Realizar Capacitación en Concientización y Habilidades de Seguridad Específica por Rol
Descripción
Realizar capacitación en concientización y habilidades de seguridad específica por rol. Los ejemplos de implementación incluyen cursos de administración segura de sistemas para profesionales de TI, capacitación en concientización y prevención de vulnerabilidades OWASP® Top 10 para desarrolladores de aplicaciones web y capacitación avanzada en concientización sobre ingeniería social para roles de alto perfil.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de capacitación en concienciación de seguridad con phishing simulado, módulos de capacitación interactivos e informes de cumplimiento
KnowBe4 · Suscripción por usuario
Plataforma adaptativa de concienciación en seguridad y cambio de comportamiento con capacitación dirigida basada en datos reales de amenazas
Proofpoint · Suscripción por usuario
Plataforma de simulación de phishing y concienciación en seguridad con inteligencia de amenazas en tiempo real y respuesta a incidentes
Cofense · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Administrador de Sistema Configura Incorrectamente Control de Seguridad Crítico
ConfidencialidadUn administrador de TI abre inadvertidamente una regla de firewall demasiado ampliamente o configura incorrectamente un grupo de seguridad porque nunca recibió capacitación específica de rol en prácticas de administración segura de sistemas.
Desarrollador Introduce Vulnerabilidad OWASP Top 10 en Producción
IntegridadUn desarrollador web despliega código que contiene una vulnerabilidad de inyección porque nunca se le proporcionó capacitación específica de rol en prácticas de codificación segura y fallas comunes de aplicaciones web.
Ejecutivo Objetivo de Ataque Avanzado de Whaling
ConfidencialidadUn ejecutivo de nivel C es víctima de un ataque de whaling altamente dirigido porque nunca recibió la capacitación avanzada en conciencia de ingeniería social apropiada para su rol de alto perfil.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Capacitación en Habilidades de Seguridad Específica por Rol
Sin capacitación específica por rol, el personal en posiciones especializadas como desarrolladores, administradores de sistemas y ejecutivos carece del conocimiento de seguridad dirigido requerido para proteger contra amenazas específicas de sus funciones.
Capacitación Genérica Insuficiente para Roles Técnicos
La capacitación general de conciencia sola no equipa a los desarrolladores con conocimiento de codificación segura ni a los administradores con experiencia en refuerzo, dejando brechas críticas de seguridad técnica en roles de alto impacto.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |