PLAN DE

SENSIBILIZACIÓN EN
SEGURIDAD DE LA
INFORMACIÓN

OFICINA DE TECNOLOGÍAS DE LA
INFORMACIÓN

VALLEJO HUAYNE Victor

Andres FAU 20606567694
LUCIANO ESPINOZA soft
Veronica Silveria FAU
20606567694 soft DIRECTOR DE LA OFICINA
DE TECNOLOGIAS DE
ANALISTA EN SEGURIDAD INFORMACION - PEIPEB
DE LA INFORMACION - OTI
- PEIPEB Doy V° B°
En señal de conformidad 2022/02/17 13:07:19
2022/02/17 12:58:10
ALVARADO LIZARME
Patricia FAU 20606567694
soft
DIRECTORA EJECUTIVA -
DE - PEIPEB
P á g i n a 1 | 12
Doy V° B°
2022/02/18 23:45:00
 INDICE

1. OBJETIVO........................................................................................................................... 3
2. FINALIDAD ......................................................................................................................... 3
3. PERSONAL OBJETIVO ................................................................................................... 3
4. MEDIOS Y HERRAMIENTAS DISPONIBLES .............................................................. 3
5. PROGRAMA DE SENSIBILIZACIÓN Y ENTRENAMIENTO ..................................... 3
6. CRONOGRAMA DE IMPLEMENTACIÓN DEL PROGRAMA DE
SENSIBILIZACIÓN Y ENTRENAMIENTO .......................................................................... 11
7. ANEXO: PROTECTOR DE PANTALLA Y MENSAJES (EJEMPLO DE ARTE) .. 11

P á g i n a 2 | 12
1. OBJETIVO
El Plan de sensibilización en Seguridad de la Información es parte fundamental
de cualquier programa de difusión efectivo sobre el Sistema de Gestión de
Seguridad de la Información (SGSI), siendo complementario al marco normativo
de Seguridad de la Información y provee la guía para:
• Definir las estrategias de comunicación y difusión para la ejecución del Plan
de Sensibilización.
• Establecer los mecanismos para un adecuado monitoreo del Plan de
Sensibilización.
• Evaluar la efectividad del Plan de Sensibilización en los usuarios y personal
objetivo de este plan en el PEIP-EB.

2. FINALIDAD
Que todo el personal del PEIP-EB bajo cualquier modalidad de contratación,
tome consciencia del valor de la información institucional y la importancia de
saber cómo protegerla frente a cualquier evento o incidente que pueda afectar
su confidencialidad, integridad y/o disponibilidad.

3. PERSONAL OBJETIVO
Se han identificado tres grupos de personal objetivos en el PEIP-EB:
• Grupo 1 “Usuario final”: Usuarios de unidades funcionales que no se
encuentren involucrados directamente con la seguridad de la información o
la seguridad informática, pero que deben cumplir con las políticas y
procedimientos de seguridad definidas como parte del SGSI.
• Grupo 2 “Usuario Avanzado”: Usuario técnico de seguridad de la información
o de sistemas (Sistemas de Información, Infraestructura Tecnológica, Mesa
de Ayuda, entre otros).
• Grupo 3 “Usuario Directivo”: Usuario responsable de la dirección de una
unidad funcional o Alta Dirección (Director Ejecutivo, Asesores, Directores de
Oficina y Jefes de Unidad).

4. MEDIOS Y HERRAMIENTAS DISPONIBLES

Se han identificado los siguientes medios y herramientas disponibles para el
establecimiento y comunicación del Plan de Sensibilización en el PEIP-EB:
• Charlas de sensibilización
• Boletines electrónicos
• Correos electrónicos
• Intranet institucional
• Protector de Pantalla

5. PROGRAMA DE SENSIBILIZACIÓN Y ENTRENAMIENTO

A continuación, se propone la estructura del contenido de un programa de
sensibilización y entrenamiento para el PEIP-EB.

P á g i n a 3 | 12
 Estructura del Programa

Evaluación de necesidades

1. Diseño Desarrollo de Estrategias y Planes

Definición de prioridades

Aprobación y financiamiento

Programa de Sensibilización Concientización

y Entrenamiento 2. Desarrolo del
Material
Entrenamiento

Difusión

Ejecución
3. Implementación
del Programa
Evaluación

Técnicas para entrega y desarrollo

de materail

Ahora detallaremos las estrategias de sensibilización para la etapa de diseño del

programa.

5.1. Etapa de Diseño

El objetivo de esta etapa es definir la estructura del programa de forma
adecuada, con sus respectivas estrategias y planes a aplicar, de manera
que ésta finalmente sea aprobada y se asegure el éxito en la ejecución del
Programa de Sensibilización y Entrenamiento.

5.1.1. Estructura del Programa

Fase Detalle
- Protectores de pantalla con recomendaciones de
seguridad de la información (cambios mensuales).
I - Envío quincenal de correos electrónicos con
novedades y recomendaciones de seguridad
informática.
- Incluir temas en Intranet sobre Seguridad de la
II Información
- Charlas de inducción sobre delincuencia informática:
III
• Por Facebook
P á g i n a 4 | 12
 • Por Chats
• Por internet
• Virus informático
• Compras por internet

Estas charlas se darán en dos niveles:

• A nivel de usuarios del PEIP-EB
• A nivel de usuarios de OTI
- Charlas de inducción sobre seguridad de la
información basadas en la NTP ISO/IEC
27001:2014
• Información institucional
IV • Datos personales
• Datos sensibles

- Estas charlas se darán en 2 niveles

• A nivel de usuarios del PEIP-EB
• A nivel de usuarios de OTI
- Concursos para incentivar la participación en temas
de seguridad de la información:
• Encuestas por la intranet
• Correo electrónico

- Estos deben ser dados en ciertas temporadas

V • Definir una semana de la seguridad de la
información
• Acogerse a los días establecidos por otras
instituciones:
o Ley de protección de datos personales
o Seguridad cibernética
o Otros
- Talleres especializados de seguridad de la
información
• Para personal designado por cada unidad
funcional
VI
• Para personal que administra recursos
informáticos

- Estos deben ser por lo menos una vez al año

5.1.2. Evaluación de Necesidades

• Apoyo de la Alta Dirección
• Comité de Gobierno Digital
• Apoyo logístico

5.1.3. Desarrollo de Estrategias y Planes

P á g i n a 5 | 12
 Estrategia Grupo Medio / Canal
Mensajes diarios en la semana
previa a la etapa de ejecución del
▪ Correo Electrónico
plan, en relación con 1, 2, 3 ▪ Intranet
publicaciones relacionadas con
Seguridad de la Información.
Promoción de las normas y
procedimientos del marco ▪ Correo Electrónico
1, 2, 3
normativo de seguridad de la ▪ Intranet
información.
Difundir un caso real de la vida
cotidiana donde se vea
▪ Correo Electrónico
involucrada la falta de 1, 2, 3 ▪ Intranet
sensibilización en seguridad de la
información.
▪ Correo Electrónico
▪ Protectores de
Decálogo de Seguridad de la
1, 2, 3 pantalla
Información ▪ Intranet
▪ Curso virtual
Establecer premiaciones a los más
destacados en las charlas y ▪ Correo Electrónico
1, 2, 3
concursos de seguridad de la ▪ Intranet
información.
Generar comunicación externa en
cuanto el compromiso del PEIP-EB
1, 2, 3 ▪ Página Web
por la seguridad de su información
institucional (imagen institucional).

5.1.4. Definición de Prioridades

• Criterios:
- Factibilidad
- Cumplimiento legal
- Urgencia por atender una necesidad
• Comité de Gobierno Digital

5.1.5. Aprobación y financiamiento

El Plan de Sensibilización en Seguridad de la Información debe ser
presentado como un proyecto al Comité de Gobierno Digital a fin de
obtener aprobación formal y se asigne el presupuesto necesario para
su financiamiento.

5.2. Etapa 2: Desarrollo del material

Se brindarán charlas para lograr capacitar y sensibilizar en temas de
seguridad de la información al personal de la institución.

5.2.1. Sensibilización

P á g i n a 6 | 12
 Cantidad Cantidad
Titulo Charla Objetivo Grupos Duración
Charlas Participantes
Sensibilizar a los
Sensibilización
usuarios finales
en Seguridad
en temas de 2 1, 3 20 por charla 1 hora
de la
seguridad de la
Información
información.

5.2.2. Entrenamiento
Cantidad Grup Cantidad
Titulo Charla Objetivo Duración
Charlas os Participantes
Capacitar al 30
personal Teórico
hrs
responsable
de la gestión
Capacitación en de riesgos de
Gestión de seguridad de la
Riesgos de información en 1 2, 3 20
Seguridad de la el PEIP-EB 2
Práctico
Información basado en hrs
estándares
internacionale
s (ISO 27005,
31000).
Capacitar al 16
Capacitación Teórico
personal hrs
para la
responsable
implementación
de la 1 2, 3 20
de la NTP-ISO
implementació 0
27001:2014 en Práctico
n del SGSI en hrs
el PEIP-EB
el PEIP-EB

5.3. Etapa 3: Implementación del Programa

5.3.1. Difusión
Para la difusión del programa se recomienda el uso de los siguientes
mensajes:

Mensaje
Informar acerca de los incidentes de seguridad y de su implicancia en los
servicios brindados.
Crear expectativa… sabes… ¿Qué es información? ¿Qué es un activo?
¿Qué es un activo de información?
Informar acerca del marco normativo de cumplimiento obligatorio de
Seguridad de la Información.
Crear expectativa y provocar participación por parte de los grupos
(direcciones, usuarios) en el PEP-EB acerca, de cómo se debe responder a
las amenazas de la seguridad de información.
Sabes… ¿Cómo debes de comunicar un incidente de seguridad de la
información?

P á g i n a 7 | 12
 La duración estimada es de una Semana (previo al lanzamiento del
programa de Seguridad de la Información)

5.3.2. Ejecución
En esta etapa existirán eventos específicos y constantes. La
participación de los empleados será mayor en esta etapa.
• La duración estimada es de cuatro semanas.
• Los mensajes recomendados son los siguientes:

Mensaje
Conceptos de Seguridad de la Información:
• ¿Qué es Seguridad de Información?
• Propiedades de la Información (Confidencialidad, Integridad y
Disponibilidad)
• ¿Qué es criptografía o cifrado?
• Tipos y clasificación de ataques.
• Elementos de defensa (Firewalls, IDS, IPS, Content analysis).
Informar sobre lo que el PEIP-EB está realizando en seguridad de la
información:
• Publicación de la Política General de Seguridad de la Información
• Publicación del marco de normativo de seguridad de la información
• Definición y publicación de las responsabilidades de la OTI como
encargada de la Seguridad de la Información.
• Definición y publicación de un decálogo de seguridad de la
información
Presentar el Organigrama Jerárquico de Seguridad de la Información:
• Comités de Gobierno Digital
• Oficina de Tecnologías de información
• Equipo de trabajo de Seguridad de la Información conformado por
unidades funcionales
Informar acerca de la gestión de los incidentes de seguridad y de su impacto
en las actividades de la organización.
Informar o provocar participación por parte de los grupos en cómo manejar
los siguientes puntos:
• La necesidad de la participación del personal deL PEP-EB para
crear un ambiente seguro
• Protección de las contraseñas
• Protección de la información de los escritorios de los empleados
• Protección de faxes, impresoras y máquinas de fotocopiado
• Protección ante virus y software malicioso
• Protección contra hoaxes (bromas o engaños)
• Protección ante ataques de ingeniería social
• Protección de información impresa y almacenada en dispositivos de
almacenamiento masivo
• Requisitos reguladores de la seguridad de la información

P á g i n a 8 | 12
 • Las estrategias sugeridas son las siguientes:

Estrategia Grupo Medio / Canal

Declaración por parte de la Alta
Dirección sobre la importancia
▪ Correo Electrónico
de Seguridad de la Información 1,2,3
▪ Intranet
en la cultura organizacional del
PEIP-EB.
Explicación del Logo (diseño y
uso) definido para la campaña ▪ Correo Electrónico
1,2,3
de sensibilización en Seguridad ▪ Intranet
de la Información.
Semana de Seguridad de ▪ Correo Electrónico
1,2,3
Información. ▪ Intranet
▪ Correo Electrónico
Cronograma de capacitaciones 1,2,3
▪ Intranet

5.3.3. Evaluación

La evaluación tiene como objetivo medir el impacto y los resultados

de las etapas anteriores e identificar oportunidades de mejora en la
eficacia del plan. Estas mejoras pueden ser desde la definición de
nuevos medios para comunicar los mensajes de Seguridad de la
Información hasta modificar el calendario o temarios definidos para
la capacitación del personal.

• La duración estimada es de 2 semanas.

• Las estrategias sugeridas son las siguientes:

Estrategia Grupo Medio / Canal

▪ Charlas de
Diseño y uso de encuestas 1,2,3 capacitación
▪ Curso virtual
Ejecución de ataques
controlados de ingeniería social
1,2,3 ▪ Correo Electrónico
para evaluar la reacción de los
usuarios

5.3.4. Técnicas para la entrega y desarrollo del material

En esta etapa se explica a detalle los medios y técnicas de

sensibilización que serán utilizados en el PEIP-EB

Medio y técnica de
N° Indicadores clave de desempeño
sensibilización
• Realizar las capacitaciones dentro del
horario laboral.
1 Charlas de capacitación • Realizar capacitaciones virtuales o visitar
el local laboral para evitar transportes
adicionales.
P á g i n a 9 | 12
 Medio y técnica de
N° Indicadores clave de desempeño
sensibilización
• Invitar a ponentes que no laboren en el
PEIP-EB para captar un mayor interés de
los usuarios.
• Emplear recursos audiovisuales para
reforzar las ideas expuestas.
• Desarrollar presentaciones motivando la
participación del personal.
• Distribuir documentación relacionada al
tema expuesto.
• Establecer un sistema de encuestas que
permita evaluar el impacto en el
personal.
• Distribuir las ediciones de los boletines
con una frecuencia uniforme (mensual).
• Notificar mediante correo electrónico la
ruta en la que se puede acceder al
boletín.
• Procurar que dicho mensaje de correo
Boletines electrónicos tenga una presentación visualmente
2
atractiva.
• Señalar los ítems más importantes del
boletín dentro del mensaje de
notificación.
• Establecer un sistema de encuestas que
permita evaluar el impacto en el
personal.
• El correo electrónico enviado debe ser
sencillo de entender.
• El mensaje enviado debe estar
acompañado de imágenes relacionadas
3 Correos electrónicos
con el contenido.
• Establecer un sistema de encuestas que
permita evaluar el impacto en el
personal.
• Colocar en la página de inicio una
ventana emergente o panel sobre la
Campaña de Sensibilización de
Seguridad de la Información.
• Publicar anuncios y artículos referentes
a la seguridad de la información.
4 Intranet
• Promocionar las normas y
procedimientos de seguridad de la
información.
• Establecer un sistema de encuestas que
permita evaluar el impacto en el
personal.
• Los mensajes deben ser cortos y
directos.
• En la medida de lo posible se sugiere
5 Protector de Pantalla mostrar contenido visual y no escrito.
• El contenido debe ser actualizado de
forma mensual, o en según la
organización lo disponga.

P á g i n a 10 | 12
6. CRONOGRAMA DE IMPLEMENTACIÓN DEL PROGRAMA DE
SENSIBILIZACIÓN Y ENTRENAMIENTO

7. ANEXO: WALLPAPERS Y MENSAJES (EJEMPLO DE ARTE)

P á g i n a 11 | 12
 ANEXO
EJEMPLOS DE WALLPAPERS Y MENSAJES

• WALLPAPER:

• MENSAJES POR CORREO ELECTRÓNICO

P á g i n a 12 | 12