Política de Capacitación en Seguridad de la Información
Política operativa interna. Establece los requisitos de formación en seguridad para todo el personal de Lawra, S.R.L. Aprobada por la Asamblea en [__]. Versión: 1.0.
1. Propósito y Alcance
1.1. Esta política garantiza que todos los miembros del equipo de Lawra comprenden los riesgos de seguridad relevantes para sus funciones y están capacitados para actuar como primera línea de defensa frente a amenazas internas y externas.
1.2. — Aplica a: todos los socios fundadores, empleados de planta, contratistas a tiempo completo, consultores con acceso a sistemas internos y becarios. Aplica independientemente de la modalidad (presencial, remoto, híbrido).
1.3. — Fundamentos regulatorios y de cumplimiento:
- SOC 2 CC1.4 — La entidad demuestra compromiso con la competencia del personal en materia de seguridad.
- SOC 2 CC2.2 — La entidad comunica internamente sobre objetivos y responsabilidades de seguridad.
- Ley No. 172-13 (R.D.) — Los responsables del tratamiento deben asegurar que el personal esté capacitado en protección de datos.
- GDPR Art. 32(4) — Las medidas de seguridad incluyen capacitación del personal.
2. Estructura del Programa de Capacitación
El programa se organiza en tres niveles:
| Nivel | Audiencia | Cuándo | Duración aprox. |
|---|---|---|---|
| Onboarding | Todo nuevo miembro del equipo | Dentro de los primeros 7 días | 2–3 horas |
| Refresher anual | Todo el equipo activo | Anualmente (Q1 de cada año) | 1–2 horas |
| Formación especializada por rol | Ingeniería / Abogados / Operaciones | Anualmente o ante cambios materiales | 1–2 horas adicionales |
3. Capacitación de Onboarding (Nuevos Ingresos)
3.1. Todo nuevo miembro debe completar la capacitación de onboarding de seguridad dentro de los 7 días calendario siguientes a su primer día de trabajo, antes de recibir acceso a sistemas de producción o a datos de clientes.
3.2. — Contenido mínimo del módulo de onboarding:
a) Fundamentos de seguridad de la información:
- Tríada CIA (Confidencialidad, Integridad, Disponibilidad).
- El marco de clasificación de datos de Lawra (Pública / Interna / Confidencial / Restringida).
- Obligaciones bajo Ley 172-13, Ley 53-07 y, cuando aplique, GDPR.
b) Manejo de credenciales y contraseñas:
- Uso obligatorio de gestor de contraseñas (1Password, Bitwarden o el aprobado por Lawra).
- MFA: configuración obligatoria en todas las cuentas corporativas.
- Prohibición de compartir contraseñas o sesiones activas.
- Política de pantalla bloqueada (bloqueo automático a los 5 minutos).
c) Reconocimiento y respuesta a phishing:
- Señales de correo o mensaje fraudulento.
- Qué hacer al recibir un mensaje sospechoso (no hacer clic, reportar al Oficial de Cumplimiento).
- Ataques de ingeniería social: vishing, smishing, impersonación.
d) Uso seguro de herramientas de IA:
- Qué datos NO se pueden introducir en herramientas de IA externas no aprobadas (ChatGPT, Claude, Copilot u otros) sin autorización previa: datos de clientes, código fuente confidencial, contratos en vigor, información estratégica.
- Diferencia entre el AI Suite de Lawra (aprobado, con controles internos) y herramientas de IA de terceros (sujetas a evaluación).
- Riesgo de prompt injection y alucinaciones: cómo verificar outputs de AI antes de usarlos.
e) Clasificación y manejo de datos:
- Identificar a qué nivel pertenece la información que se maneja.
- Reglas de transmisión: cifrado obligatorio para datos Confidenciales y Restringidos.
- Retención y destrucción: no guardar datos de clientes en almacenamiento personal o no aprobado.
f) Reporte de incidentes:
- Qué cuenta como incidente (pérdida de dispositivo, clic en enlace de phishing, divulgación accidental, sospecha de acceso no autorizado).
- Canal de reporte: correo al Oficial de Cumplimiento + notificación verbal inmediata si es urgente.
- Obligación de reportar: no sancionar el reporte honesto de incidentes accidentales.
g) Política de uso aceptable:
- Breve resumen de la AUP Interna (ver
aup-internal). - Equipos corporativos vs. BYOD: qué está permitido y qué no.
3.3. La capacitación concluye con una evaluación de comprensión (cuestionario breve, mínimo 80% de respuestas correctas para aprobación). Los que no aprueban deben repetir la sección fallida antes de obtener acceso completo.
3.4. El Oficial de Cumplimiento registra la fecha de finalización y el resultado de la evaluación en el expediente del empleado.
4. Refresher Anual (Todo el Equipo)
4.1. En el primer trimestre de cada año (preferentemente febrero), todo el equipo activo completa el módulo de actualización anual.
4.2. — El refresher cubre:
- Actualización sobre amenazas recientes y tendencias (ej. nuevas técnicas de phishing, vulnerabilidades en herramientas usadas por el equipo).
- Revisión de incidentes ocurridos en el año anterior (de forma anonimizada o genérica si es pertinente) y lecciones aprendidas.
- Cambios en las políticas de Lawra (nuevas políticas o modificaciones desde el último ciclo).
- Repaso de temas clave: gestión de contraseñas, clasificación de datos, uso seguro de IA, procedimiento de reporte de incidentes.
- Actualizaciones normativas relevantes: cambios en Ley 172-13, regulaciones de AI, GDPR, etc.
4.3. Los contratistas con más de 3 meses activos están sujetos al mismo requisito de refresher anual.
4.4. La no-finalización del refresher dentro del trimestre correspondiente se registra como hallazgo de cumplimiento y puede resultar en restricción temporal de accesos a sistemas sensibles hasta que se complete.
5. Simulaciones de Phishing
5.1. — Cadencia: Lawra ejecuta simulaciones de phishing trimestrales para todo el equipo, coordinadas por el Oficial de Cumplimiento con apoyo del CTO.
5.2. Las simulaciones son no anunciadas. Se diseñan para replicar patrones actuales de ataque (urgencias falsas, suplantación de proveedores, solicitudes de cambio de datos bancarios, etc.).
5.3. — Métricas registradas:
- Tasa de clics en enlace simulado.
- Tasa de ingreso de credenciales en página falsa.
- Tasa de reporte correcto al Oficial de Cumplimiento.
5.4. — Consecuencias de fallo:
- No se aplican sanciones disciplinarias por fallar en la primera simulación del ciclo anual.
- Quien falle en la simulación recibe inmediatamente un módulo de capacitación reforzada (15–30 minutos) que debe completar dentro de 48 horas.
- Fallos reiterados (≥2 en el mismo año) generan sesión de coaching individual con el Oficial de Cumplimiento.
5.5. Los resultados agregados (sin individualizar salvo para el seguimiento interno) se reportan a la Asamblea en el informe trimestral de cumplimiento.
6. Formación Especializada por Rol
6.1. — Ingeniería y Desarrollo de Software:
Adicionalmente a la formación general, el equipo técnico completa anualmente un módulo de secure coding que cubre:
- OWASP Top 10 y su aplicación en el stack de Lawra (Astro, Firebase, Svelte).
- Gestión segura de secretos: prohibición de hardcoded credentials; uso de variables de entorno + secret managers.
- Seguridad en CI/CD: protección de pipelines, revisión de dependencias, Dependabot.
- Prompt injection y ataques específicos a sistemas de IA: cómo diseñar system prompts resistentes a manipulación.
- Revisión de código con perspectiva de seguridad (code review checklist de seguridad).
- Gestión de vulnerabilidades: proceso de reporte, SLAs de parche.
6.2. — Área Legal y Consultoría:
El equipo de abogados y asesores jurídicos completa un módulo específico sobre:
- Confidencialidad profesional y seguridad digital: obligaciones bajo el secreto profesional y cómo los controles de seguridad las soportan.
- Uso de IA en la práctica legal: limitaciones, riesgos de alucinaciones, obligación de verificar outputs, prohibición de compartir expedientes con herramientas no aprobadas.
- Protección de datos de clientes: Ley 172-13, GDPR, minimización de datos, transmisión segura de documentos.
- Ingeniería social dirigida a abogados: ataques de impersonación de clientes o jueces, solicitudes urgentes de transferencias, fraude en cambio de IBAN.
- Retención y destrucción de documentos: cuándo y cómo destruir correctamente información privilegiada.
6.3. — Operaciones, Customer Success y Marketing:
Módulo complementario sobre:
- Manejo seguro de datos de clientes en herramientas de CRM o comunicación.
- Prohibición de compartir credenciales de clientes o información de acceso a cuentas por canales no cifrados.
- Riesgos de shadow IT: no instalar herramientas no aprobadas en equipos corporativos.
- Privacidad en marketing: reglas para uso de listas de contacto, opt-in, baja de suscripción.
7. Plataforma y Documentación
7.1. La capacitación puede impartirse mediante:
- Módulos asíncronos (Google Slides + formulario, LMS interno, Notion con quiz embebido).
- Sesiones sincrónicas (videoconferencia o presencial) para temas que requieran discusión.
- Materiales complementarios: checklists, guías de referencia rápida, tarjetas de bolsillo.
7.2. El Oficial de Cumplimiento mantiene un registro de completación que incluye:
- Nombre del participante.
- Módulo completado.
- Fecha de completación.
- Resultado de la evaluación (aprobado / repaso requerido).
- Evidencia: captura de pantalla de completación o firma de lista de asistencia.
7.3. Este registro es mantenido por un mínimo de 3 años y está disponible para revisión en auditorías SOC 2.
8. Responsabilidades
| Rol | Responsabilidad |
|---|---|
| Oficial de Cumplimiento | Diseñar y actualizar el programa; coordinar sesiones; mantener registros; reportar a la Asamblea |
| CTO | Diseñar contenido técnico especializado; ejecutar simulaciones de phishing con el OC |
| Gerente | Aprobar el programa; asegurar que la participación sea parte de los objetivos de desempeño |
| Cada empleado / contratista | Completar los módulos en los plazos indicados; aplicar los principios aprendidos; reportar incidentes |
9. Incumplimiento
9.1. No completar la capacitación de onboarding en el plazo de 7 días bloquea el acceso a sistemas de producción hasta que se complete.
9.2. No completar el refresher anual antes del cierre del Q1 es registrado como hallazgo de cumplimiento y reportado en el informe trimestral a la Asamblea.
9.3. Incumplimientos reiterados o patrones de comportamiento de riesgo (ej. múltiples fallos en simulaciones de phishing sin completar la formación reforzada) se tratan como asunto disciplinario bajo el Código de Conducta de Lawra.
10. Referencias Normativas
- SOC 2 Trust Services Criteria: CC1.4 (Competencia del personal), CC2.2 (Comunicación interna)
- NIST SP 800-50 — Building an Information Technology Security Awareness and Training Program
- Ley No. 172-13 (R.D.) — Protección de datos: obligaciones del responsable del tratamiento
- Ley No. 53-07 (R.D.) — Crímenes y Delitos de Alta Tecnología
- GDPR Art. 32(4) — Capacitación del personal como medida de seguridad
- ISO/IEC 27001:2022 — A.6.3 (Concienciación, educación y formación en seguridad de la información)
11. Revisión Periódica
Esta política y el currículo de capacitación se revisan anualmente en el Q4 de cada año para incorporar:
- Nuevas amenazas identificadas en la evaluación de riesgos anual.
- Cambios en las herramientas y sistemas de Lawra.
- Lecciones aprendidas de incidentes ocurridos durante el año.
- Actualizaciones normativas.
Próxima revisión: [fecha de adopción + 12 meses].
Adoptada por la Asamblea General de Socios de LAWRA, S.R.L. en fecha [__], conforme consta en el Libro de Actas.
Por LAWRA, S.R.L. — Gerente
Comments
Loading comments...