Participación de la Dirección y las Gerencias La Dirección debe velar por proveer instrucción y orientación sobre seguridad de la información al personal para lograr una conciencia en relación con los roles y responsabilidades que corresponda. Tanto la Dirección como las Gerencias deben tener una participación activa en las actividades de concientización. Plan de concientización y formación Se deben definir y ejecutar actividades o campañas de concientización y formación en materia de seguridad de la información de forma periódica. Es deseable que se elabore un plan o programa anual que abarque a todo el personal e identifique los distintos grupos estratégicos diferenciado el abordaje según sea conveniente. Este plan o programa debe estar alineado a la política de seguridad de la información definida y contar formalmente con los recursos necesarios para llevarlo a cabo. En el proceso de inducción se debe contemplar el abordaje inicial a la seguridad de la información. Se debe contar con planes de capacitación según roles y estos planes deben estar aprobados por la Dirección. El plan o programa de concientización para abordar la campaña, debe contemplar los actores críticos, objetivos, estrategia, táctica y audiencia y debe contar con indicadores para la medición del éxito de la campaña. Materiales de concientización y formación Los materiales de concientización deben ser completos, y pueden contener ejemplos de la vida diaria basada en los riesgos de ciberseguridad y las buenas prácticas. Además, estos materiales deben ser comprensibles y estar adaptados a la mayoría de los puestos de trabajo. Difusión de políticas Las instancias de concientización y/o capacitación deben difundir las políticas y mecanismos de seguridad de la información que se impulsan en la organización, así como el uso adecuado de los activos a todo el personal y partes interesadas. Herramientas (ejemplos) - Algunas herramientas que podrían utilizarse son:
- Cursos de formación (internos y externos).
- Canales de noticias.
- Bases de conocimiento.
- Herramientas de formación.
- Redes sociales.
- Correo electrónico.
- Herramientas de colaboración.
- Avisos de la industria y fabricantes.
- Avisos CERTuy.
- Charlas informativas.
|