DivisionCero
Políticas, Procesos y Procedimientos

Concienciación y Capacitación en Seguridad

Programa de formación en seguridad de la información.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Programa de Concienciación y Capacitación en Seguridad de la Información
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Público Interno
Audiencia: Todos los empleados, RRHH, CISO, Gerentes de Área

🎯 Propósito

Establecer un programa integral de concienciación y capacitación en seguridad de la información para todos los empleados de DivisionCero, asegurando que el personal posea los conocimientos, habilidades y actitudes necesarias para proteger los activos de información y cumplir con las políticas de ciberseguridad organizacional.

🏢 Alcance

Esta política aplica a:

  • Todos los empleados de DivisionCero independiente de su modalidad contractual
  • Personal temporal, contratistas y consultores
  • Practicantes, becarios y personal en formación
  • Personal directivo y ejecutivo
  • Equipos especializados en tecnología y seguridad

📚 Definiciones

  • Concienciación: Conocimiento general sobre temas de seguridad e importancia para la organización
  • Capacitación: Desarrollo específico de habilidades prácticas para aplicar medidas de seguridad
  • Phishing: Técnica de ingeniería social para obtener información confidencial
  • Social Engineering: Manipulación psicológica para obtener acceso no autorizado a información
  • Security Culture: Conjunto de valores, creencias y comportamientos relacionados con seguridad
  • Learning Management System (LMS): Plataforma tecnológica para gestionar capacitaciones

🛡️ Política

Programa de Capacitación por Audiencias

Capacitación General (Todos los Empleados)

Capacitación de Inducción (Obligatoria) Duración: 2 horas
Modalidad: E-learning + Sesión presencial
Frecuencia: Al ingreso

Contenido:

  • Introducción a la seguridad de la información en DivisionCero
  • Políticas básicas de seguridad y su importancia
  • Responsabilidades individuales en ciberseguridad
  • Reconocimiento de amenazas comunes (phishing, malware)
  • Uso adecuado de recursos tecnológicos corporativos
  • Procedimientos de reporte de incidentes
  • Evaluación de conocimientos

Capacitación Anual de Refuerzo (Obligatoria) Duración: 1 hora
Modalidad: E-learning
Frecuencia: Anual

Contenido:

  • Actualización de políticas de seguridad
  • Nuevas amenazas y tendencias de ciberseguridad
  • Casos de estudio de incidentes reales (anonimizados)
  • Mejores prácticas para trabajo remoto
  • Gestión segura de contraseñas y autenticación
  • Evaluación de conocimientos actualizada

Capacitación Especializada por Roles

Personal de TI y Desarrollo Duración: 8 horas (4 módulos de 2 horas)
Modalidad: Presencial + E-learning
Frecuencia: Semestral

Módulo 1: Desarrollo Seguro

  • Principios de desarrollo seguro (OWASP Top 10)
  • Revisión de código desde perspectiva de seguridad
  • Herramientas de análisis estático y dinámico
  • Gestión segura de dependencias y librerías

Módulo 2: Configuración Segura

  • Hardening de sistemas operativos
  • Configuración segura de bases de datos
  • Gestión de vulnerabilidades en infraestructura
  • Monitoreo y logging de seguridad

Módulo 3: Gestión de Incidentes Técnicos

  • Detección temprana de compromisos
  • Preservación de evidencia digital
  • Procedimientos de contención técnica
  • Herramientas forenses básicas

Módulo 4: Arquitectura de Seguridad

  • Diseño de arquitecturas resilientes
  • Principios de defensa en profundidad
  • Integración de controles de seguridad
  • Evaluación de riesgos técnicos

Gerentes y Supervisores Duración: 4 horas
Modalidad: Presencial
Frecuencia: Anual

Contenido:

  • Responsabilidades de liderazgo en seguridad
  • Gestión de riesgos de ciberseguridad en equipos
  • Toma de decisiones durante incidentes
  • Comunicación efectiva sobre seguridad
  • Indicadores de riesgo interno y externo
  • Cultura de seguridad y cambio organizacional

Personal de Atención al Cliente Duración: 3 horas
Modalidad: Presencial + Role-playing
Frecuencia: Anual

Contenido:

  • Protección de datos personales de clientes
  • Verificación de identidad en interacciones
  • Detección de intentos de ingeniería social
  • Manejo seguro de información sensible
  • Procedimientos de escalamiento de seguridad
  • Simulaciones de situaciones de riesgo

Equipo de Seguridad Duración: 16 horas trimestrales
Modalidad: Presencial + Laboratorios prácticos
Frecuencia: Trimestral

Contenido Especializado:

  • Amenazas emergentes y TTPs actuales
  • Herramientas avanzadas de análisis y respuesta
  • Técnicas de threat hunting
  • Análisis forense digital avanzado
  • Inteligencia de amenazas (Threat Intelligence)
  • Certificaciones profesionales (CISSP, CISM, CEH)

Metodologías de Capacitación

E-Learning

Plataforma LMS Corporativa:

  • Contenido interactivo y multimedia
  • Evaluaciones automáticas con retroalimentación
  • Seguimiento de progreso individual
  • Certificados de finalización automáticos
  • Acceso 24/7 desde cualquier dispositivo

Características del Contenido:

  • Videos de alta calidad con narrativa
  • Simulaciones interactivas de escenarios reales
  • Gamificación con puntos y rankings
  • Microlearning con módulos de 10-15 minutos
  • Contenido actualizado trimestralmente

Capacitación Presencial

Talleres Interactivos:

  • Discusión de casos reales de la industria
  • Ejercicios prácticos en grupos pequeños
  • Role-playing para situaciones de riesgo
  • Demostraciones en vivo de amenazas
  • Sesiones de preguntas y respuestas

Simulacros y Ejercicios:

  • Simulacros de phishing mensuales
  • Ejercicios de respuesta a incidentes
  • Tabletop exercises para gerencia
  • Red team vs. blue team scenarios
  • Simulaciones de ingeniería social

Comunicación Continua

Canales de Concienciación:

  • Newsletter mensual de seguridad
  • Alertas de amenazas críticas por email
  • Intranet con contenido de seguridad actualizado
  • Carteles y señalización en oficinas
  • Screensavers con tips de seguridad

Campañas Temáticas:

  • Mes de Concienciación en Ciberseguridad (Octubre)
  • Semana de Protección de Datos (Mayo)
  • Campaña de Contraseñas Seguras (Enero)
  • Jornada de Phishing Awareness (Trimestral)
  • Día de Simulacro de Incidentes (Semestral)

Programa de Evaluación y Medición

Evaluaciones de Conocimiento

Evaluación Inicial (Inducción):

  • Pre-test para medir conocimiento base
  • Post-test para validar aprendizaje
  • Nota mínima aprobatoria: 80%
  • Repetición obligatoria si no se alcanza mínimo

Evaluaciones Periódicas:

  • Quizzes cortos mensuales por email
  • Evaluación anual comprensiva
  • Evaluaciones sorpresa después de campañas
  • Autoevaluaciones voluntarias en LMS

Métricas de Efectividad

Métricas de Participación:

  • Porcentaje de finalización de capacitaciones obligatorias
  • Tiempo promedio de completitud por módulo
  • Participación en capacitaciones voluntarias
  • Engagement en contenido de concienciación

Métricas de Comportamiento:

  • Tasa de clic en simulacros de phishing
  • Reportes de usuarios sobre emails sospechosos
  • Incidentes de seguridad causados por error humano
  • Cumplimiento de políticas en auditorías

Métricas de Conocimiento:

  • Puntuaciones promedio en evaluaciones
  • Mejora en conocimiento pre/post capacitación
  • Retención de conocimiento en evaluaciones periódicas
  • Identificación de brechas de conocimiento por área

Gestión del Programa

Responsabilidades del Equipo de Capacitación

CISO:

  • Aprobar contenido y metodologías de capacitación
  • Asignar presupuesto para programa de capacitación
  • Revisar métricas de efectividad trimestralmente
  • Comunicar importancia estratégica del programa

GRC Manager:

  • Diseñar curriculum y contenido específico
  • Coordinar con proveedores de capacitación externos
  • Gestionar plataforma LMS y reportes
  • Mantener registros de capacitación actualizados

RRHH:

  • Incluir capacitación en proceso de onboarding
  • Gestionar cumplimiento de capacitaciones obligatorias
  • Coordinar evaluaciones de desempeño relacionadas
  • Apoyar comunicación organizacional del programa

Proveedores y Recursos Externos

Criterios de Selección:

  • Experiencia comprobada en capacitación corporativa
  • Contenido actualizado con amenazas actuales
  • Soporte en español y otros idiomas requeridos
  • Certificaciones reconocidas en la industria
  • Referencias de clientes similares

Gestión de Proveedores:

  • Contratos anuales con métricas de desempeño
  • Revisiones trimestrales de calidad de contenido
  • Actualizaciones regulares según nuevas amenazas
  • Evaluación anual de satisfacción de participantes

Cumplimiento y Seguimiento

Requerimientos de Cumplimiento

Capacitaciones Obligatorias:

  • 100% de empleados deben completar inducción en seguridad
  • Capacitación anual obligatoria con 95% de cumplimiento
  • Capacitaciones especializadas según rol con 90% de cumplimiento
  • Evaluaciones aprobatorias para acceder a sistemas críticos

Consecuencias por Incumplimiento:

  • Recordatorios automáticos por email/SMS
  • Escalamiento a supervisor después de 2 semanas
  • Restricción de acceso a sistemas no críticos
  • Inclusión en evaluación de desempeño anual
  • Capacitación presencial obligatoria como medida correctiva

Reportes y Comunicación

Dashboard de Cumplimiento:

  • Estado de capacitación por empleado y departamento
  • Métricas de efectividad en tiempo real
  • Alertas automáticas para vencimientos próximos
  • Comparación con objetivos organizacionales

Reportes Ejecutivos:

  • Reporte mensual de cumplimiento al CISO
  • Reporte trimestral de efectividad a alta dirección
  • Análisis anual de ROI del programa
  • Benchmarking con estándares de industria

Mejora Continua

Feedback y Evaluación del Programa

Encuestas de Satisfacción:

  • Evaluación post-capacitación inmediata
  • Encuesta anual comprensiva del programa
  • Focus groups con participantes selectos
  • Entrevistas con gerentes sobre efectividad observada

Análisis de Efectividad:

  • Correlación entre capacitación e incidentes
  • Análisis de costo-beneficio del programa
  • Comparación con mejores prácticas de industria
  • Evaluación de nuevas tecnologías de capacitación

Actualización de Contenido

Frecuencia de Actualizaciones:

  • Revisión trimestral de contenido base
  • Actualización inmediata por amenazas críticas
  • Revisión anual completa del curriculum
  • Incorporación de lecciones aprendidas de incidentes

Fuentes de Actualización:

  • Inteligencia de amenazas de proveedores especializados
  • Análisis de incidentes internos y externos
  • Nuevas regulaciones y estándares aplicables
  • Feedback de participantes y facilitadores
  • Evolución tecnológica y nuevas herramientas

👥 Roles y Responsabilidades

  • CISO: Liderar estrategia de capacitación y aprobar contenido
  • GRC Manager: Gestionar operación diaria del programa
  • RRHH: Coordinar cumplimiento y evaluaciones de personal
  • Gerentes de Área: Asegurar participación de sus equipos
  • Empleados: Participar activamente y aplicar conocimientos adquiridos

📊 Cumplimiento y Medición

KPIs del Programa:

  • Cumplimiento de capacitación obligatoria: >= 95%
  • Puntuación promedio en evaluaciones: >= 85%
  • Reducción en incidentes por error humano: 20% anual
  • Satisfacción con programa de capacitación: >= 4.0/5.0

Métricas de Impacto:

  • Tiempo promedio de detección de phishing por usuarios
  • Porcentaje de usuarios que reportan emails sospechosos
  • Reducción en violaciones de políticas de seguridad
  • Mejora en cultura de seguridad según encuestas organizacionales

🚨 Incumplimiento

  • Falta de participación en capacitaciones obligatorias afecta evaluación anual
  • Gerentes responsables por bajo cumplimiento en sus equipos
  • Empleados con repetidos incumplimientos requieren plan de mejora
  • Incidentes causados por falta de capacitación pueden resultar en acciones disciplinarias

📖 Referencias

  • ISO 27001:2022 - A.7.2.2 Capacitación en Seguridad de la Información
  • NIST SP 800-50 - Building an Information Technology Security Awareness and Training Program
  • SANS Security Awareness Framework
  • Política de Seguridad de la Información
  • Código de Conducta Corporativo

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Acuerdo de Confidencialidad (NDA)

Compromiso legal de confidencialidad con empleados y terceros.

Clasificación de la Información

Criterios para clasificar y manejar la información según su sensibilidad.