Estándar de concientización y capacitación en ciberseguridad

La ciudad y el condado de San Francisco se dedican a desarrollar un sólido programa de ciberseguridad para respaldar, mantener y proteger su información y sus sistemas. La Norma de capacitación y concientización sobre ciberseguridad es una norma de implementación de la Política de ciberseguridad de toda la ciudad.

Este documento establece el Estándar de Concientización y Capacitación en Ciberseguridad de la Ciudad y Condado de San Francisco (CCSF). Este estándar ayudará a la CCSF a mitigar los riesgos de ciberseguridad mediante la capacitación de los usuarios, la documentación de la capacitación y la comunicación con ellos sobre las mejores prácticas de ciberseguridad.

Los objetivos del Estándar de Concientización y Capacitación en Ciberseguridad incluyen:

1. Mejorar la conciencia de los usuarios sobre la necesidad de proteger la tecnología, la información y los sistemas.
2. Asegurarse de que los usuarios comprendan claramente sus responsabilidades en la protección de la información y los sistemas.
3. Asegurarse de que los usuarios estén informados sobre las políticas, estándares, pautas, procedimientos y prácticas de ciberseguridad del CCSF.
4. Desarrollar los conocimientos y habilidades de los usuarios para que puedan realizar su trabajo de forma segura.
5. Garantizar que el CCSF cumpla con las regulaciones gubernamentales federal, estatales y locales y otros requisitos.

Esta norma se aplica a todos los usuarios de los sistemas de información del CCSF con acceso a sistemas críticos. Estos usuarios pueden incluir: funcionarios, funcionarios electos, empleados (incluidos funcionarios públicos permanentes, exentos, temporales, de tiempo completo y parcial, y provisionales), consultores, proveedores, becarios, voluntarios o cualquier otra persona que trabaje en nombre de la Ciudad y el Condado de San Francisco. A estos usuarios se les denomina colectivamente "usuarios" a efectos de esta norma.

Los usuarios de los sistemas de información del CCSF con acceso a sistemas críticos deberán participar en una capacitación de concientización sobre ciberseguridad, que incluye:

1. Todos los usuarios deben realizar una capacitación anual sobre concientización sobre ciberseguridad en forma de capacitación basada en computadora (CBT) o talleres dirigidos por un instructor.
2. Todos los usuarios nuevos deben realizar una capacitación obligatorio sobre concientización sobre ciberseguridad en forma de CBT o talleres dirigidos por un instructor.
3. Se puede brindar refuerzo de concientización y capacitación adicional a través de boletines informativos, carteles, campañas de phishing, protectores de pantalla, transmisiones web, talleres y eventos nacionales relacionados con la ciberseguridad.

El Oficial de Seguridad de la Información del Departamento (DISO) y el personal de Recursos Humanos (RR. HH.) del departamento deben conservar los registros de finalización de la capacitación, que deben estar accesibles para ellos. Los registros se conservarán durante un mínimo de dos años a partir de la última fecha de finalización, o durante más tiempo según los requisitos del departamento.

Todos los usuarios de los sistemas de información del CCSF

• Completar la capacitación anual requerida y participar en otros eventos de concientización.

Director de Seguridad de la Información de la Ciudad (CCISO)

• Trabajar con el Departamentos de Recursos Humanos (HRD) para facilitar la implementación de programas efectivos de concientización y capacitación en ciberseguridad en toda la ciudad.
• Proporcionar una plataforma de capacitación y concientización sobre ciberseguridad que los departamentos puedan utilizar para cumplir con esta norma.
• Publicar anualmente una capacitación básica de concientización sobre ciberseguridad, basada en roles. Los departamentos pueden adaptar su programa de capacitación a sus necesidades.

Oficiales de Seguridad de la Información Departamental (DISO) o Director de Seguridad de la Información

• Organizar capacitaciones sobre concientización sobre ciberseguridad y otras actividades de concientización para el personal designado en sus respectivos departamentos.
• Asegúrese de que el programa de capacitación y concientización sobre ciberseguridad del departamento cumpla con los requisitos reglamentarios y de cumplimento conformida del Departamentos y esta norma.
• Trabajar con el personal de RR.HH. del departamento u otro puesto designado por el Departamentos para realizar un seguimiento de la participación en la capacitación sobre concientización sobre ciberseguridad dentro de sus departamentos.

Departamentos de Recursos Humanos (HRD)

• Trabajar con el Director de Seguridad de la Información de la Ciudad (CCISO) para facilitar la implementación de programas efectivos de concientización y capacitación en ciberseguridad en toda la ciudad.
• Proporcionar una plataforma de capacitación y concientización sobre ciberseguridad que los departamentos puedan utilizar para cumplir con esta norma.
• Trabajar con el personal de RR.HH. del departamento u otro puesto designado por el Departamentos para realizar un seguimiento de la participación en la capacitación sobre concientización sobre ciberseguridad dentro de sus departamentos.

Personal de Recursos Humanos del Departamento u otro personal responsable de gestionar la capacitación

• Mantener registros de la finalización de la capacitación anual de los empleados.

Jefes de Departamentos

• Garantizar el cumplimento conformida de esta norma y programa en sus departamentos.

Auditor de Servicios Municipales

• Evaluar el cumplimento conformida de esta norma.

Un Departamentos puede restringir el acceso a los sistemas de información de cualquier usuario que no cumpla con el requisito de capacitación anual de concientización, hasta que se cumpla con dicho requisito.

• Publicación especial 800-50 del NIST
• Publicación especial 800-16 del NIST