Guía de Implementación del Marco de Ciberseguridad 5.0

GH.3 Concientizar y formar en materia de seguridad de la información al personal que desempeñan funciones especializadas

Requisito GH.3Concientizar y formar en materia de seguridad de la información al personal que desempeñan funciones especializadas
ObjetivoConcientizar y capacitar al personal que desempeña funciones especializadas en materia de seguridad de la información, promoviendo el conocimiento de sus responsabilidades y buenas prácticas conforme a las políticas de seguridad de la información de la organización.
Controles

Nivel 1

  • GH.3-1: los usuarios privilegiados demuestran conocimiento respecto a la importancia de sus roles y responsabilidades.
  • GH.3-2: el personal de seguridad de la información demuestra concientización respecto a la importancia de sus roles y responsabilidades.
  • GH.3-3: están definidos los roles y responsabilidades de los interesados externos.

Nivel 2

  • GH.3-4: se realizan actividades de concientización específicas para usuarios privilegiados con cierta periodicidad.
     
  • GH.3-5: se realizan con cierta periodicidad actividades de concientización para el personal de seguridad de la información.
     
  • GH.3-6: se realizan actividades de concientización para interesados externos.
     
  • GH.3-7: la alta gerencia participa de las actividades de concientización.
     

Nivel 3

  • GH.3-8: los usuarios privilegiados son capacitados a través de cursos o talleres relevantes adicionales.
     
  • GH.3-9: el personal de seguridad de la información es capacitado a través de cursos o talleres relevantes adicionales.
     
  • GH.3-10: se realizan acciones para asegurar que los interesados externos comprendan sus roles y responsabilidades en materia de seguridad de la información.
     

Nivel 4

  • GH.3-11: el plan de capacitación y entrenamiento en seguridad de la información tiene en cuenta los perfiles e intereses de grupos considerados estratégicos.
Guía de implementaciónSe debe considerar todo lo descripto para el requisito GH.2, considerando que el plan de capacitación y entrenamiento en seguridad de la información debe tener en cuenta los perfiles e intereses de grupos considerados estratégicos.
Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Considerar las evidencias de GH.2, pero validando que estén diferenciadas por perfil (ej.: usuarios privilegiados, personal de seguridad física y de SI).
Normativa asociadaNo aplica

Etiquetas