Objetivo | Concientizar y capacitar al personal que desempeña funciones especializadas en materia de seguridad de la información, promoviendo el conocimiento de sus responsabilidades y buenas prácticas conforme a las políticas de seguridad de la información de la organización. |
Controles | Nivel 1 - GH.3-1: los usuarios privilegiados demuestran conocimiento respecto a la importancia de sus roles y responsabilidades.
- GH.3-2: el personal de seguridad de la información demuestra concientización respecto a la importancia de sus roles y responsabilidades.
- GH.3-3: están definidos los roles y responsabilidades de los interesados externos.
Nivel 2 - GH.3-4: se realizan actividades de concientización específicas para usuarios privilegiados con cierta periodicidad.
- GH.3-5: se realizan con cierta periodicidad actividades de concientización para el personal de seguridad de la información.
- GH.3-6: se realizan actividades de concientización para interesados externos.
- GH.3-7: la alta gerencia participa de las actividades de concientización.
Nivel 3 - GH.3-8: los usuarios privilegiados son capacitados a través de cursos o talleres relevantes adicionales.
- GH.3-9: el personal de seguridad de la información es capacitado a través de cursos o talleres relevantes adicionales.
- GH.3-10: se realizan acciones para asegurar que los interesados externos comprendan sus roles y responsabilidades en materia de seguridad de la información.
Nivel 4 - GH.3-11: el plan de capacitación y entrenamiento en seguridad de la información tiene en cuenta los perfiles e intereses de grupos considerados estratégicos.
|
Guía de implementación | Se debe considerar todo lo descripto para el requisito GH.2, considerando que el plan de capacitación y entrenamiento en seguridad de la información debe tener en cuenta los perfiles e intereses de grupos considerados estratégicos. |
Instituciones de salud | No aplica |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría | - Considerar las evidencias de GH.2, pero validando que estén diferenciadas por perfil (ej.: usuarios privilegiados, personal de seguridad física y de SI).
|
Normativa asociada | No aplica |