CONTROL SAFEGUARD DESCRIPCION

Establecer y mantener un programa de concientización sobre

seguridad
14.1 Establecer y mantener un programa de concientización sobre
seguridad. El propósito de un programa de concientización sobre
seguridad es educar a la fuerza laboral de la empresa sobre cómo
interactuar con los activos y los datos de la empresa de manera
segura. Realice la capacitación al momento de contratar y como
mínimo, anualmente. Revisar y actualizar el contenido de forma anual
o cuando se produzcan cambios empresariales importantes que
podrían afectar esta salvaguarda.

Capacitar a los miembros de la fuerza laboral para que reconozcan

14.2 los ataques de ingenieria social
Capacite a los miembros de la fuerza laboral para que reconozcan los
ataques de ingeniería social, como el phishing, el envío de mensajes
de texto previo y el tailgating.

Capacitar a los miembros de la fuerza laboral sobre las mejores

prácticas de autenticación
14.3 Capacite a los miembros de la fuerza laboral sobre las mejores
prácticas de autenticación. Los temas de ejemplo incluyen MFA,
composición de contraseñas y gestión de credenciales.

Capacitar a la fuerza laboral en las mejores prácticas de manejo de

datos
14.4 Capacite a los miembros de la fuerza laboral sobre cómo identificar y
almacenar, transferir, archivar y destruir datos confidenciales de
manera adecuada. Esta también incluye capacitar a los miembros de
la fuerza laboral sobre las mejores prácticas de escritorio y pantalla
clara, como bloquear la pantalla cuando se alejan de su activo
empresarial, borrando pizarrones físicos y virtuales al final de las
reuniones,
y almacenar datos y activos de forma segura

14

Capacite a los miembros de la fuerza laboral sobre las causas de

14.5 Exposición de datos
Capacite a los miembros de la fuerza laboral para que sean
conscientes de las causas de la exposición involuntaria de datos. Los
temas de ejemplo incluyen entrega incorrecta de datos
confidenciales, pérdida de un dispositivo portátil de usuario final o
publicación de datos para audiencias no deseadas.
14.6 Capacitar a los miembros de la fuerza laboral sobre el
reconocimiento y la presentación de informes de incidentes de
seguridad
Capacite a los miembros de la fuerza laboral para que puedan
reconocer un incidente potencial y poder reportar tal incidente.

Capacitar al personal sobre cómo identificar e informar si a los

14.7 activos de la empresa les faltan actualizaciones de seguridad
Capacite al personal para que comprenda cómo verificar e informar
sobre parches de software desactualizados o cualquier falla en la
automatización.de procesos y herramientas. Parte de esta
capacitación debe incluir notificar al personal de TI de cualquier falla
en la automatización de procesos y herramientas.

Capacitar a la fuerza laboral sobre los peligros de conectarse

y la transmisión de datos empresariales a través de redes inseguras
14.8 Capacite a los miembros de la fuerza laboral sobre los peligros de
conectarse y transmitir datos a través de redes inseguras para
actividades empresariales. Si la empresa tiene trabajadores remotos,
la capacitación debe incluir orientación para garantizar que todos los
usuarios configurar de forma segura su infraestructura de red
doméstica.

Llevar a cabo capacitación en habilidades y concientización sobre

seguridad para roles específicos
14.9 Llevar a cabo capacitación en habilidades y concientización sobre
seguridad para funciones específicas Las implementaciones de
ejemplo incluyen sistema seguro
cursos de administración para profesionales de TI, OWASP®
desarrolladores actualizado de aplicaciones y capacitación avanzada
en conciencia de ingeniería social para roles de alto perfil.
TIPO DE ACTIVO FUNCION DE SEGURIDAD IG1 IG2 IG3

N/A Proteger a a a

N/A Proteger a a a

N/A Proteger a a a

N/A Proteger a a a

N/A Proteger a a a
N/A Detectar a a a

N/A Proteger a a a

N/A Proteger a a a

N/A Proteger a a