Cada cuánto capacitar y qué incluir en tu programa si eres una empresa en crecimiento
Cuando ponemos en marcha nuestro SGSI o programa de seguridad, no será suficiente con escribir las políticas y procedimientos: debes usar la concientización y la capacitación en seguridad para permitir que se implemente la documentación en la práctica diaria.
Esto te permitirá incorporar una cultura de seguridad y mantener tu programa de seguridad en cumplimiento continuo.
Pero para eso, primero debemos identificar sobre qué temas específicos vas a concientizar, cómo hacerlo y cada cuánto tiempo.
¿Qué es un plan de concientización y capacitación?
Un plan de concientización tiene el objetivo de educar a los colaboradores de tu empresa en seguridad de la información. De esta manera, el personal estará capacitado y preparado para mantener el programa de seguridad.
En otras palabras, este plan te permitirá seguir una ruta de cursos, certificaciones, capacitaciones y/o campañas de e-mail para cumplir con los objetivos de tu negocio y acompañar tu estrategia de seguridad.
Ya hemos hablado de cómo el resto de las regulaciones y normativas de seguridad son extremadamente parecidas. Por lo tanto, notarás que sin importar el marco de cumplimiento que estés siguiendo, el plan de capacitaciones es un requisito para cumplir con ISO 27001, HIPAA, SOC 2, PCI DSS e incluso regulaciones como la Ley Fintech de México y la RAN 20-10 de Chile. Esto se debe a que es la única forma de garantizar que cualquier nuevo proceso de seguridad se mantenga y funcione de la manera más fluida posible.
Por último, este plan podría contemplar cualquier tipo de capacitaciones, así sean de seguridad o no, ya que te será más sencillo gestionar un único documento que varios separados (no te preocupes, los auditores solamente se preocuparán por revisar los de seguridad).
¿Cuándo debo hacer este plan de concientización?
El plan de concientización y capacitación es un documento que va evolucionando a lo largo del año. Continuamente debes identificar y priorizar las nuevas necesidades de aprendizaje.
Habitualmente se planifica al comienzo del año, sin embargo, lo recomendable es que se vaya actualizando al menos cada 3 o 6 meses o cuando haya cambios significativos en la empresa.
Esto es porque el alcance y los objetivos de tu empresa probablemente cambien a medida que crezca y evolucione.
¿Quiénes participan en su elaboración?
El propietario principal de este documento será el responsable de recursos humanos. Esta persona deberá velar por que todo el equipo sea continuamente capacitado y llevará el registro y resguardo de cada capacitación brindada.
Ahora bien, esta persona necesitará de la ayuda de los líderes de área para la elaboración del plan, ya que son quienes mejor conocen la necesidades de formación y aprendizaje que pueden existir en sus departamentos. Por ejemplo, los líderes suelen tener conocimiento de las herramientas que se utilizan, quiénes tienen acceso y qué procesos y herramientas contienen información crítica que debe protegerse.
Por ende, el responsable de recursos humanos actuará como centralizador de todas las propuestas y necesidades que surjan de los departamentos.
También existe la opción de que el encargado de RR.HH. tenga conocimiento profundo del negocio y del conocimiento que tienen los empleados y de las capacitaciones que necesitan. En ese caso, no necesariamente debe recurrir a los líderes de área.
Hackmetrix Insight: este documento siempre debe ser aprobado y revisado por la Alta Gerencia. Si tienes un comité de seguridad de la información, su responsabilidad será velar por que este plan vaya de acuerdo a la estrategia.
¿Qué capacitaciones deben recibir los empleados?
Si estás buscando cumplir con ISO 27001, mínimamente debes contemplar la programación de dos capacitaciones:
Desarrollo seguro
Para que los desarrolladores y el área TI conozcan las buenas prácticas de seguridad que deben usarse durante todo el ciclo de vida de desarrollo del software. En estos espacios es recomendable aprovechar para pedirles a todos con anticipación que envíen preguntas sobre prácticas de seguridad en el lenguaje que más utilicen y recordar los lineamientos de seguridad que deben estar presentes durante todo el ciclo de construcción de las aplicaciones.
Concientización de seguridad y SGSI
Desde luego, no esperamos que los empleados se vuelvan expertos en seguridad de la información, sino simplemente generar conciencia sobre cómo los posibles errores o accidentes (como guardar las contraseñas en texto plano dentro del computador o repetir contraseñas) pueden comprometer la seguridad total de la empresa. El objetivo de esta capacitación es comenzar a generar una cultura de seguridad, dar herramientas a los colaboradores y recordarles que existe un SGSI en marcha y que debemos cumplir.
Si bien estas capacitaciones obligatorias son necesarias, no siempre son suficientes para el logro de nuestros objetivos. Por eso, nos gustaría recomendarte también otras posibilidades para agregar a tu plan (en el siguiente cuadro, las celdas naranja):
| Capacitación | Objetivo | ¿Quién debe tomarla? |
|---|---|---|
| Desarrollo seguro | Educar sobre buenas prácticas de seguridad a usarse durante todo el ciclo de vida de desarrollo del software. | Desarrollo y área técnica TI (Recomendable: Scrum Master y Product Owner). |
| Concientización de seguridad y SGSI. | Generar una cultura de seguridad, dar herramientas y consejos, educar sobre el SGSI y cuál es su importancia. | Toda la organización. |
| Herramientas técnicas y configuraciones seguras en la nube | Conocer: -Qué y cómo implementar las configuraciones de seguridad de tecnologías como AWS, Azure, Google Cloud, Docker, Terraform, IDS IPS, etc. | Área técnica TI |
| Gestión de incidentes | Conocer: -Cómo se van a registrar los incidentes, cómo se clasifican y priorizan según importancia y, finalmente, cuál será el proceso para solucionarlas. | Toda la organización. |
| Plan de continuidad | Conocer: -Cómo actuar y reaccionar ante un escenario de contingencia. -Cómo y cuándo ejecutar el plan de continuidad | Personal involucrado en la Continuidad de Negocio: 1)Equipo de continuidad 2)Comité de Crisis 3)Comité de seguridad de la información |
Si tu objetivo es cumplir con otras regulaciones o normativas, en este cuadro te resumimos cuáles son las capacitaciones obligatorias que debes incluir para cumplir y cada cuánto debes realizarlas.
| Normativa o regulación | ISO 27001 | PCI DSS | SOC 2 | HIPAA | Ley Fintech de México | Capítulo 20-10 (RAN) |
| Capacitación exigida | 1)Concientización de seguridad y SGSI. 2) Desarrollo seguro | 1)Concientización de PCI y manejo de datos de tarjeta. 2)Desarrollo seguro. 3) Proceso ante incidencias. 4) Plan de continuidad | 1)Concientización de seguridad y SGSI. 2)Desarrollo seguro 3)Capacitaciones técnicas necesarias para la organización. | 1)Concientización de seguridad y manejo de información sensible | 1)Concientización de seguridad de la información | 1)Concientización de seguridad de la información |
| Frecuencia R=Recomendado E=Exigible | Anual (R) | Anual (E) | Anual (R) | Anual (E) | Anual (E) | Anual (R) |
| Cumples con | Cláusula 7.2 y 7.3. Anexo A: A.7.2.2 | 12.6.A | CC1.3 CC2.4 | 164.308(a)(5) | Ley de Medios de Pago Electrónico: -Art 36 Ley de Financiamiento Colectivo: -Art 64 Inciso 8 | 2. Elementos generales de la gestión. Punto 8. |
¿Cómo crear tu plan de concientización y capacitación?
1. Identifica las necesidades de formación
En este paso debes equilibrar la balanza entre las necesidades que existen vs las capacitaciones que hay que aportar. Esto implica, por un lado, que te reúnas con los líderes de cada área para que cada uno te cuente sobre las necesidades específicas que identifican en sus respectivas áreas.
Para darte una idea, esto puede identificarse en base a los conocimientos, educación académica y habilidades que tenga cada rol o puesto de trabajo. Sin embargo, también puedes identificarlas:
- Cuando el empleado te comenta sus necesidades de aprendizaje.
- Al cambiar a un empleado de un puesto de trabajo a otro puesto.
- Al realizar la descripción de un puesto de trabajo.
- Al comenzar a trabajar con un nuevo producto o servicio en tu organización.
- En las exigencias de una regulación o normativa (ver el cuadro de arriba).
También, es útil hacerte la siguiente pregunta: ¿qué conocimientos necesita el trabajador en su puesto de trabajo?. Ese será el objetivo de la capacitación: que el trabajador adquiera esas competencias que a día de hoy no las tiene. Por ejemplo, un desarrollador podría necesitar conocimiento del uso y guardado de contraseñas, claves y secretos, desarrollo seguro, etc.
2. Revisa tus objetivos estratégicos de seguridad
No olvides que estas capacitaciones también persiguen objetivos de seguridad que han sido planteados por el negocio. Por lo tanto, ten a mano la política de seguridad de la información y la política de SGSI que serán los ejes principales sobre los que girará la concientización.
3. Desarrollar el plan de capacitación
Este debería incluir objetivos de cada programa de capacitaciones, responsables del desarrollo curricular, áreas impactadas, instrucciones sobre el medio o formato de la capacitación, calendario de programación o frecuencia y la estimación de costos para el desarrollo del plan.
La idea es enviar un mensaje claro a la Alta Dirección para que sepan que es necesario tener un presupuesto definido para este plan y que probablemente el costo será permanente.
Hackmetrix Insight: El formato que elijas para brindar las capacitaciones es libre, puedes hacerlo a través de videos, charlas, dinámicas con juegos, posters, etc. En este punto la normativa ISO 27001 no nos obliga a elegir un formato específico, por lo que puedes elegir la que más se ajuste a tus necesidades.
4. Asegúrate de que funcione
Una vez que pongas en marcha las capacitaciones debes asegurarte de que el personal comprendió las buenas prácticas de seguridad y si los contenidos que estamos entregando para educar son efectivos o no. Podemos decir que una capacitación ha ido bien cuando cumple el objetivo que tenía pactado y el trabajador adquirió competencias que antes no tenía.
Esto puede capturarse a través de evaluaciones de desempeño o encuestas. No olvides incluir este procedimiento de cómo se hará la medición y las mejoras dentro del mismo plan.
¿Qué buscarán los auditores en este control?
Si estás yendo por la certificación en ISO 27001, te recomendamos tener a mano esta documentación que podrían pedirte durante las fases de la auditoría:
- Plan de concientización y capacitación: donde se identifiquen las necesidades de capacitación para los empleados o departamentos.
- Registro que pruebe que la capacitación se ha realizado anualmente como mínimo y que los empleados han asistido.
- Certificaciones: en caso de que los empleados hayan adquirido conocimiento específico sobre seguridad o hayan sido capacitados por terceros, pueden pedirte las certificaciones que demuestran que adquirieron nuevos conocimientos.
Conclusión
El espíritu de un plan de concientización y capacitación es tener una estrategia de capacitaciones que acompañen a los objetivos de seguridad y de negocio.
Los errores, la negligencia o la falta de concientización suelen ser los factores que mayor cantidad de riesgos generan para la seguridad de nuestros datos.
Por eso, lo importante al crear este plan de concientización y capacitación es evitar el sesgo de que existe solamente para cumplir, y aprovecharlo para crear una cultura de seguridad que (además) garantice el cumplimiento de la normativa ISO 27001.
Al crear un programa de capacitaciones, lo recomendable es identificar las necesidades de formación que necesitan los departamentos, identificar las formaciones obligatorias y revisar si será necesario un presupuesto específico
Una vez que tengas el plan, la Alta Gerencia debe revisarlo y actualizarlo una vez por año (o cuando ocurran cambios significativos dentro de la organización).
Recuerda que puedes agregar distintas formaciones dependiendo de los objetivos concretos que tenga tu negocio y tu estrategia de seguridad.
Si quieres que te ayudemos con el caso particular de tu startup envíanos un mensaje para darte la guía que necesitas.
