Capacitar al Personal en Cómo Identificar y Reportar si sus Activos Empresariales Carecen de Actualizaciones de Seguridad
Descripción
Capacitar a la fuerza laboral para que comprenda cómo verificar y reportar parches de software desactualizados o cualquier falla en procesos y herramientas automatizadas. Parte de esta capacitación debe incluir la notificación al personal de TI sobre cualquier falla en procesos y herramientas automatizadas.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de capacitación en concienciación de seguridad con phishing simulado, módulos de capacitación interactivos e informes de cumplimiento
KnowBe4 · Suscripción por usuario
Plataforma adaptativa de concienciación en seguridad y cambio de comportamiento con capacitación dirigida basada en datos reales de amenazas
Proofpoint · Suscripción por usuario
Plataforma de simulación de phishing y concienciación en seguridad con inteligencia de amenazas en tiempo real y respuesta a incidentes
Cofense · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Explotación de Vulnerabilidad Conocida en Sistema Sin Parchear
IntegridadUn atacante explota una vulnerabilidad divulgada públicamente en un sistema donde el parcheo automatizado falló, y la falla no fue reportada porque el usuario no fue capacitado para reconocer o reportar actualizaciones de seguridad faltantes.
Ventana de Exposición Extendida por Falla de Parche No Reportada
DisponibilidadEl mecanismo de actualización automática de un endpoint se rompe silenciosamente, dejando el sistema sin parchear durante meses porque el empleado que usa el dispositivo nunca fue capacitado para verificar el estado de parches o reportar anomalías.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Usuarios Incapaces de Identificar Actualizaciones de Seguridad Faltantes
Sin capacitación sobre cómo verificar el estado de parches de software, los empleados no pueden reconocer cuándo sus sistemas están desactualizados o cuándo las herramientas de parcheo automatizado han fallado.
Sin Proceso para que Usuarios Reporten Fallas de Herramientas Automatizadas
Los empleados que no están capacitados en reportar fallas de actualización no escalan problemas cuando notan que el software está desactualizado, dejando a TI sin conocimiento de brechas de parcheo en la flota.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |