Política de concienciación y formación en seguridad de la información

La Política de concienciación y formación en seguridad de la información (P08) establece un marco formal, a nivel de toda la organización, para garantizar que todo el personal, contratistas y agentes de terceros comprendan sus responsabilidades de seguridad de la información. Exige una formación integral que respalda el cumplimiento de ISO/IEC 27001:2022 y otros marcos globales líderes. El documento detalla un enfoque basado en el riesgo, que requiere que la concienciación sobre seguridad se aborde de forma continua mediante la incorporación, formación de actualización periódica y tácticas de formación impulsadas por eventos, adaptadas a amenazas en evolución y a las obligaciones reglamentarias. Esta política proporciona un alcance claro, estipulando que todos los usuarios con acceso a sistemas de información o a las instalaciones de la organización, ya sean usuarios internos, trabajadores temporales, contratistas o proveedores terceros, deben participar. Los requisitos especifican formación inicial de concienciación en seguridad, módulos de formación específica por rol para puestos como desarrolladores o usuarios con privilegios elevados, y campañas de concienciación continuas. Los mecanismos de entrega incluyen formación en línea, sesiones informativas presenciales, simulaciones y activos multimedia, con formación de actualización anual obligatoria o formación adicional desencadenada por incidentes de seguridad o cambios legales/tecnológicos importantes. Los requisitos de gobernanza detallados garantizan que todos los usuarios estén guiados por contenido educativo accesible e inclusivo que cubra temas esenciales como resistencia al phishing, higiene de contraseñas y obligaciones reglamentarias. Las funciones de Recursos Humanos (RR. HH.) y del Director de Seguridad de la Información (CISO) son centrales para mantener registros de formación, garantizar que las nuevas contrataciones y los cambios de rol cumplan las fechas límite y realizar el seguimiento de la finalización mediante un sistema de gestión del aprendizaje. El incumplimiento conduce a medidas disciplinarias progresivas, desde recordatorios automatizados hasta la revocación de acceso y el escalado a Recursos Humanos. Se exigen simulaciones de phishing periódicas y campañas de concienciación; sus resultados guían el perfeccionamiento del contenido y el escalado de reentrenamiento específico cuando se observan riesgos de forma reiterada. La gestión de excepciones se define mediante un proceso de aprobación documentado y basado en el riesgo, y la política pone un fuerte énfasis en revisar y actualizar requisitos, actualizaciones de contenido y preparación para auditoría, garantizando la alineación continua con ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA y COBIT 2019. De este modo, la política sustenta una defensa medible y en evolución frente a vulnerabilidades relacionadas con las personas, vital para mantener la resiliencia de la organización.