Marco de Políticas de Riesgo Cibernético - Obligaciones del Personal y Contratistas

Todo el Personal: Cumplir con todas las políticas y estándares de riesgo cibernético; completar la capacitación de concienciación en seguridad requerida; reportar incidentes de seguridad sospechosos, vulnerabilidades o violaciones de políticas a [PERSONALIZAR: Security Team / IT Help Desk]; proteger las credenciales y tokens de acceso asignados; manejar los datos según su nivel de clasificación.

Gerentes de Personal: Asegurar que los reportes directos completen la capacitación de seguridad requerida; hacer cumplir las políticas dentro de sus equipos; asegurar que el acceso sea revocado para el personal que se retira dentro de [PERSONALIZAR: same business day]; participar en actividades de concienciación en seguridad según se indique.

Propietarios de Sistemas y Datos: Mantener inventarios precisos de los sistemas y datos bajo su propiedad; asegurar que se implementen controles de seguridad apropiados; autorizar y revisar el acceso a los sistemas bajo su propiedad; asegurar el cumplimiento con los requisitos regulatorios aplicables.

Contratistas y Personal de Terceros: Cumplir con todas las políticas de riesgo cibernético de [ORGANIZACION] como condición de su contratación; completar la orientación de seguridad específica de [ORGANIZACION]; reportar inmediatamente cualquier incidente de seguridad que involucre datos o sistemas de [ORGANIZACION] a [PERSONALIZAR: Vendor Management / Security Team].

Personal de TI y Seguridad: Implementar y mantener controles de seguridad; monitorear sistemas para eventos de seguridad; responder a incidentes según los procedimientos establecidos; mantener conocimiento actualizado de amenazas y vulnerabilidades.

Todo el personal deberá utilizar los sistemas de información de [ORGANIZACION] únicamente para propósitos autorizados y en cumplimiento con todas las políticas aplicables.

Todo el personal deberá proteger los datos de [ORGANIZACION] según su clasificación y no deberá compartir, transmitir o almacenar datos utilizando métodos o sistemas no autorizados.

Todo el personal deberá utilizar credenciales individuales únicas y no deberá compartir, reutilizar o exponer credenciales de autenticación.

Todo el personal deberá bloquear las estaciones de trabajo cuando estén desatendidas y asegurar físicamente los dispositivos portátiles que contengan datos de [ORGANIZACION].

Todo el personal deberá completar toda la capacitación de ciberseguridad asignada dentro de [PERSONALIZAR: 30 days] de su asignación y mantener el estado de capacitación vigente en todo momento.

Todo el personal deberá reportar sospecha de phishing, ingeniería social, malware, acceso no autorizado o exposición de datos a [PERSONALIZAR: Security Team / IT Help Desk] inmediatamente al descubrirlo.

Todo el personal deberá cooperar con las investigaciones de seguridad y auditorías según se solicite.

El personal no deberá instalar, ejecutar o desplegar software, hardware o servicios no autorizados en los sistemas gestionados por [ORGANIZACION] sin aprobación previa de [PERSONALIZAR: IT Security].

El personal no deberá desactivar, eludir o interferir con los controles de seguridad, agentes de monitoreo o tecnologías de protección.

El personal no deberá acceder a sistemas, datos o instalaciones para los cuales no haya sido explícitamente autorizado.

El personal no deberá retirar datos de [ORGANIZACION] de los sistemas y almacenamiento aprobados sin autorización del propietario de los datos.

El personal no deberá conectar dispositivos personales o no autorizados a los segmentos de red interna de [ORGANIZACION] sin aprobación de [PERSONALIZAR: IT Security].

El personal no deberá utilizar los sistemas de [ORGANIZACION] para actividades ilegales, acoso, recopilación de datos no autorizada o cualquier propósito que viole las leyes aplicables o las políticas de [ORGANIZACION].

El personal no deberá presentarse ante partes externas en calidad de seguridad a menos que esté específicamente autorizado para hacerlo.

[ORGANIZACION] toma en serio el cumplimiento de las políticas de riesgo cibernético. El incumplimiento puede resultar en una o más de las siguientes acciones, dependiendo de la naturaleza y gravedad de la violación:

Advertencia verbal y capacitación correctiva obligatoria (Violaciones menores de primera vez)

Advertencia escrita incluida en el expediente del personal (Violaciones menores repetidas o violaciones moderadas)

Suspensión o restricción de privilegios de acceso al sistema (Violaciones significativas o investigación pendiente)

Terminación del empleo o contrato (Violaciones graves, incumplimiento deliberado o violaciones que resulten en daño material)

Acción legal civil o penal (Violaciones que involucren actividad ilegal, fraude o robo intencional de datos)

Para contratistas: Penalidades contractuales y/o terminación según lo especificado en el acuerdo de servicio

El [PERSONALIZAR: HR Department / Legal Team] en consulta con [PERSONALIZAR: CISO / Security Team] determinará la consecuencia apropiada basándose en las circunstancias de la violación.

Todas las acciones disciplinarias deberán documentarse y conservarse según el calendario de retención de registros.

Todo el personal deberá reconocer esta política al momento de su incorporación inicial y al menos [PERSONALIZAR: annually] de ahí en adelante a través del proceso de reconocimiento designado.

Los registros de reconocimiento deberán ser mantenidos por [PERSONALIZAR: HR / Security Team] y estar disponibles para auditoría previa solicitud.

Los contratistas y personal de terceros deberán reconocer esta política como parte del proceso de incorporación gestionado por [PERSONALIZAR: Vendor Management / Procurement].

La falta de completar el reconocimiento de la política dentro de [PERSONALIZAR: 14 days] de la solicitud resultará en la suspensión del acceso al sistema hasta que se obtenga el reconocimiento.