Concientización y formación (PR.CF)
El personal de la organización y socios de negocios, reciben entrenamiento y concientización sobre seguridad de la información. Están adecuadamente entrenados para cumplir con sus obligaciones referentes a la seguridad de la información en alineación con las políticas, procedimientos y acuerdos existentes.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
PR.CF-1. Todos los usuarios se encuentran entrenados e informados. | Se comienza a trabajar en actividades propias de difusión de información relacionada con seguridad de la información, incluyendo la difusión de las políticas y mecanismos de protección.
| Se trabaja en la elaboración de campañas de concientización para el personal. Se cuenta formalmente con los recursos para llevarla adelante.
| Las campañas de concientización son aprobadas y se determina cómo se medirá su éxito. Se planifica un cronograma para la realización de las campañas. Se definen actores críticos, objetivos, estrategias, tácticas y audiencia. Se elabora el material educativo necesario. | Se realizan actividades de control interno para verificar el desarrollo de las campañas. Se evalúa el nivel de conocimiento adquirido por el personal mediante actividades de evaluación periódicas. Estas actividades son aprobadas por el CSI y apoyadas por la Dirección. |
PR.CF-2. Los usuarios privilegiados comprenden sus roles y responsabilidades. | Los usuarios privilegiados demuestran conocimiento respecto a la importancia de sus roles y responsabilidades. | Se realizan actividades de concientización para usuarios privilegiados con cierta periodicidad. | Los usuarios privilegiados son capacitados a través de cursos o talleres relevantes. | Se define un plan de capacitación y entrenamiento en seguridad de la información teniendo en cuenta los perfiles e intereses de grupos considerados estratégicos. El plan está aprobado por la Dirección que se compromete con su aplicación. El plan es revisado y actualizado periódicamente y se realizan acciones de mejora incorporando lecciones aprendidas. |
PR.CF-3. Interesados externos (proveedores, clientes, socios) comprenden sus roles y responsabilidades. | Se han pautado los roles y responsabilidades de los interesados externos. | Se realizan iniciativas de concientización para interesados externos.
| Los interesados externos comprenden sus roles y responsabilidades. | Ver PR.CF-2 (nivel 4) |
PR.CF-4. La gerencia ejecutiva comprende sus roles y responsabilidades. | La Gerencia conoce y comprende los riesgos de seguridad de la información. | La Dirección conoce y comprende los riesgos de seguridad de la información. La Gerencia tiene una participación activa en las iniciativas de concientización. | La Dirección tiene una participación activa en las instancias de concientización. | Ver PR.CF-2 (nivel 4) |
PR.CF-5. El personal de seguridad física y de seguridad de la información comprende sus roles y responsabilidades. | El personal de seguridad física y de seguridad de la información demuestra concientización respecto a la importancia de sus roles y responsabilidades. | Se realizan con cierta periodicidad actividades de concientización para el personal de seguridad física y seguridad de la información.
| El personal de seguridad física y seguridad de la información es capacitado a través de cursos o talleres relevantes. | Ver PR.CF-2 (nivel 4) |