GOBIERNO DE LA

CIBERSEGURIDAD
Actividad 2 (grupal): Elaboración de una norma de seguridad

Descripción breve
Desarrollar una norma de seguridad en el contexto del cuerpo normativo de seguridad de
una organización.

Miembros Correo
Molano Solis, Eloy eloy.molano396@comunidadunir.net
Baselga Mateo, Carlos carlos.baselga724@comunidadunir.net
Santiago Félix, Alejandro alejandro.santiago743@comunidadunir.net
Contenido
1. Introducción .................................................................................................................................... 2
2. Objetivo ........................................................................................................................................... 2
3. Ámbito............................................................................................................................................. 3
4. Documentación relacionada ........................................................................................................... 3
5. Roles y responsabilidades ............................................................................................................... 3
5.1. Estructura de seguridad......................................................................................................... 3
5.2. Estructura operacional del sistema ....................................................................................... 4
6. Seguridad de redes y comunicaciones ............................................................................................ 5
6.1. Configuración y Seguridad de Router .................................................................................... 5
6.2. Configuración y Seguridad de Switches................................................................................. 7
6.3. Reglas específicas de gestión de IDS e IPS............................................................................. 9
6.4. Logs y auditorías de eventos en Redes................................................................................ 10
6.5. Reglas específicas de gestión de los Firewalls. .................................................................... 11
6.6. Acceso externo a los servicios de la empresa. .................................................................... 12
6.7. Prohibición del Uso de Redes WiFi y Access Points............................................................. 12
7. Capacitación y Concienciación ...................................................................................................... 13
7.1. Políticas de Capacitación ..................................................................................................... 13
7.2. Evaluación y Seguimiento .................................................................................................... 14
7.3. Responsabilidades ............................................................................................................... 14
7.4. Frecuencia ........................................................................................................................... 14

4
1. Introducción

Hoy en día las redes y los sistemas de comunicación desempeñan un papel fundamental en el
desarrollo de las operaciones de cualquier organización, sin embargo, representan, por otra parte, un
riesgo significativo ante posibles amenazas, tanto externas, como internas, que pueden comprometer
su correcto funcionamiento. Por ello, es primordial contar con normas claras y efectivas que
garanticen y aseguren la seguridad de las redes y comunicaciones.

La empresa XXX establece esta norma para regular el uso y la protección de sus redes y sistemas de
comunicación. A raíz de estas medidas de seguridad se busca garantizar que las comunicaciones y
redes de la empresa sean seguras, eficientes y conformes a las mejores prácticas internacionales de
seguridad de la información.

Esta norma, no solo abarca la implementación de controles técnicos, como el uso de firewalls y
sistemas de autenticación robustos, sino también el compromiso de todos los usuarios para actuar de
manera responsable y proactiva frente a la gestión de incidentes y vulnerabilidades. De este modo, se
promueve un entorno de trabajo digital más confiable y resiliente frente a los desafíos actuales.

2. Objetivo

El principal objetivo de la Norma de Seguridad de Redes y Comunicaciones es garantizar que las redes
y sistemas de comunicación de la organización sean utilizados de manera segura, eficiente y conforme
a las políticas de seguridad establecidas. Esto incluye la protección de la información transmitida a
través de las redes contra accesos no autorizados, alteraciones y destrucción, asegurando así la
confidencialidad, integridad y disponibilidad de los datos.

Un objetivo secundario, pero igualmente importante, es que todos los usuarios de las redes y sistemas
de comunicación comprendan y cumplan con las medidas de seguridad implementadas, así como los
procedimientos para la gestión de incidentes y vulnerabilidades. Esto incluye la formación y
concienciación sobre las mejores prácticas de seguridad en redes y comunicaciones.

Se entiende por redes y sistemas de comunicación:

• Infraestructura de red: Incluye servidores, routers, switches, firewalls, puntos de acceso

inalámbrico y cualquier otro dispositivo de red.
• Sistemas de comunicación: Incluyen sistemas de correo electrónico, sistemas de mensajería
instantánea, sistemas de videoconferencia y cualquier otro medio de comunicación digital.
• Protocolos y servicios de red: Incluyen protocolos de transmisión de datos (TCP/IP, HTTP,
HTTPS, etc.), servicios de red (DNS, DHCP, etc.) y aplicaciones de red.

La presente norma desarrolla los principios generales de la seguridad identificados en la política de

seguridad de los sistemas de información vigente, específicamente, en el apartado V1.6 "Gestión de
la seguridad de la red", con el objetivo de garantizar la protección de las redes corporativas frente a
amenazas internas y externas, asegurando la confidencialidad, integridad y disponibilidad de las
comunicaciones en el entorno corporativo.

2
3. Ámbito

Esta norma aplica a todas las redes y sistemas de comunicación, así como a los responsables de la
gestión y seguridad, asegurando que las actividades realizadas en la infraestructura de redes y
sistemas de comunicación cumplan con los estándares establecidos por la organización.

Las responsabilidades contempladas en esta norma están exclusivamente relacionadas con el ámbito
de la seguridad de las redes y los sistemas de comunicación.

4. Documentación relacionada

• Norma de Operación y Gestión de Herramientas de Ciberdefensa

• CCN-STIC 201. Organización y gestión para la seguridad de las TIC.
• CCN-STIC 1454. Procedimiento de Empleo Seguro Routers CISCO ASR9000 y NCS4200 Series

5. Roles y responsabilidades

En el marco de la norma de Seguridad de redes y comunicaciones se deberá diferenciar dos estructuras

diferentes con sus roles y responsabilidades:

5.1. Estructura de seguridad

5.1.1 Responsable de seguridad de las TIC (CISO).

• Liderar la planificación, implementación y supervisión de la estrategia de seguridad de la
información en la organización.
• Gestionar y coordinar el cumplimiento de las políticas de seguridad.
• Asegurar el desarrollo de planes de gestión de riesgos de seguridad TIC.
• Supervisar auditorías de seguridad y gestionar las medidas correctivas.
• Actuar como enlace entre la alta dirección y el equipo técnico en temas de seguridad.

5.1.2 Centro de Operaciones de Ciberseguridad (COCS).

• Supervisar y monitorear la red y sistemas de la organización para detectar y responder a
incidentes de ciberseguridad.
• Gestionar sistemas SIEM (Security Information and Event Management) y otras
herramientas de seguridad.
• Analizar eventos de seguridad y tomar decisiones sobre escalamiento y mitigación.
• Generar informes de actividades y amenazas detectadas.
• Mantener una vigilancia constante para prevenir y responder a ataques.

3
 5.1.3 Equipo de Respuesta a Incidentes (ERI).
• Actuar rápidamente ante incidentes de ciberseguridad para contener, mitigar y resolver
problemas.
• Analizar las causas raíz de los incidentes para evitar su recurrencia.
• Desarrollar y actualizar procedimientos de respuesta a incidentes.
• Colaborar con el COCS para gestionar y escalar incidentes críticos.
• Documentar los incidentes y elaborar informes post-incidente.

5.1.4 Responsable de Seguridad Física (RSF).

• Asegurar la protección de las instalaciones y equipos físicos que soportan los sistemas
TIC.
• Implementar controles de acceso físico a las áreas críticas.
• Coordinar la instalación y mantenimiento de sistemas de vigilancia (CCTV, alarmas, etc.).
• Realizar auditorías de seguridad física y gestionar medidas correctivas.
• Colaborar con el CISO para asegurar la alineación entre seguridad física y TIC.

5.2. Estructura operacional del sistema

5.2.1 Responsable del Sistema (RSIS).

• Asegurar que los sistemas cumplen con los requisitos de seguridad establecidos.
• Coordinar las tareas de administración y mantenimiento del sistema.
• Garantizar que el sistema esté actualizado y protegido contra vulnerabilidades.
• Supervisar las actividades del AES y AER.
• Informar al CISO sobre el estado de los sistemas y sus riesgos.

5.2.2 Administrador Especialista en Seguridad (AES).

• Configurar, gestionar y monitorear las herramientas de seguridad del sistema (firewalls,
IDS/IPS, antivirus, etc.).
• Implementar y verificar el cumplimiento de las políticas de seguridad.
• Realizar auditorías de seguridad técnica y proponer medidas correctivas.
• Colaborar en la detección y mitigación de vulnerabilidades en el sistema.
• Apoyar al RSIS en tareas técnicas relacionadas con la seguridad.

5.2.3 Administrador Especialista en la Red (AER).

• Diseñar, implementar y mantener la infraestructura de red de la organización.
• Configurar y gestionar dispositivos de red (routers, switches, firewalls, etc.).
• Monitorizar el tráfico de red para detectar posibles amenazas.
• Colaborar con el AES y el ERI en la mitigación de incidentes relacionados con la red.
• Asegurar la disponibilidad, integridad y confidencialidad de las comunicaciones.

5.2.4 Usuarios del sistema (USR).

• Utilizar los sistemas y recursos TIC de acuerdo con las políticas y procedimientos
establecidos.
• Reportar cualquier anomalía o incidente de seguridad al ERI o al CISO.
• Participar en formaciones y actividades relacionadas con la seguridad.

4
 • Evitar prácticas que puedan comprometer la seguridad del sistema (como compartir
contraseñas).
• Cumplir con las directrices de seguridad definidas por la organización.

6. Seguridad de redes y comunicaciones

6.1. Configuración y Seguridad de Router

El Administrador Especialista en la Red (AER) deberá configurar, como mínimo, los siguientes
parámetros en los routers CISCO de la empresa:

Para la configuración de red:

• Asignación de IP estática: Asignar una dirección IP estática a la interfaz de gestión para

facilitar el acceso al dispositivo.
• Protocolo SSH: Habilitar el protocolo SSH, versión 2, como único método para el acceso
remoto, desactivando protocolos no seguros como Telnet.

Para la gestión de usuarios:

• Modelo AAA: Activar el modelo AAA (Autenticación, Autorización y Auditoría) para gestionar
el acceso al dispositivo.
• Cuentas de usuario: Crear cuentas de usuario con contraseñas robustas, siguiendo las
políticas internas de gestión de credenciales. Configurar la complejidad en las contraseñas
para forzar el uso de contraseñas robustas.
• Niveles de privilegio: Configurar niveles de privilegio para cada usuario según sus
responsabilidades y permisos.

Para la sincronización de tiempo:

• Servidores NTP: Configurar el router para sincronizarse con servidores NTP seguros,
garantizando la precisión de los registros de auditoría.

Para la seguridad de acceso:

• Listas de control de acceso (ACL): Implementar listas de control de acceso (ACL) para
restringir el tráfico entrante y saliente según las políticas de seguridad de la organización.
• Segmentación de redes: Segmentar las redes mediante el uso de redes virtuales (VLAN),
creando una específica para administración.
• Deshabilitación de interfaces no necesarias: Deshabilitar las interfaces no necesarias.
Bloquear los puertos consola y AUX.
• Protección contra ataques de fuerza bruta: Proteger frente a ataques de fuerza bruta los
inicios de sesión de los usuarios.

5
 • Deshabilitación de servicios y protocolos innecesarios: Deshabilitar servicios y protocolos
innecesarios para reducir la superficie de ataque.

Para auditoría y monitoreo:

• Envío de logs: Configurar el envío de logs a un servidor Syslog centralizado para su análisis y
almacenamiento seguro.
• Verificación de integridad: Implementar herramientas para verificar periódicamente la
integridad del sistema y detectar posibles alteraciones no autorizadas.

Para las copias de seguridad:

• Respaldos periódicos: Realizar respaldos periódicos de la configuración del router,

almacenándolos en ubicaciones seguras y verificando su integridad regularmente.

Para las configuraciones de seguridad adicionales:

• Protección del acceso de arranque: Proteger el acceso de arranque configurando una

contraseña para evitar cambios no autorizados.
• DHCP Snooping: Configurar DHCP Snooping para evitar ataques de suplantación del servidor
DHCP.
• Dynamic ARP Inspection: Habilitar Dynamic ARP Inspection para proteger de ataques ARP
spoofing.
• Storm Control: Habilitar Storm Control para proteger las interfaces del router contra
ataques de tormenta de tráfico (broadcast, multicast).
• Deshabilitación de protocolos inseguros: Deshabilitar protocolos inseguros de
comunicación como SNMP v1 y v2c y Telnet.

Para mantenimiento y actualizaciones

• Monitoreo de alertas de seguridad: Monitorear las alertas de seguridad de Cisco y aplicar

actualizaciones o parches según sea necesario para mantener la seguridad del dispositivo.
• Revisión y ajuste de configuraciones: Revisar y ajustar las configuraciones periódicamente
para asegurar su alineación con las políticas de seguridad vigentes.

6
6.2. Configuración y Seguridad de Switches

El Administrador Especialista en la Red (AER) deberá configurar, como mínimo, los siguientes
parámetros en los switches de la empresa:

Para el acceso por Consola y SSH:

• Protocolo SSH: Después de realizar la configuración inicial, habilitar SSH v2 como único
método de acceso remoto, deshabilitando Telnet.
• Contraseñas robustas: Configurar contraseñas robustas para acceso a la consola, líneas VTY
y modo privilegiado.

Para la gestión de usuarios:

• Modelo AAA: Activar el modelo AAA (Autenticación, Autorización y Auditoría).

• Cuentas de usuario: Configurar cuentas de usuario con contraseñas seguras y asignar niveles
de privilegio según roles.

Para la segmentación de la red (VLANs):

• Configuración de VLANs: Configurar VLANs para separar segmentos de red y reducir la

propagación de ataques.
• Asignación de puertos: Asignar puertos a VLANs específicas y configurar una VLAN dedicada
para la gestión.

Para la habilitación de seguridad de puertos (Port Security):

• Restricción de direcciones MAC: Restringir el número de direcciones MAC permitidas por

puerto y bloquear puertos con actividad no autorizada.

Para la configuración de DHCP Snooping:

• DHCP Snooping: Habilitar DHCP Snooping para evitar ataques de suplantación de servidor
DHCP.

Para la protección contra ataques de capa 2:

• ARP Inspection: Activar ARP Inspection para proteger contra ataques ARP Spoofing.
• Storm Control: Configurar Storm Control para limitar el tráfico broadcast, multicast y unicast
desconocido.

Para Spanning Tree Protocol (STP):

• Root Guard y BPDU Guard: Configurar Root Guard y BPDU Guard para proteger contra
ataques y configuraciones no deseadas en Spanning Tree.

Para la seguridad de acceso a la gestión:

• Listas de control de acceso (ACL): Limitar el acceso a las interfaces de gestión mediante
listas de control de acceso (ACL).

7
Para la auditoría y monitoreo:

• Envío de logs: Configurar el envío de logs a un servidor Syslog centralizado para análisis.
• SNMPv3: Habilitar SNMPv3 para la gestión segura del dispositivo.

Para la protección contra Denegación de Servicio (DoS):

• QoS: Implementar QoS para priorizar el tráfico crítico y proteger contra ataques de
inundación.
• Control Plane Policing (CoPP): Configurar Control Plane Policing (CoPP) para proteger el
plano de control del switch.

Para las copias de seguridad y recuperación:

• Respaldos periódicos: Realizar copias de seguridad periódicas de la configuración del switch

y almacenarlas de forma segura.

Para mantenimiento y actualizaciones:

• Monitoreo de alertas de seguridad: Monitorear alertas de seguridad y aplicar

actualizaciones de firmware.
• Revisión y ajuste de configuraciones: Revisar las configuraciones periódicamente para
asegurar su alineación con las políticas de seguridad

8
6.3. Reglas específicas de gestión de IDS e IPS

La configuración, gestión y mantenimiento de los sistemas de detección de intrusos (IDS), de los

sistemas de prevención de intrusos (IPS) y del sistema de gestión de información y eventos de
seguridad (SIEM) de la empresa estarán sujetos a los lineamientos establecidos en la Norma de
Operación y Gestión de Herramientas de Ciberdefensa. Esta norma detalla los procedimientos
específicos que deberán seguir los administradores de ciberdefensa para:

Para configurar reglas y políticas de detección en el IDS e IPS:

• Definir umbrales y criterios de detección precisos: Establecer umbrales y criterios precisos

para la detección de intrusiones, asegurando que el IDS e IPS pueda identificar y responder a
amenazas en tiempo real.
• Implementar respuestas automáticas ante incidentes: Configurar el IDS e IPS para que
implemente respuestas automáticas ante incidentes, como el bloqueo de tráfico malicioso o
la generación de alertas.

Para definir las fuentes de datos y correlaciones en el SIEM:

• Seleccionar y configurar fuentes de datos relevantes: Identificar y configurar las fuentes de

datos relevantes que el IDS e IPS utilizará para la detección de amenazas, como logs de
dispositivos de red y sistemas de seguridad.
• Crear reglas de correlación para detectar patrones de amenazas: Desarrollar reglas de
correlación para detectar patrones de amenazas y actividades sospechosas, mejorando la
capacidad del IDS e IPS para identificar ataques complejos.

Para monitorear, analizar y responder a eventos y alertas de seguridad:

• Realizar monitoreo continuo y en tiempo real: Realizar monitoreo continuo y en tiempo

real de los eventos y alertas generados por el IDS e IPS, asegurando una respuesta rápida a
posibles incidentes.
• Evaluar la gravedad de eventos y alertas: Evaluar la gravedad de los eventos y alertas
generados por el IDS e IPS para determinar la respuesta adecuada.
• Responder adecuadamente a cada incidente: Implementar procedimientos para responder
adecuadamente a cada incidente detectado por el IDS e IPS, incluyendo la contención,
mitigación y resolución de amenazas.

Para mantener actualizados los sistemas para garantizar su eficacia Frente a nuevas amenazas:

• Aplicar actualizaciones y parches de seguridad regularmente: Realizar revisiones periódicas

de las políticas y configuraciones del IDS e IPS para asegurar que estén alineadas con las
mejores prácticas y las necesidades de seguridad de la organización.
• Ajustar configuraciones según nuevas amenazas emergentes: Proporcionar capacitación
continua al personal encargado de la gestión del IDS e IPS para asegurar que estén al tanto
de las últimas amenazas y técnicas de mitigación.

9
6.4. Logs y auditorías de eventos en Redes

La configuración, gestión y mantenimiento de los logs y auditorías de eventos en redes de la

empresa estarán sujetos a los lineamientos establecidos en la Norma de Operación y Gestión de
Herramientas de Ciberdefensa. Esta norma detalla los procedimientos específicos que deberán
seguir los administradores de ciberdefensa para:

Para la generación de logs:

• Dispositivos de Red: Todos los dispositivos de red (routers, switches, firewalls, etc.) deben
estar configurados para generar logs de eventos relevantes, incluyendo accesos,
configuraciones y errores.
• Sistemas de Seguridad: Los sistemas de detección de intrusos (IDS), sistemas de prevención
de intrusos (IPS) y firewalls deben registrar todos los eventos de seguridad, incluyendo
intentos de acceso no autorizado y ataques detectados.
• Servidores y Aplicaciones: Los servidores y aplicaciones críticas deben generar logs
detallados de acceso, cambios de configuración y eventos de seguridad.

Para almacenamiento de logs:

• Centralización: Todos los logs deben ser enviados a un servidor centralizado de logs (Syslog)
para su almacenamiento y análisis.
• Retención: Los logs deben ser retenidos por un período mínimo de un año, o según lo
requieran las políticas de la organización y las regulaciones aplicables.
• Seguridad: Los logs deben ser almacenados de manera segura, con acceso restringido a
personal autorizado. Se deben implementar medidas para proteger los logs contra
alteraciones y accesos no autorizados.

Para la auditoría de logs:

• Revisión Periódica: Los logs deben ser revisados periódicamente para identificar actividades
anómalas y posibles incidentes de seguridad. La frecuencia de las revisiones debe ser
definida por la política de seguridad de la organización.
• Herramientas de Análisis: Se deben utilizar herramientas de análisis de logs y sistemas de
gestión de información y eventos de seguridad (SIEM) para facilitar la identificación de
patrones sospechosos y correlaciones entre eventos.
• Informes de Auditoría: Se deben generar informes de auditoría que resuman los hallazgos
de las revisiones de logs, incluyendo cualquier incidente de seguridad identificado y las
acciones tomadas para mitigarlo.
• Responsabilidades: La responsabilidad de la auditoría de logs debe recaer en el equipo de
ciberseguridad, que debe estar capacitado para interpretar los logs y responder
adecuadamente a los incidentes.

Para la mejora Continua:

• Actualización de Políticas: Las políticas y procedimientos de generación y auditoría de logs

deben ser revisados y actualizados regularmente para adaptarse a nuevas amenazas y
tecnologías.

10
 • Capacitación: El personal encargado de la gestión y auditoría de logs debe recibir
capacitación continua para mantenerse actualizado en las mejores prácticas y herramientas
de análisis de logs.

6.5. Reglas específicas de gestión de los Firewalls.

Los firewalls son un componente esencial para la protección de las redes corporativas, ya que actúan
como barreras de control entre diferentes segmentos de red, bloqueando accesos no autorizados y
limitando el impacto de posibles ataques. La gestión de los firewalls en la organización se establece
bajo los siguientes principios y medidas:

Para la implementación y configuración inicial:

• Tráfico permitido: Solo se permitirá el tráfico que sea estrictamente necesario para el
funcionamiento de las operaciones y servicios corporativos.
• Definición de zonas: Las zonas deben definirse claramente en función de la criticidad de los
activos y la sensibilidad de la información que gestionan.
• Bloqueo de tráfico no autorizado: Se debe bloquear y denegar todo el tráfico entrante y
saliente que no esté permitido de manera específica.
• Registro de tráfico: Los firewalls deben estar configurados para registrar todo el tráfico
permitido y bloqueado.
• Almacenamiento seguro de registros: Los registros deben ser almacenados de manera segura
y revisados periódicamente para identificar actividades anómalas y amenazas para el sistema.
• Políticas de seguridad: El tráfico entre zonas debe ser autorizado específicamente por
políticas de seguridad implementadas en listas de control de acceso.

Para la gestión y el mantenimiento:

• Revisión de reglas y políticas: Las reglas y políticas de seguridad de los firewalls deben ser
revisadas, como mínimo, una vez cada trimestre para garantizar que estén actualizadas en
todo momento.
• Eliminación de reglas obsoletas: Las reglas y políticas de seguridad obsoletas, no utilizadas o
innecesarias serán eliminadas.
• Actualización de firewalls: Todos los firewalls deben mantenerse actualizados con los últimos
parches de seguridad proporcionados por el fabricante.
• Gestión de vulnerabilidades: Cualquier vulnerabilidad detectada debe ser gestionada de
acuerdo con los procedimientos de gestión de incidentes de la organización.
• Pruebas de penetración: Se realizarán pruebas de penetración de forma periódica para
comprobar la eficiencia de las políticas de filtrado implementadas en los firewalls.
• Detección de reglas conflictivas: Es recomendable utilizar herramientas de análisis para
detectar reglas conflictivas en las políticas de filtrado.
• Copias de seguridad: Las configuraciones de los firewalls deben ser respaldadas regularmente
con copias de seguridad.

11
6.6. Acceso externo a los servicios de la empresa.

Por motivos de seguridad y protección de los activos de la organización, queda estrictamente

prohibido el acceso remoto a los servicios internos de la empresa bajo cualquier circunstancia. Esto
incluye, pero no se limita, a conexiones mediante VPN, acceso directo a servidores internos,
aplicaciones corporativas o cualquier otro recurso alojado en la red interna.

La única excepción a esta norma será el servidor de correo electrónico corporativo, ubicado en la DMZ
(Zona Desmilitarizada), que estará configurado específicamente para permitir un acceso seguro y
controlado desde ubicaciones externas. Este servidor será supervisado y gestionado con medidas
estrictas de seguridad para garantizar la integridad y confidencialidad de las comunicaciones.

Esta política busca minimizar la superficie de ataque y proteger los sistemas críticos de posibles
amenazas provenientes de conexiones externas no controladas. El cumplimiento de esta norma es
obligatorio y estará sujeto a auditorías periódicas para verificar su correcta implementación. Comentado [CBM1]: Dejamos este apartado como los
anteriores que al terminar se ponía un salto de página?

Si no deberíamos borrar el salto en todos…

Comentado [AS2R1]: Solo están es lo que quedan
6.7. Prohibición del Uso de Redes WiFi y Access Points realmente mal, como veas mejor

Con el objetivo de garantizar la máxima seguridad en las comunicaciones y minimizar los riesgos
asociados a redes inalámbricas, queda terminantemente prohibido el uso de redes WiFi o puntos de
acceso (Access Points) en las instalaciones de la empresa.

Todas las conexiones a los sistemas y servicios corporativos deberán realizarse exclusivamente
mediante redes cableadas, que ofrecen mayor control, estabilidad y protección frente a posibles
ataques. Esta medida aplica, tanto a empleados, como a terceros que requieran acceso a la red de la
organización.

El despliegue, configuración o conexión de dispositivos inalámbricos sin autorización explícita será

considerado una infracción grave de esta norma y estará sujeto a las sanciones correspondientes.

Esta política refuerza la seguridad de las comunicaciones y garantiza un entorno controlado para la
transmisión de datos sensibles de la empresa. Su cumplimiento será revisado periódicamente
mediante auditorías de seguridad.

12
7. Capacitación y Concienciación

La capacitación y concienciación en materia de seguridad de redes y comunicaciones es un pilar

fundamental para garantizar que todos los integrantes de la organización entiendan, respeten y
apliquen las medidas de seguridad establecidas. Se busca conseguir los siguientes objetivos:

• Hay que asegurar que todos los empleados, incluidos los directivos, usuarios finales y
personal técnico, tengan un conocimiento adecuado de los riesgos asociados a las redes y
comunicaciones.
• Promover una cultura de seguridad en toda la organización, en la que los empleados se
sientan responsables de proteger los activos de información.
• Mantener al personal técnico actualizado respecto a las mejores prácticas, nuevas amenazas
y tecnologías de protección.

Se considera importante resaltar que este apartado aplica a todos los empleados de la organización,
ya sean usuarios finales o administradores de las redes y comunicaciones.

A continuación, se describirán las Políticas de Capacitación, Evaluación y Seguimiento,

Responsabilidades y la Frecuencia de repetición de esta norma.

7.1. Políticas de Capacitación

Capacitación Inicial

Todo nuevo empleado debe participar en un programa de inducción que incluya una introducción a
las políticas de seguridad de la información y los procedimientos específicos de seguridad de redes.

Este programa debe incluir temas básicos como el uso seguro de contraseñas, identificación de
correos fraudulentos y protocolos de uso de la red corporativa.

Formación Continua

Se realizarán cursos periódicos para actualizar a los empleados sobre nuevas amenazas y medidas de
seguridad adoptadas por la organización.

El personal técnico (administradores de redes, CISO, etc.) recibirá formación específica en

herramientas avanzadas de ciberseguridad, gestión de incidentes y nuevas tecnologías.

Sensibilización General

Se implementarán campañas de concienciación que incluyan boletines informativos, infografías y

vídeos educativos sobre seguridad de redes y comunicaciones.

Estas campañas estarán dirigidas a fomentar buenas prácticas como evitar conexiones a redes Wi-Fi
no seguras, identificar phishing y proteger información sensible.

13
Simulacros y Ejercicios Prácticos

Periódicamente se realizarán simulacros de incidentes de seguridad, como intentos de phishing o

ataques de denegación de servicio, para evaluar la preparación del personal y mejorar los tiempos de
respuesta.

Los resultados de los simulacros se utilizarán para ajustar las capacitaciones futuras y reforzar áreas
de mejora detectadas.

7.2. Evaluación y Seguimiento

Los empleados deben completar evaluaciones tras cada programa de formación para medir su nivel
de comprensión.
Se realizarán auditorías periódicas para verificar la efectividad de las iniciativas de capacitación y
concienciación.

Los responsables de cada área deberán reportar el cumplimiento de la formación de su personal.

7.3. Responsabilidades

• CISO: Diseñar y coordinar los programas de capacitación en colaboración con el área de

Recursos Humanos.
• Directores y Jefes de Área: Garantizar que todos los miembros de su equipo participen en las
actividades de formación.
• Empleados y Colaboradores: Asistir a las sesiones de capacitación y aplicar los conocimientos
adquiridos en su trabajo diario.

7.4. Frecuencia

La capacitación inicial se realizará durante el primer mes tras la incorporación de un nuevo empleado.
La formación continua y las campañas de sensibilización se llevarán a cabo, como mínimo, dos veces
al año.
Los simulacros de incidentes se realizarán, al menos, una vez al año.

14