👉¿Qué talleres o cursos se pueden incluir en el programa de capacitación?
R: Primeramente puedes incluir los que contempla el proyecto de implementación de Hackmetrix, es decir el taller de concientización de seguridad de la información, el taller de gestión de riesgos y la capacitación de desarrollo seguro, si aplica. Adicionalmente, se pueden contemplar cursos, talleres o capacitaciones que ofrecen otros proveedores sobre temas de ciberseguridad, privacidad de la información, etcétera. O bien, el cliente puede desarrollar su propio material con base en mejores prácticas de seguridad.
👉¿Los 3 talleres que les impartimos a los clientes, son suficientes para cumplir con la certificación? ¿Por qué?
R: Sí, ya que la norma solicita que la empresa sea concientizada de manera periódica, considerando a cada nuevo colaborador y las posibles actualización al material de aprendizaje. Esto con el objetivo de que la seguridad de la información sea aplicada correctamente dentro de la empresa y que los colaboradores conozcan y entiendan su importancia dentro del programa de seguridad. Para esto nos ayuda el taller de concientización de seguridad. El taller de gestión de riesgos le permite a la empresa capacitar a los involucrados para realizar las evaluaciones y análisis de riesgo correctamente, así como para tomar las mejores decisiones de tratamiento. Esto también es esencial para la norma. Y la capacitación de desarrollo seguro es de suma importancia para que todo el equipo de desarrollo de la empresa conozca las mejores prácticas de la industria, los riesgos de seguridad asociados y cómo prevenirlos. A menos que la empresa no cuente con desarrollo interno, ya sea porque no es su giro o porque lo tenga tercerizado, esta capacitación no aplicaría.
👉¿Cuáles son los cursos mínimos indispensables que se deben documentar en el programa de capacitación?
R: No hay cursos mínimos indispensables exigidos por norma. Lo que nos solicita como tal es aplicar una formación y capacitación en seguridad de la información que cubra los siguientes aspectos:
La expresión del compromiso de la alta dirección con la seguridad de la información en toda la empresa.
La necesidad de conocer y cumplir con las normas y obligaciones aplicables a la empresa en seguridad de la información.
La responsabilidad personal por las propias acciones y omisiones, y las responsabilidades generales relativas a asegurar o proteger la información que pertenece a la organización y a terceras partes.
Los procedimientos básicos de seguridad de la información (tales como la notificación de incidentes de seguridad de la información) y los controles básicos (tales como la seguridad de las contraseñas, los controles de software malicioso (malware) y mesas despejadas).
Los puntos de contacto, los recursos de información y consejos adicionales sobre cuestiones de seguridad de la información que incluyan materiales adicionales para profundizar en la capacitación y formación en seguridad de la información.
A gran nivel, los aspectos anteriores son cubiertos por el taller de concientización de seguridad de la información impartido por Hackmetrix.