Normas de formación y concientización sobre ciberseguridad

La ciudad y el condado de San Francisco se dedican a desarrollar un sólido programa de ciberseguridad para respaldar, mantener y proteger su información y sus sistemas. La Norma de capacitación y concientización sobre ciberseguridad es una norma de implementación de la Política de ciberseguridad de toda la ciudad.

Propósito y alcance

Este documento establece el Estándar de capacitación y concientización sobre ciberseguridad de la Ciudad y el Condado de San Francisco (CCSF). El estándar ayudará a CCSF a mitigar los riesgos de ciberseguridad mediante la capacitación de los usuarios, la documentación de la capacitación y la comunicación con ellos sobre las mejores prácticas de ciberseguridad.

Los objetivos del Estándar de Concientización y Capacitación en Ciberseguridad incluyen:

1. Mejorar la conciencia de los usuarios sobre la necesidad de proteger la tecnología, la información y los sistemas.
2. Garantizar que los usuarios comprendan claramente sus responsabilidades en la protección de la información y los sistemas.
3. Asegurarse de que los usuarios estén informados sobre las políticas, estándares, pautas, procedimientos y prácticas de ciberseguridad del CCSF.
4. Desarrollar los conocimientos y habilidades de los usuarios para que puedan realizar su trabajo de forma segura.
5. Garantizar que el CCSF cumpla con las regulaciones gubernamentales federales, estatales y locales y otros requisitos.

Esta norma se aplica a todos los usuarios de los sistemas de información del CCSF con acceso a sistemas críticos. Estos usuarios pueden incluir: funcionarios, funcionarios electos, empleados (incluidos funcionarios públicos permanentes, exentos, temporales, de tiempo completo y parcial y provisionales), consultores, proveedores, pasantes, voluntarios o cualquier otra persona que trabaje en nombre de la Ciudad y el Condado de San Francisco. A estos individuos se los denomina colectivamente “usuarios” a los efectos de esta norma.

Requisitos

Los usuarios de los sistemas de información del CCSF con acceso a sistemas críticos deberán participar en una capacitación de concientización sobre ciberseguridad, que incluye:

1. Todos los usuarios deben realizar una capacitación anual sobre concientización sobre ciberseguridad en forma de capacitación basada en computadora (CBT) o talleres dirigidos por un instructor.
2. Todos los usuarios nuevos deben realizar una capacitación obligatoria sobre concientización sobre ciberseguridad en forma de CBT o talleres dirigidos por un instructor.
3. Se puede brindar refuerzo de concientización y capacitación adicional a través de boletines informativos, carteles, campañas de phishing, protectores de pantalla, transmisiones web, talleres y eventos nacionales relacionados con la ciberseguridad.

El responsable de seguridad de la información del departamento (DISO) y el personal de recursos humanos (RR. HH.) del departamento deben conservar los registros de finalización de la capacitación y deben tener acceso a ellos. Los registros se conservarán durante un mínimo de 2 años a partir de la última fecha de finalización, o durante más tiempo según los requisitos del departamento.

Aprobado el 21 de noviembre de 2019