Establecer y Mantener un Programa de Concientización en Seguridad
Descripción
Establecer y mantener un programa de concientización en seguridad. El propósito de un programa de concientización en seguridad es educar a la fuerza laboral de la empresa sobre cómo interactuar con los activos empresariales y los datos de forma segura. Realizar capacitación al momento de la contratación y, como mínimo, anualmente. Revisar y actualizar el contenido anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de capacitación en concienciación de seguridad con phishing simulado, módulos de capacitación interactivos e informes de cumplimiento
KnowBe4 · Suscripción por usuario
Plataforma adaptativa de concienciación en seguridad y cambio de comportamiento con capacitación dirigida basada en datos reales de amenazas
Proofpoint · Suscripción por usuario
Plataforma de simulación de phishing y concienciación en seguridad con inteligencia de amenazas en tiempo real y respuesta a incidentes
Cofense · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Campaña de Phishing a Nivel Empresarial Dirigida a Fuerza Laboral No Entrenada
ConfidencialidadUna campaña sofisticada de phishing apunta a empleados que no han recibido capacitación en conciencia de seguridad, resultando en compromiso generalizado de credenciales porque el personal no puede reconocer tácticas de ingeniería social.
Amenaza Interna Accidental por Empleado Sin Conciencia de Seguridad
IntegridadUn empleado instala malware sin saberlo al hacer clic en un enlace malicioso o abre un adjunto armamentizado porque nunca fue educado en prácticas informáticas seguras a través de un programa formal de conciencia.
Ataque de Ingeniería Social Explotando Falta de Cultura de Seguridad
ConfidencialidadUn atacante suplanta a un proveedor por teléfono y convence a un empleado de compartir credenciales del sistema, teniendo éxito porque ningún programa de conciencia de seguridad ha establecido una cultura de verificación y escepticismo.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Programa Formal de Capacitación en Conciencia de Seguridad
Sin un programa de conciencia de seguridad establecido, los empleados no reciben educación estructurada sobre amenazas de seguridad, prácticas seguras ni políticas organizacionales, dejando el comportamiento humano como el eslabón más débil.
Nuevos Empleados Sin Capacitación Inmediatamente Expuestos a Amenazas
La ausencia de capacitación de seguridad al incorporarse significa que los nuevos empleados comienzan a manejar activos y datos empresariales sin comprender el panorama de amenazas ni su rol en mantener la seguridad.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |