Tema
SAT-001: Programa de Concienciación y Capacitación en Seguridad
| Campo | Valor |
|---|---|
| ID | SAT-001 |
| Versión | 1.0 |
| Fecha de Emisión | 2026-03-13 |
| Próxima Revisión | 2027-03-13 |
| Propietario | CISO / Recursos Humanos |
| PCI DSS | Requisitos 6.5, 9.5.1.3, 12.6 |
| Preguntas ControlCase | Q42, Q88 |
1. Propósito
Definir el programa de concienciación y capacitación en seguridad de la información para todo el personal de Fintrixs, asegurando que cada persona comprenda sus responsabilidades de seguridad y las amenazas que enfrenta la organización.
2. Alcance
| Audiencia | Tipo de Capacitación | Frecuencia |
|---|---|---|
| Todo el personal (empleados + contratistas) | Concienciación general en seguridad | Anual + al ingresar |
| Desarrolladores | Desarrollo seguro (OWASP, PCI DSS coding) | Anual |
| DevOps / Infraestructura | Seguridad de infraestructura y operaciones | Anual |
| Equipo de Respuesta a Incidentes | Plan de respuesta a incidentes | Anual |
| Gerencia | Gobernanza y responsabilidades PCI DSS | Anual |
3. Programa de Concienciación General
3.1 Contenido Obligatorio (Todo el personal)
| # | Tema | Duración Aprox. | Obligatorio |
|---|---|---|---|
| 1 | ¿Qué es PCI DSS? — Importancia de proteger datos de tarjetas, consecuencias de una brecha | 15 min | ✅ |
| 2 | Política de Seguridad de la Información — Resumen de POL-001 y políticas subordinadas | 15 min | ✅ |
| 3 | Clasificación de datos — Cómo identificar y manejar datos según su clasificación | 10 min | ✅ |
| 4 | Contraseñas y autenticación — Política de contraseñas, MFA, no compartir credenciales | 10 min | ✅ |
| 5 | Phishing y ingeniería social — Cómo reconocer y reportar intentos de phishing | 15 min | ✅ |
| 6 | Uso aceptable — Resumen de POL-013, dispositivos, internet, email | 10 min | ✅ |
| 7 | Reporte de incidentes — Cómo reportar un incidente o actividad sospechosa | 10 min | ✅ |
| 8 | Seguridad física — Escritorio limpio, bloqueo de pantalla, visitantes | 5 min | ✅ |
| 9 | Amenazas actuales — Tendencias de ataques relevantes al sector fintech/pagos | 10 min | ✅ |
3.2 Métodos de Entrega
| Método | Descripción |
|---|---|
| Sesión presencial/virtual | Sesión en vivo con Q&A |
| E-learning | Módulos interactivos online |
| Documentación | Material de lectura con cuestionario |
| Simulación de phishing | Campañas de phishing simulado (al menos semestral) |
| Boletines de seguridad | Comunicaciones periódicas con tips de seguridad |
4. Capacitación Especializada — Desarrolladores (Q42)
4.1 Contenido de Desarrollo Seguro
| # | Tema | Referencia | Duración Aprox. |
|---|---|---|---|
| 1 | OWASP Top 10 — Las 10 vulnerabilidades más críticas en aplicaciones web | owasp.org | 2 horas |
| 2 | Inyección (SQL, NoSQL, Command) — Prevención con ORMs, parameterized queries | A03:2021 | 30 min |
| 3 | Autenticación y gestión de sesiones — JWT, MFA, session management seguro | A07:2021 | 30 min |
| 4 | Cifrado y protección de datos — Uso correcto de AES-256-GCM, Argon2id, TLS | A02:2021 | 30 min |
| 5 | Validación de input — class-validator, sanitización, protección contra XSS | A03:2021 | 20 min |
| 6 | Control de acceso — RBAC, RLS, principio de menor privilegio | A01:2021 | 20 min |
| 7 | Logging seguro — Qué loggear, qué NUNCA loggear (PAN, CVV, passwords) | A09:2021 | 15 min |
| 8 | Gestión de dependencias — npm audit, Dependabot, supply chain security | A06:2021 | 15 min |
| 9 | Secretos en código — Por qué nunca hardcodear secretos, uso de env vars / K8s Secrets | Best practice | 10 min |
| 10 | Code review de seguridad — Checklist de revisión, qué buscar | PCI DSS 6.3 | 20 min |
| 11 | Datos de prueba — No usar datos reales, PANs de prueba estándar | PCI DSS 6.5.4 | 10 min |
4.2 Técnicas de Capacitación para Desarrolladores
| Técnica | Frecuencia |
|---|---|
| Taller OWASP con ejemplos del propio código | Anual |
| Code review sessions enfocadas en seguridad | Mensual |
| CTF (Capture The Flag) interno | Semestral (recomendado) |
| Revisión de CVEs relevantes al stack (Node.js, NestJS) | Según publicación |
5. Capacitación Especializada — DevOps
5.1 Contenido
| # | Tema | Duración Aprox. |
|---|---|---|
| 1 | Hardening de contenedores y Kubernetes | 1 hora |
| 2 | Gestión de firewalls y network policies | 30 min |
| 3 | Monitoreo de seguridad (Prometheus, Grafana, alertas) | 30 min |
| 4 | Gestión de parches y vulnerabilidades | 30 min |
| 5 | Procedimiento de respuesta a incidentes (técnico) | 1 hora |
| 6 | Backup y recuperación | 30 min |
| 7 | Gestión de claves y rotación | 20 min |
6. Registros y Evidencia
6.1 Documentación de Capacitación
Para cada sesión de capacitación se mantiene:
| Evidencia | Detalle |
|---|---|
| Lista de asistencia | Nombre, cargo, firma, fecha |
| Material utilizado | Presentación, documento, enlace a e-learning |
| Evaluación/Cuestionario | Resultados (aprobado/no aprobado) |
| Certificado (si aplica) | Certificado de completación |
6.2 Registro Anual por Empleado
| Campo | Valor |
|---|---|
| Nombre del empleado | |
| Fecha de ingreso | |
| Capacitación de ingreso completada | ☐ Sí (Fecha: //____) |
| Capacitación anual más reciente | Fecha: //____ |
| Resultado de evaluación | ☐ Aprobado ☐ Requiere refuerzo |
| Capacitación especializada (si aplica) | Tipo: _______ Fecha: //____ |
| Próxima capacitación programada | Fecha: //____ |
6.3 Registro Consolidado
| Métrica | Valor | Fecha |
|---|---|---|
| % personal con capacitación al día | ___% | //____ |
| Empleados pendientes de capacitación | ___ personas | |
| Tasa de aprobación de evaluaciones | ___% | |
| Simulaciones de phishing realizadas | ___ | |
| Tasa de clic en phishing simulado | ___% |
7. Reconocimiento de la Política de Seguridad
7.1 Formulario de Reconocimiento
Yo, _________________________, confirmo que:
- He recibido y leído la Política de Seguridad de la Información (POL-001) y las políticas subordinadas aplicables a mi rol.
- He completado la capacitación de concienciación en seguridad de la información.
- Comprendo mis responsabilidades de seguridad como se describen en las políticas.
- Comprendo las consecuencias del incumplimiento de las políticas de seguridad.
- Me comprometo a cumplir con todas las políticas de seguridad de Fintrixs.
- Reportaré inmediatamente cualquier incidente de seguridad o actividad sospechosa.
Nombre: _________________________
Cargo: _________________________
Firma: _________________________
Fecha: //____
7.2 Frecuencia de Firma
| Evento | Requerimiento |
|---|---|
| Ingreso a la empresa | Firma obligatoria antes de recibir acceso a sistemas |
| Renovación anual | Firma con cada ciclo de capacitación anual |
| Cambio significativo de política | Re-firma dentro de 30 días |
8. Mejora Continua
| Actividad | Frecuencia | Responsable |
|---|---|---|
| Revisión del contenido de capacitación | Anual | CISO |
| Actualización con nuevas amenazas | Según necesidad | CISO |
| Análisis de resultados de phishing simulado | Después de cada campaña | CISO |
| Encuesta de efectividad de la capacitación | Anual | CISO + RRHH |
| Benchmarking con estándares de la industria | Anual | CISO |
Historial de Revisiones
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | 2026-03-13 | CISO / RRHH | Documento inicial |
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO / Oficial de Seguridad | _________________ | _________________ | //____ |
| Recursos Humanos | _________________ | _________________ | //____ |
| Gerencia Ejecutiva | _________________ | _________________ | //____ |