Guía de Implementación del Marco de Ciberseguridad 5.0

GH.2 Concientizar y formar en materia de seguridad de la información a todo el personal

Requisito GH.2Concientizar y formar en materia de seguridad de la información a todo el personal
ObjetivoLograr conciencia de las responsabilidades y buenas prácticas vinculadas a la seguridad de la información de acuerdo con las políticas de seguridad de la información de la organización. 
Controles

Nivel 1

  • GH.2-1: se realizan actividades propias de difusión de información relacionada con seguridad de la información, como la difusión de las políticas y mecanismos de protección.

Nivel 2

  • GH.2-2: se elabora y/o obtiene el material educativo necesario para la realización de las campañas de concientización.
  • GH.2-3: se elaboran campañas de concientización y/o formación para el personal.
  • GH.2-4: se planifica un cronograma para la realización de las campañas.

Nivel 3

  • GH.2-5: las campañas de concientización son aprobadas y se les definen los indicadores de cumplimiento.
  • GH.2-6: se define un plan de capacitación y entrenamiento en seguridad de la información para todo el personal.

Nivel 4

  • GH.2-7: se realizan revisiones periódicas de los indicadores de las campañas para verificar su efectividad.
  • GH.2-8: se evalúa el nivel de conocimiento adquirido por el personal mediante actividades de evaluación periódicas.
  • GH.2-9: las actividades son aprobadas por el CSI y apoyadas por la Dirección.
  • GH.2-10: el plan es revisado y actualizado periódicamente
  • GH.2-11: se realizan acciones de mejora a los planes incorporando lecciones aprendidas.
Guía de implementación

Participación de la Dirección y las Gerencias
La Dirección debe velar por proveer instrucción y orientación sobre seguridad de la información al personal para lograr una conciencia en relación con los roles y responsabilidades que corresponda. Tanto la Dirección como las Gerencias deben tener una participación activa en las actividades de concientización.

Plan de concientización y formación
Se deben definir y ejecutar actividades o campañas de concientización y formación en materia de seguridad de la información de forma periódica. 
Es deseable que se elabore un plan o programa anual que abarque a todo el personal e identifique los distintos grupos estratégicos diferenciado el abordaje según sea conveniente. Este plan o programa debe estar alineado a la política de seguridad de la información definida y contar formalmente con los recursos necesarios para llevarlo a cabo. 
En el proceso de inducción se debe contemplar el abordaje inicial a la seguridad de la información.
Se debe contar con planes de capacitación según roles y estos planes deben estar aprobados por la Dirección. El plan o programa de concientización para abordar la campaña, debe contemplar los actores críticos, objetivos, estrategia, táctica y audiencia y debe contar con indicadores para la medición del éxito de la campaña.

Materiales de concientización y formación
Los materiales de concientización deben ser completos, y pueden contener ejemplos de la vida diaria basada en los riesgos de ciberseguridad y las buenas prácticas. Además, estos materiales deben ser comprensibles y estar adaptados a la mayoría de los puestos de trabajo.

Difusión de políticas
Las instancias de concientización y/o capacitación deben difundir las políticas y mecanismos de seguridad de la información que se impulsan en la organización, así como el uso adecuado de los activos a todo el personal y partes interesadas.

Herramientas (ejemplos)

  • Algunas herramientas que podrían utilizarse son:
  • Cursos de formación (internos y externos).
  • Canales de noticias.
  • Bases de conocimiento.
  • Herramientas de formación.
  • Redes sociales.
  • Correo electrónico.
  • Herramientas de colaboración.
  • Avisos de la industria y fabricantes.
  • Avisos CERTuy.
  • Charlas informativas.
Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Documentación que evidencie la ejecución del programa de concientización: realización de charlas, capacitaciones, divulgación, actividades de concientización, calificaciones obtenidas por los participantes, entre otros, que se hayan realizado en el período auditado.
  • Programa anual de concientización en seguridad de la información.
  • Material de sensibilización y capacitación.
  • Correos electrónicos, carteles, artículos.
  • Registros de capacitaciones ante la eventualidad de entrevistas aleatorias para evaluar el conocimiento sobre la política.
  • Acta de aprobación del programa o campañas por el CSI y/o la Dirección.
  • Cronograma documentado de campañas de concientización.
  • Indicadores y métricas para medir la efectividad de las campañas.
  • Plan de concientización y capacitación segmentado por perfiles estratégicos.
  • Historial de revisión y mejora del plan de concientización.
  • Evidencia de participación activa de la Dirección en campañas.
  • Resultados de evaluaciones de conocimiento (pruebas, encuestas, cuestionarios).
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay