Si nos concentramos únicamente en colocar herramientas para tratar de contener y detectar ataques informáticos, descuidaremos a uno de los factores más importantes en nuestro esquema de protección, que es el ser humano, una de las medidas que da más valor a los esquemas de protección es la capacitación a las personas, ya que la mayoría de los eventos de seguridad realizados por atacantes involucra a actividades inadvertidas por parte de los usuarios.
El diseño y ejecución de un Plan de Capacitación y Sensibilización de Seguridad de la Información es un tema de gran importancia para la disminución de riesgos relacionados con ataques a las organizaciones utilizando técnicas de Ingeniería Social por lo que su adecuada planeación y ejecución debe de realizarse de forma recurrente y de la mejor manera posible.
Se definen:
• Temas y fechas de las capacitaciones, de acuerdo a:
• El público objetivo
• Los riesgos más altos detectados
•Definir y construir los materiales de sensibilización y entrenamiento.
• Evaluar, medir y cuantificar para la mejora continua.
Objetivo
El objetivo de este plan es definir cómo y cuándo se realizarán las capacitaciones programadas de acuerdo al último Análisis de Riesgos de Seguridad de la Información realizado y a las políticas de seguridad definidas por cada organización
