Capacitación en Conciencia y Habilidades de Seguridad
Establecer y mantener un programa de conciencia de seguridad para influir en el comportamiento de la fuerza laboral para que sea consciente de la seguridad y esté debidamente capacitada para reducir los riesgos de ciberseguridad para la empresa.
Plantillas de Políticas Relacionadas
Salvaguardas (9)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 14.1 | Establecer y Mantener un Programa de Concientización en Seguridad | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 14.2 | Capacitar al Personal para Reconocer Ataques de Ingeniería Social | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 14.3 | Capacitar al Personal en Mejores Prácticas de Autenticación | Proteger |
IG1
IG2
IG3
|
7 | 4 |
| 14.4 | Capacitar al Personal en Mejores Prácticas de Manejo de Datos | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 14.5 | Capacitar al Personal sobre Causas de Exposición No Intencional de Datos | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 14.6 | Capacitar al Personal en Reconocer y Reportar Incidentes de Seguridad | Proteger |
IG1
IG2
IG3
|
7 | 5 |
| 14.7 | Capacitar al Personal en Cómo Identificar y Reportar si sus Activos Empresariales Carecen de Actualizaciones de Seguridad | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 14.8 | Capacitar al Personal sobre los Peligros de Conectarse y Transmitir Datos Empresariales por Redes Inseguras | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 14.9 | Realizar Capacitación en Concientización y Habilidades de Seguridad Específica por Rol | Proteger |
IG2
IG3
|
5 | 3 |
Detalles de Verificación de Auditoría
Establecer y mantener un programa de concientización en seguridad. El propósito de un programa de concientización en seguridad es educar a la fuerza laboral de la empresa sobre cómo interactuar con los activos empresariales y los datos de forma segura. Realizar capacitación al momento de la contratación y, como mínimo, anualmente. Revisar y actualizar el contenido anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Capacitar a los miembros de la fuerza laboral para reconocer ataques de ingeniería social, como phishing, pretexto y seguimiento no autorizado.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Capacitar a los miembros de la fuerza laboral en mejores prácticas de autenticación. Los temas de ejemplo incluyen MFA, composición de contraseñas y gestión de credenciales.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
La autenticación multifactor se aplica en todos los sistemas y cuentas dentro del alcance.
Informes de estado de inscripción de MFA, configuración de política de acceso condicional
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las excepciones de MFA están documentadas, aprobadas y los controles compensatorios están implementados.
Registros de excepciones con documentación de controles compensatorios
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Estado de inscripción de MFA y configuración de aplicación | Revisado mensualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Capacitar a los miembros de la fuerza laboral sobre cómo identificar y almacenar, transferir, archivar y destruir adecuadamente los datos sensibles. Esto también incluye capacitar a los miembros de la fuerza laboral en mejores prácticas de pantalla y escritorio limpio, como bloquear su pantalla cuando se alejan de su activo empresarial, borrar pizarras físicas y virtuales al final de las reuniones y almacenar datos y activos de forma segura.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Capacitar a los miembros de la fuerza laboral para que conozcan las causas de exposición no intencional de datos. Los temas de ejemplo incluyen el envío erróneo de datos sensibles, la pérdida de un dispositivo portátil de usuario final o la publicación de datos a audiencias no previstas.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Capacitar a los miembros de la fuerza laboral para que puedan reconocer un incidente potencial y sean capaces de reportar dicho incidente.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Capacitar a la fuerza laboral para que comprenda cómo verificar y reportar parches de software desactualizados o cualquier falla en procesos y herramientas automatizadas. Parte de esta capacitación debe incluir la notificación al personal de TI sobre cualquier falla en procesos y herramientas automatizadas.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Capacitar a los miembros de la fuerza laboral sobre los peligros de conectarse y transmitir datos empresariales a través de redes inseguras. Si la empresa tiene trabajadores remotos, la capacitación debe incluir orientación para asegurar que todos los usuarios configuren de forma segura la infraestructura de su red doméstica.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Realizar capacitación en concientización y habilidades de seguridad específica por rol. Los ejemplos de implementación incluyen cursos de administración segura de sistemas para profesionales de TI, capacitación en concientización y prevención de vulnerabilidades OWASP® Top 10 para desarrolladores de aplicaciones web y capacitación avanzada en concientización sobre ingeniería social para roles de alto perfil.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |