Guía de Auditoria del Marco de Ciberseguridad 5.0

Gestión humana 

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección. 

Requisito GH.1 - Establecer acuerdos contractuales con el personal donde figuren sus responsabilidades y las de la organización respecto a la seguridad de la información.  

  1. Contratos laborales, estatutos, convenios colectivos o normativa interna donde figuren cláusulas específicas vinculadas a obligaciones del personal respecto a la seguridad de la información. 

  1. Manuales de funciones, descripciones de cargo, anexos contractuales, guías de inducción o políticas específicas que asignen responsabilidades de seguridad al personal según su rol.  

  1. Formularios de acuse de recibo, registros de inducción, plataformas de inducción o lista de verificación de ingreso donde conste que el nuevo personal fue informado sobre sus responsabilidades en seguridad de la información.  

  1. Procedimiento formal que contemple los pasos a seguir ante la desvinculación, incluyendo baja de accesos, recuperación de activos y lista de verificación de salida. 

  1. Reglamento interno, instructivo de sanciones o resolución que defina las consecuencias ante incumplimientos de políticas de seguridad 

  1. Versionado de contratos, registros de revisión de estatutos o cláusulas tipo, con fecha, responsables y resultados de los ajustes realizados. 

  1. Versiones comparadas de contratos, cláusulas de seguridad, manuales de ingreso o procedimientos de desvinculación, junto con registros de revisión que incluyan fecha, responsables y observaciones, como tickets de actualización o informes del área de gestión humana, legal o seguridad de la información. 

  1. Planillas, informes, tickets o reportes donde se lleve un seguimiento de incumplimientos contractuales vinculados a la seguridad de la información. 

 

Requisito GH.2 - Concientizar y formar en materia de seguridad de la información a todo el personal.  

  1. Correos institucionales, publicaciones en intranet, cartelería, boletines o presentaciones utilizadas para comunicar políticas de seguridad, buenas prácticas o mecanismos de protección al personal. 

  1. Presentaciones, infografías, videos, manuales, trivias, simulacros de phishing u otros recursos utilizados o adquiridos para campañas de concientización. 

  1. Cronogramas, briefings, guías de implementación o kits de comunicación donde conste la planificación y diseño de campañas internas de sensibilización. 

  1. Calendario de actividades aprobado, plan anual o plan semestral que defina fechas, temas, responsables y canales para ejecutar las campañas de concientización. 

  1. Documentación que evidencie la ejecución del programa de concientización: realización de charlas, capacitaciones, divulgación, actividades de concientización, calificaciones obtenidas por los participantes, entre otros, que se hayan realizado en el período auditado.   

  1. Actas del CSI o de dirección, presentaciones institucionales, correos de validación o registros de seguimiento donde conste la aprobación formal de las campañas, con sus indicadores definidos. 

  1. Planes de formación en seguridad, cronogramas difundidos por correo institucional, publicaciones en la intranet o wiki interna, registros cargados en plataformas o presentaciones internas utilizadas para comunicar la planificación de concientización y capacitación relacionada a seguridad de la información. 

  1. Resultados de tests, encuestas, actividades de retroalimentación o simulaciones aplicadas al personal luego de cada campaña o instancia formativa. 

  1. Actas, correos formales o presentaciones donde se registre que el plan o campañas fueron validadas por el CSI y respaldadas explícitamente por instancias directivas. 

  1. Versiones sucesivas del plan de capacitación, informes de actualización, tickets de ajuste, presentaciones internas o actas donde se registre la revisión y modificación del plan de concientización y capacitación en seguridad de la información. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay