Política de Concientización y Capacitación en Seguridad
1. Propósito
Establecer requisitos para la educación en concientización de seguridad y la capacitación en habilidades para reducir los riesgos de ciberseguridad derivados del comportamiento humano en [ORGANIZATION].
2. Alcance
Esta política se aplica a todos los empleados, contratistas y personal de terceros que accedan a los sistemas de información de [ORGANIZATION] o manejen datos de [ORGANIZATION].
3. Política
3.1 Programa de Concientización en Seguridad
[ORGANIZACION] deberá mantener un programa de concientización en seguridad que sea revisado y actualizado al menos [PERSONALIZAR: anualmente].
Todos los nuevos empleados y contratistas deberán completar la capacitación en concientización de seguridad dentro de [PERSONALIZAR: 30] días de la fecha de inicio, antes de recibir acceso a los sistemas de información.
Todo el personal deberá completar la capacitación anual de actualización en concientización de seguridad. La finalización de la capacitación deberá rastrearse y reportarse a [PERSONALIZAR: gerencia/Recursos Humanos].
El contenido de concientización en seguridad deberá cubrir, como mínimo: reconocimiento de phishing e ingeniería social, seguridad de contraseñas y uso de MFA, requisitos de manejo y clasificación de datos, procedimientos de reporte de incidentes, requisitos de la política de uso aceptable, concientización sobre seguridad física y prácticas de seguridad para trabajo remoto.
3.2 Simulación de Phishing
Las campañas de simulación de phishing deberán realizarse al menos [PERSONALIZAR: trimestral/mensualmente] para probar y reforzar la concientización de los usuarios.
Los usuarios que fallen en las simulaciones de phishing deberán recibir capacitación adicional dirigida dentro de [PERSONALIZAR: 5/10] días hábiles.
Los usuarios que fallen repetidamente en las simulaciones de phishing ([PERSONALIZAR: 3+] fallos dentro de un período de [PERSONALIZAR: 12 meses]) deberán ser referidos a su gerente para orientación y capacitación adicional.
Los resultados de las simulaciones de phishing deberán rastrearse y reportarse a [PERSONALIZAR: CISO/liderazgo ejecutivo] al menos trimestralmente.
3.3 Capacitación Basada en Roles
El personal en roles con responsabilidades de seguridad elevadas deberá recibir capacitación adicional específica para su rol:
Administradores de TI: Administración segura de sistemas, procedimientos de respuesta a incidentes, gestión de configuración segura.
Desarrolladores: Prácticas de codificación segura, OWASP Top 10, revisión de código de seguridad, SDLC seguro.
Ejecutivos: Amenazas dirigidas a ejecutivos, compromiso de correo electrónico empresarial, toma de decisiones en respuesta a incidentes.
Equipo de seguridad: Detección avanzada de amenazas, análisis forense, caza de amenazas, manejo de incidentes.
La capacitación basada en roles deberá completarse dentro de [PERSONALIZAR: 60/90] días de asumir el rol y actualizarse al menos anualmente.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos