Kudo

THP-1 - Capacitación de Ciberseguridad

Control de formación continua en seguridad de la información para todo el personal

Definición de Control

Es necesario implementar un programa de formación continua en ciberseguridad para todos los colaboradores, reconociendo al factor humano como el principal vector de ataque, e impartir capacitación especializada a los roles con mayor responsabilidad o exposición en seguridad. Es necesario realizar simulaciones de phishing con frecuencia programada, aplicar formación correctiva a quienes interactúen con ellas, y medir la efectividad del programa reportando sus resultados al comité de seguridad. Es necesario asegurar que todo el personal conozca y comprenda la política de seguridad de la información y sus responsabilidades, incluyendo aquellas que persisten al finalizar la relación laboral, y contar con un proceso disciplinario formal ante incumplimientos.

Requisitos

Requisito 1

Implementamos un programa de formación continua en ciberseguridad para todos los colaboradores de la organización.

Requisito 2

Completamos los cursos de inducción en ciberseguridad para nuevos colaboradores en un tiempo definido.

Requisito 3

Realizamos capacitación anual de actualización en ciberseguridad para toda la plantilla.

Requisito 4

Impartimos formación especializada a los roles con responsabilidades de seguridad o críticos en seguridad.

Requisito 5

Aplicamos formación correctiva inmediata a los colaboradores que hacen clic o proporcionar credenciales en el phishing simulado.

Requisito 6

Impartimos charlas periódicas sobre amenazas emergentes.

Requisito 7

Identificamos los conocimientos y habilidades que deben tener las personas cuyo trabajo impacta en la seguridad de la información y tomamos acciones para cerrar las brechas de competencia identificadas.

Requisito 8

Nos aseguramos de que todas las personas de la organización conozcan y entiendan la política de seguridad de la información, cómo su trabajo contribuye al funcionamiento del sistema de gestión y qué puede ocurrir si no cumplen los requisitos establecidos.

Requisito 9

Nos aseguramos de que el personal reciba actualizaciones periódicas sobre la política de seguridad de la información y los procedimientos relacionados con su puesto.

Requisito 10

Incluimos en los contratos de trabajo las responsabilidades del personal y de la organización en materia de seguridad de la información.

Requisito 11

Contamos con un proceso disciplinario formal que define las acciones a tomar cuando alguien cause una brecha de seguridad, y lo comunicamos a los empleados y partes interesadas que corresponda.

Requisito 12

Definimos, aseguramos el cumplimiento y comunicamos al personal y partes interesadas las responsabilidades en seguridad de la información que continúan vigentes cuando alguien deja o cambia de puesto en la organización.

Requisito 13

Impartimos a toda la compañía un curso de ciberseguridad con currículo definido que incluya modalidades de cibercrimen frecuente, protección de datos e inteligencia artificial.

Requisito 14

Realizamos simulaciones de phishing internas con una frecuencia programada para evaluar la conciencia de seguridad.

Requisito 15

Analizamos los resultados de las simulaciones para identificar grupos de alto riesgo y adaptar el programa de concienciación.

Requisito 16

Definimos tasas de aprobación mínimas con un porcentaje definido y hacemos seguimiento de completitud por área.

Requisito 17

Reportamos las métricas de efectividad del programa de formación al comité de seguridad.

Requisito 18

Guardamos evidencia documentada que demuestra que el personal cuenta con las competencias necesarias en seguridad de la información.

On this page