🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →

Dominio THP

THP - Ciberseguridad en Talento Humano y Proveedores

Controles THP

THP-01 - Capacitación y Entrenamiento de Ciberseguridad THP-02 - Trabajo Remoto THP-03 - Inventario de la Cadena de Suministro THP-04 - Modelo de Responsabilidad Compartida en la Cadena de Suministro

Herramientas THP

THP-01 - Capacitación y Entrenamiento de Ciberseguridad

Control de formación continua en seguridad de la información para todo el personal

🎯 Objetivo del Control

Establecer un programa integral de capacitación y concientización en ciberseguridad que desarrolle una cultura de seguridad sólida, minimice el riesgo humano y empodere a todos los colaboradores como primera línea de defensa contra amenazas cibernéticas.

📋 Descripción

Este control define el programa de Security Awareness que incluye:

Capacitación inicial obligatoria para nuevos ingresos
Entrenamientos periódicos de actualización y refuerzo
Simulaciones de ataques (phishing, ingeniería social)
Evaluación continua del nivel de concientización
Campañas de comunicación sobre amenazas emergentes

🛡️ Controles Requeridos

Programa de Inducción

Capacitación obligatoria en seguridad para todo nuevo colaborador
Duración mínima: 2 horas de formación interactiva
Contenido fundamental:
- Políticas de seguridad de la información
- Identificación de phishing y ataques de ingeniería social
- Manejo seguro de credenciales y datos sensibles
- Reporte de incidentes de seguridad
- Uso aceptable de recursos tecnológicos
Evaluación de conocimientos (mínimo 80% para aprobar)
Certificado de completitud registrado en RRHH

Capacitación Continua

Entrenamientos trimestrales obligatorios (mínimo 1 hora)
Temas especializados según rol:
- Desarrolladores: Secure coding, OWASP Top 10, DevSecOps
- Administradores: Hardening, gestión de accesos, monitoreo
- Ejecutivos: Riesgos de negocio, compliance, toma de decisiones
- Usuarios finales: Phishing, malware, protección de datos
Microlearning: contenido breve semanal (5-10 minutos)
Webinars sobre amenazas emergentes

Simulaciones y Ejercicios

Phishing Simulado:
- Campañas mensuales de correos de prueba
- Dificultad incremental (básico, intermedio, avanzado)
- Retroalimentación inmediata al hacer clic
- Capacitación correctiva automática para usuarios que fallen
Ingeniería Social:
- Pruebas telefónicas trimestrales (vishing)
- Intentos de tailgating físico (acceso no autorizado)
- Pruebas de USB dropping (dispositivos dejados intencionalmente)
Ejercicios de Respuesta:
- Simulacros de incidentes (tabletop exercises)
- Red team exercises con equipos internos

Métricas y Seguimiento

Dashboard de progreso de capacitaciones
Tasa de completitud por departamento
Resultados de simulaciones de phishing
Indicadores de mejora trimestral
Reporte de incidentes causados por error humano

Comunicación y Cultura

Boletín mensual de seguridad
Carteles y pantallas con tips de seguridad
Canal de Slack/Teams dedicado a seguridad
Reconocimiento a empleados que detecten amenazas
Security Champions en cada área

📊 Métricas e Indicadores

Porcentaje de completitud de capacitaciones (objetivo: 100%)
Tasa de clic en phishing simulado (objetivo: menos de 5%)
Tasa de reporte de phishing real (objetivo: mayor a 70%)
Tiempo promedio de completitud de entrenamientos
Número de incidentes por error humano (tendencia decreciente)
Net Promoter Score (NPS) del programa de capacitación
Cobertura de capacitación por departamento

🔗 Herramientas Recomendadas

Plataformas LMS: KnowBe4, Proofpoint Security Awareness, Mimecast
Phishing Simulado: Gophish, PhishingBox, Cofense
Contenido de Capacitación: SANS Security Awareness, NIST Cybersecurity Framework
Gamificación: CyberArk, Kaspersky Automated Security Awareness Platform
Evaluación: Google Forms, Microsoft Forms, SurveyMonkey

📚 Referencias

Política de Seguridad de la Información
Política de Uso Aceptable de Recursos Tecnológicos
Plan de Respuesta a Incidentes
Política de Clasificación de Información
NIST SP 800-50 - Building an Information Technology Security Awareness Program
ISO/IEC 27001:2022 - Anexo A.6.3 Information Security Awareness
CIS Control 14 - Security Awareness and Skills Training

✅ Checklist de Implementación

Definir objetivos y alcance del programa de capacitación
Seleccionar plataforma LMS y herramientas de simulación
Desarrollar/adquirir contenido de capacitación por rol
Crear calendario anual de entrenamientos
Configurar campañas de phishing simulado
Establecer métricas y dashboard de seguimiento
Designar Security Champions por área
Comunicar lanzamiento del programa a toda la organización
Ejecutar inducción de seguridad para todos los colaboradores
Implementar proceso de capacitación para nuevos ingresos
Establecer revisión trimestral de efectividad del programa
Documentar procedimientos operativos del programa
Integrar con proceso de onboarding de RRHH

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

THP - Ciberseguridad en Talento Humano y Proveedores

Proteger el vector de ataque más afectado

THP-02 - Trabajo Remoto

Control de seguridad para colaboradores en modalidad remota o híbrida

On this page

🎯 Objetivo del Control 📋 Descripción 🛡️ Controles Requeridos Programa de Inducción Capacitación Continua Simulaciones y Ejercicios Métricas y Seguimiento Comunicación y Cultura 📊 Métricas e Indicadores 🔗 Herramientas Recomendadas 📚 Referencias ✅ Checklist de Implementación