Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Participación de la Dirección y las Gerencias

La Dirección debe velar por proveer instrucción y orientación sobre seguridad de la información al personal para lograr una conciencia en relación con los roles y responsabilidades que corresponda. Tanto la Dirección como las Gerencias deberían tener una participación activa en las actividades de concientización.

Plan de concientización y formación

Se deben definir y ejecutar actividades o campañas de concientización y formación en materia de seguridad de la información de forma periódica. Es deseable que se elabore un plan o programa anual que abarque a todo el personal e identifique los distintos grupos estratégicos diferenciado el abordaje según sea conveniente.

Este plan o programa debe estar alineado a la política de seguridad de la información definida y contar formalmente con los recursos necesarios para llevarlo a cabo. En el proceso de inducción se debe contemplar el abordaje inicial a la seguridad de la información. Se debe contar con planes de capacitación según roles y estos planes deben estar aprobados por la Dirección.

El plan o programa de concientización para abordar la campaña, debe contemplar los actores críticos, objetivos, estrategia, táctica y audiencia y debe contar con indicadores para la medición del éxito de la campaña. 

Materiales de concientización y formación

Los materiales de concientización deben ser completos, y pueden contener ejemplos de la vida diaria basada en los riesgos de ciberseguridad y las buenas prácticas.

Además, estos materiales deben ser comprensibles y estar adaptados a la mayoría de los puestos de trabajo. 

Formación de acuerdo al rol

El personal requiere una formación general y orientada al rol desempeñado. El personal de Seguridad de la Información y/o de Tecnología de la Información, así como el personal de Seguridad Física deben ser capacitados periódicamente.

Se debe enfatizar la concientización y capacitación de los usuarios privilegiados. 

Difusión de políticas

Las instancias de concientización y/o capacitación deben difundir las políticas y mecanismos de seguridad de la información que se impulsan en la organización, así como el uso adecuado de los activos a todo el personal y partes interesadas. 

Herramientas (ejemplos)

Algunas herramientas que podrían utilizarse son:

• Cursos de formación (internos y externos). 
• Canales de noticias. 
• Bases de conocimiento.
• Herramientas de formación.
• Redes sociales. 
• Correo electrónico. 
• Herramientas de colaboración.
• Avisos de la industria y fabricantes. 
• Avisos CERTuy.
• Charlas informativas.

• Documentación que evidencie la ejecución del programa de concientización: realización de charlas, capacitaciones, divulgación, actividades de concientización, calificaciones obtenidas por los participantes, entre otros, que se hayan realizado en el período auditado. 
• Programa anual de concientización en seguridad de la información.
• Material de sensibilización y capacitación.
• Correos electrónicos, carteles, artículos.
• Registros de capacitaciones ante la eventualidad de entrevistas aleatorias para evaluar el conocimiento sobre la política.

Decreto 452/009