diseñado mediante una serie de imágenes de máquinas virtuales vulnerables junto con la documentación complementaria diseñada para enseñar seguridad en linux, apache, php, mysql.

Management Games and Simulations: Lista recopilatoria de diversos juegos de simulación en gestión de servicios TI, continuidad de negocio, gestión del riesgo, entre otros y para la formación en diferentes aspectos como toma de conciencia, organización del personal y roles a desempeñar en los diferentes casos.

MindfulSecurity.com: Portal en inglés con recursos, enlaces e ideas sobre concienciación en seguridad de la información.

NIST: SP800-50: Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.

NIST: SP800-16: Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompañado de 2 anexos: AppendixA-D y Appendix_E.

NOTICEBORED: Conjunto de herramientas y servicios de concienciación. En general, no gratuitas, aunque algunos elementos sí son de libre acceso.

SMARTFENSE: Plataforma de Concienciación y Entrenamiento en Seguridad de la Información creada y orientada específicamente para público de habla Hispana con información y una serie de herramientas gratuitas sin publicidad relacionadas con la Ingeniería Social.

Tribunal Supremo: Jurisprudencia del Tribunal Supremo español relativa al despido de trabajadores por uso inapropiado de medios informáticos. Hacer clic en el enlace e introducir en el campo "Texto a buscar": 28079140012011100178 para la sentencia STS 1323/2011 y 28079140012007101065 para la sentencia STS 6128/2007.

Wikipedia: Enlaces a distintas plataformas de aprendizaje en línea (LMS: software instalado en un servidor, que se emplea para administrar, distribuir y controlar las actividades de formación no presencial o e-Learning de una institución u organización).

Capacity - IT Academy: Empresa que desarrolla Cursos Especializados, Presenciales, En Videos y a Distancia (online), de preparación para aprobar exitosamente certificaciones de la industria IT.  Formación online en abierto sobre frameworks y productos específicos como  ITIL®, CCNA®, CCNA® Voice, CCNA® Security, Asterisk, Linux, JAVA, PHP, Windows...

Curso MOOC de Ciberseguridad URJC:  Lista completa con los 44 videos explicativos en las diversas materias de las que consta el curso. Es práctico y requiere de ciertos conocimientos en materias técnicas aunque no en Ciberseguridad.

SEToolkit: La ingeniería social es el arte de hackear humanos. En otras palabras, es un conjunto de técnicas (técnicas y no técnicas) que se utilizan para obtener información útil y sensible de otros que utilizan la manipulación psicológica. Una de las herramientas de ingeniería social más poderosas en Social Engineering Toolkit o simplemente SETkit. Fue desarrollado y mantenido por Trustedsec para ayudar a los evaluadores de penetración y piratas informáticos éticos a realizar ataques de ingeniería social.

KnowBe4: Capacitación interactiva y atractiva a pedido a través del navegador combinado con ataques de ingeniería social simulados ilimitados a través de correo electrónico, teléfono y texto.

Áudea ES-CIBER, solución integral de Concienciación en Ciberseguridad, riesgos, privacidad, cumplimiento normativo.

VANESA: Herramienta del CCN-CERT para facilitar la tarea de formación y sensibilización con toda su comunidad de referencia. A través de esta plataforma de retransmisión de vídeo en directo, se pretende reducir los desplazamientos, tanto en los cursos de formación, como en las reuniones de seguimiento de cualquier proyecto.

Hack the Box: Laboratorio de Pen testing gratuito para aprender y mejorar.

GetGoPhish: Marco Open Source para introducir campañas de Phising y verificar el nivel de establecimiento  de las políticas de seguridad en todos los empleados.

Stay Safe Online: Recopilación de enlaces a formación en Ciberseguridad y resursos profesionales.