Guía de Auditoria del Marco de Ciberseguridad 5.0

Gestión humana 

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección. 

Requisito GH.1 - Establecer acuerdos contractuales con el personal donde figuren sus responsabilidades y las de la organización respecto a la seguridad de la información.  

  1. Contratos laborales, estatutos, convenios colectivos o normativa interna donde figuren cláusulas específicas vinculadas a obligaciones del personal respecto a la seguridad de la información. 

  1. Manuales de funciones, descripciones de cargo, anexos contractuales, guías de inducción o políticas específicas que asignen responsabilidades de seguridad al personal según su rol.  

  1. Formularios de acuse de recibo, registros de inducción, plataformas de inducción o lista de verificación de ingreso donde conste que el nuevo personal fue informado sobre sus responsabilidades en seguridad de la información.  

  1. Procedimiento formal que contemple los pasos a seguir ante la desvinculación, incluyendo baja de accesos, recuperación de activos y lista de verificación de salida. 

  1. Reglamento interno, instructivo de sanciones o resolución que defina las consecuencias ante incumplimientos de políticas de seguridad 

  1. Versionado de contratos, registros de revisión de estatutos o cláusulas tipo, con fecha, responsables y resultados de los ajustes realizados. 

  1. Versiones comparadas de contratos, cláusulas de seguridad, manuales de ingreso o procedimientos de desvinculación, junto con registros de revisión que incluyan fecha, responsables y observaciones, como tickets de actualización o informes del área de gestión humana, legal o seguridad de la información. 

  1. Planillas, informes, tickets o reportes donde se lleve un seguimiento de incumplimientos contractuales vinculados a la seguridad de la información. 

 

Requisito GH.2 - Concientizar y formar en materia de seguridad de la información a todo el personal.  

  1. Correos institucionales, publicaciones en intranet, cartelería, boletines o presentaciones utilizadas para comunicar políticas de seguridad, buenas prácticas o mecanismos de protección al personal. 

  1. Presentaciones, infografías, videos, manuales, trivias, simulacros de phishing u otros recursos utilizados o adquiridos para campañas de concientización. 

  1. Cronogramas, briefings, guías de implementación o kits de comunicación donde conste la planificación y diseño de campañas internas de sensibilización. 

  1. Calendario de actividades aprobado, plan anual o plan semestral que defina fechas, temas, responsables y canales para ejecutar las campañas de concientización. 

  1. Documentación que evidencie la ejecución del programa de concientización: realización de charlas, capacitaciones, divulgación, actividades de concientización, calificaciones obtenidas por los participantes, entre otros, que se hayan realizado en el período auditado.   

  1. Actas del CSI o de dirección, presentaciones institucionales, correos de validación o registros de seguimiento donde conste la aprobación formal de las campañas, con sus indicadores definidos. 

  1. Planes de formación en seguridad, cronogramas difundidos por correo institucional, publicaciones en la intranet o wiki interna, registros cargados en plataformas o presentaciones internas utilizadas para comunicar la planificación de concientización y capacitación relacionada a seguridad de la información. 

  1. Resultados de tests, encuestas, actividades de retroalimentación o simulaciones aplicadas al personal luego de cada campaña o instancia formativa. 

  1. Actas, correos formales o presentaciones donde se registre que el plan o campañas fueron validadas por el CSI y respaldadas explícitamente por instancias directivas. 

  1. Versiones sucesivas del plan de capacitación, informes de actualización, tickets de ajuste, presentaciones internas o actas donde se registre la revisión y modificación del plan de concientización y capacitación en seguridad de la información. 

Requisito GH.3 - Concientizar y formar en materia de seguridad de la información al personal que desempeña funciones especializadas. 
  1. Resultados de entrevistas, evaluaciones, formularios de validación, encuestas internas o actividades de retroalimentación donde se evidencie que los usuarios privilegiados comprenden la importancia de sus responsabilidades.
  2. Encuestas respondidas, evaluaciones de conocimiento, entrevistas o simulacros donde se refleje el nivel de concientización del personal de seguridad sobre su rol en la seguridad de la organización.
  3. Contratos, acuerdos de nivel de servicio, cláusulas de seguridad, instructivos operativos o anexos donde se establezcan las responsabilidades en materia de seguridad de terceros o proveedores.
  4. Cronogramas de concientización para usuarios privilegiados, materiales utilizados en las campañas diferenciadas, registros de asistencia o presentaciones enfocadas en riesgos y buenas prácticas para usuarios privilegiados.
  5. Registros de sesiones de capacitación, calendarios de actividades internas, presentaciones específicas o reportes de campañas dirigidas al personal de seguridad física y al equipo de seguridad de la información.
  6. Boletines informativos, material explicativo, actividades de inducción o presentaciones entregadas a terceros para comunicar roles y obligaciones en seguridad.
  7. Registros de asistencia, capturas de pantalla, presentaciones lideradas por gerencia o menciones formales en comunicados donde se refleje la participación activa de la gerencia en iniciativas de concientización.
  8. Registros de inscripción o finalización de cursos, certificados, agenda de talleres o correos de invitación a capacitaciones específicas orientadas a perfiles con privilegios elevados.
  9. Certificados de formación, registros de participación, agendas de eventos, o materiales entregados en cursos avanzados destinados a personal de seguridad física o de la información.
  10. Registros de sesiones de inducción, instructivos firmados, encuestas de comprensión, validación de conocimiento o lista de verificación de capacitación para terceros que acceden o manejan información sensible de la organización.
  11. Planes de formación segmentados por perfil, cronogramas diferenciados, fichas de planificación o reportes que evidencien el diseño de actividades considerando intereses y riesgos específicos de grupos clave como tecnología, gestión humana o usuarios con acceso privilegiado, entre otros.

 

Etiquetas