Isotipo Kymatio
Por qué Kymatio
Partners
Pedir Demo
Solicita demo
ES
Isotipo Kymatio
Por qué Kymatio
Partners
Pide una demo
Este sitio web utiliza cookies

Usamos cookies para personalizar el contenido y los anuncios, para proporcionar funciones de redes sociales y para analizar nuestro tráfico. También compartimos información sobre el uso que hace de nuestro sitio con nuestros socios de redes sociales, publicidad y análisis, quienes pueden combinarla con otra información que les haya proporcionado o que hayan recopilado al utilizar sus servicios.

AceptoAjustes
Configuración de cookies
Kymatio utiliza cookies para mejorar su experiencia. Consulta nuestro Política de privacidad para obtener más información.
Estrictamente necesario (siempre activo)
Cookies necesarias para habilitar la funcionalidad básica del sitio web.
Aceptar todas las cookiesGuardar ajustes
Cerrar
ACTUALIZADO EL 31 DE ENERO DE 2025

Cumplimiento normativo

conformidad
Text Link

Los requisitos de cumplimiento de las diferentes normas industriales y gubernamentales pueden exigir un alto grado de esfuerzo por parte de las organizaciones y, en muchos casos, representan un gran desafío. Debido a la complejidad que implica, las organizaciones a menudo se limitan a cumplir el requisito sin tener en cuenta el verdadero propósito subyacente.

Todas las regulaciones enfatizan la importancia de incluir a las personas en la gestión del riesgo. Por lo tanto, es fundamental contar con soluciones centradas en el elemento humano.

Kymatio ofrece un programa de concientización sobre ciberseguridad centrado en las personas y totalmente automatizado, que proporciona información e informes de riesgo sobre el factor humano, así como la evolución de los niveles de conciencia y alerta, basándose en datos organizacionales reales para cumplir con las normas globales de seguridad de la información.

ISO/IEC 27001 y 27002

Los elementos clave de la norma de seguridad ISO 27001 incluyen la sección A.7.2.2, relacionada con la concienciación, la educación y la formación en materia de seguridad de la información. Exige que todos los empleados y contratistas pertinentes reciban una educación y una formación de sensibilización adecuadas para desempeñar su trabajo de forma correcta y segura, así como actualizaciones periódicas de las políticas y procedimientos de la organización, incluida una comprensión clara de la legislación aplicable que afecta a sus funciones.

CoBit

CoBit hace referencia claramente a la necesidad de capacitar al personal, proporcionando a los empleados la orientación adecuada y la capacitación continua para mantener sus conocimientos, habilidades, controles internos y conciencia de seguridad en el nivel requerido para alcanzar los objetivos de la organización. También hace hincapié en la necesidad de garantizar que los usuarios cumplan con las políticas y los procedimientos, y en que los empleados deben recibir formación sobre la conducta ética y las prácticas de concienciación en materia de seguridad.

EIOPA

En su última revisión (octubre de 2020), la EIOPA introdujo directrices sobre la gobernanza y la seguridad de las tecnologías de la información y la comunicación (TIC), que abordan las TIC y la gestión de los riesgos de seguridad, las TIC en el sistema y la estrategia de gobernanza y las directrices para la función de seguridad de la información. Varias secciones se refieren a la necesidad de incorporar el ciberriesgo humano, no solo como una línea de sensibilización, sino también como un sistema de riesgo que tenga en cuenta el ciberriesgo humano.

TERMINA

El propósito del Esquema Nacional de Seguridad (ENS) es establecer políticas de seguridad para el uso de medios electrónicos, que comprendan los principios básicos y los requisitos mínimos para una protección adecuada de la información. La seguridad debe ser un proceso integral que involucre a todos los elementos humanos, técnicos, organizativos y materiales relacionados con el sistema. Se hace especial hincapié en la conciencia de las personas.

La gestión de riesgos es un aspecto fundamental del proceso de seguridad y debe actualizarse continuamente. La gestión adecuada de los riesgos ayuda a mantener el entorno controlado, lo que reduce los riesgos a niveles aceptables.

PCI-DSS

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se refiere a la necesidad de implementar un programa formal de concientización sobre seguridad para garantizar que todo el personal sea consciente de la importancia de la seguridad de los datos de los titulares de tarjetas. Exige que el personal reciba formación inmediatamente después de la contratación y al menos una vez al año, que haga una declaración anual en la que reconozca que ha leído y comprendido la política y los procedimientos de seguridad de la empresa, que evalúe al personal potencial antes de contratarlo y que lo capacite adecuadamente sobre las responsabilidades de respuesta a las infracciones de seguridad.

Autoridad Bancaria Europea (EBA)

La EBA destaca los requisitos de clasificación y evaluación de riesgos que las instituciones deben cumplir en relación con la criticidad, teniendo en cuenta como mínimo los requisitos de confidencialidad, integridad y disponibilidad. La atención se centra en la mitigación de los riesgos, basándose en las evaluaciones de los riesgos, y en la implementación de medidas para mitigar los riesgos de seguridad y de las TIC. Se hace especial hincapié en la formación y la concienciación sobre la seguridad de la información, por lo que las instituciones financieras deben establecer un programa de formación (que incluya programas periódicos de sensibilización sobre seguridad) para todo el personal y los contratistas a fin de reducir los errores humanos, los robos, el fraude, el uso indebido o la pérdida y abordar los riesgos de seguridad de la información.

NISTIR 8286A: Identificación y estimación del riesgo de ciberseguridad para la gestión de riesgos empresariales (ERM)

Este documento complementa el Informe Interagencial/Interno 8286 del NIST al proporcionar detalles adicionales sobre la orientación, la identificación y el análisis de riesgos. Describe escenarios basados en el impacto potencial de las amenazas y vulnerabilidades en los activos de la empresa y documenta la probabilidad y el impacto de varios eventos de amenaza mediante registros de riesgos de ciberseguridad integrados en los perfiles de riesgo empresarial.

Se hace referencia específica a:

Sensibilización y formación sobre PR.AT:

  • Todo el personal ha sido capacitado en prácticas de seguridad física y de la información.
  • Los usuarios internos pueden ser víctimas de ataques de suplantación de identidad debido a una formación insuficiente.

Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de 1996 se creó para proteger a millones de trabajadores estadounidenses y sus familias con afecciones médicas. Entre sus requisitos principales está la implementación de un programa de concientización y capacitación en materia de seguridad para todos los miembros de la fuerza laboral (incluida la gerencia).

Ley Federal de Gestión de la Seguridad de la Información (FISMA)

La Ley Federal de Gestión de la Seguridad de la Información (FISMA) es un marco diseñado para proteger al gobierno de los EE. UU. de los ataques de ciberseguridad y los desastres naturales que ponen en riesgo los datos confidenciales. Exige concienciar y capacitar en materia de ciberseguridad e informar a todo el personal, incluidos los contratistas y los usuarios de los sistemas de información que respaldan las operaciones de las agencias, sobre los riesgos de seguridad de la información relacionados con sus actividades y sus responsabilidades a la hora de cumplir con las políticas y los procedimientos.

FACTA — Regla de banderas rojas de la FTC

La Ley de Transacciones Crediticias Justas y Precisas (FACTA) es una enmienda a la Ley de Información Crediticia Justa (FCRA) e incluye la Regla de Banderas Rojas, implementada en 2008. La norma exige que las instituciones financieras y los acreedores implementen «señales de alerta» para detectar y prevenir el robo de identidad. Las instituciones deben tener un Programa de Prevención del Robo de Identidad (ITPP) por escrito. Los empleados deben estar capacitados para reconocer las diversas señales de alerta y otros aspectos relevantes del programa de prevención del robo de identidad de la organización.

Ley Gramm-Leach Billey (GLBA)

La Ley Gramm-Leach-Bliley (GLBA), también conocida como Ley de Modernización de los Servicios Financieros de 1999, exige que las agencias y autoridades establezcan estándares apropiados para las instituciones financieras, incluidas las salvaguardias administrativas, técnicas y físicas:

  • Garantizar la seguridad y confidencialidad de los registros y la información de los clientes;
  • Proteger contra amenazas o peligros anticipados para la seguridad o integridad de dichos registros;
  • Protéjase contra el acceso o uso no autorizados de dichos registros o información que puedan ocasionar daños o inconvenientes sustanciales a cualquier cliente.

Sarbanes-Oxley (SOX)

La Ley SOX regula varios controles en los Estados Unidos para mejorar la calidad de la información financiera, centrándose en las normas de contabilidad, el control interno, el gobierno corporativo, la independencia de las auditorías y el aumento de las sanciones por delitos financieros.

Norma de protección de infraestructuras críticas de la North American Electric Reliability Corporation (NERC)

El Estándar de Protección de Infraestructuras Críticas de NERC exige que la entidad responsable establezca, documente, implemente y mantenga un programa de concientización sobre seguridad para garantizar que el personal con acceso cibernético o físico autorizado a los activos cibernéticos críticos reciba un refuerzo continuo en sus prácticas de seguridad sólidas.

El programa debe incluir al menos un refuerzo trimestral de la concienciación en materia de seguridad mediante mecanismos tales como:

  • Comunicaciones directas (por ejemplo, correos electrónicos, notas, formación informática)
  • Comunicaciones indirectas (p. ej., pósteres, intranet, folletos)
  • Apoyo y refuerzo por parte de la administración (por ejemplo, presentaciones, reuniones)

Leyes de privacidad estatales de EE. UU

Varios estados de EE. UU. tienen leyes de privacidad individuales. Algunos ejemplos notables son:

  • Ley de privacidad de la salud de Texas: La H.B. No. 300 § 181.101 exige que los empleados estén capacitados tanto en la ley estatal como en la HIPAA. Las sanciones son tan altas como las que se imponen por infringir la HIPAA.
  • Ley de seguridad de datos de Massachusetts: 201 CMR 17.03 requiere capacitación para mantener un programa integral de seguridad de la información.
  • Pautas federales para la sentencia de organizaciones
  • Guía de la iniciativa de examen de ciberseguridad de la SEC

Basilea III

Basilea III es un conjunto de medidas acordadas internacionalmente desarrolladas por el Comité de Supervisión Bancaria de Basilea en respuesta a la crisis financiera de 2007-2009. Su objetivo es fortalecer la regulación, la supervisión y la gestión de riesgos de los bancos.

Solvencia II

El marco regulatorio de la directiva Solvencia II ayuda a comprender mejor los riesgos del sector de seguros en su conjunto en un mundo cada vez más complejo y globalizado, con riesgos mayores y estrechamente interconectados.

ACTIVA TUS FIREWALLS HUMANOS

Listo para descubrir el riesgo real dentro de tu organización

Pide una demo
Conoce el riesgo real
4,8 en Capterra
Español

Suscríbete al boletín de Kymatio® y recibe consejos e insights sobre ciberseguridad directamente en tu correo.

¡Gracias! ¡Hemos recibido tu email correctamente!
¡Uy! Algo salió mal al enviar el formulario.
Servicios
HRMAssessment  & AwarenessAttack SimulationsBreach ScanDigital Wellbeing
Casos de uso
Sector públicoSector financieroSector sanitarioGrandes empresas
Sobre nosotros
Por qué KymatioConoce KymatioNuestros valoresHistorias de éxito
Recursos
BlogWebinarsWhitepapersNoticias
Contacto
ContactarLinkedInXFacebookYoutube
© 2025 Kymatio. Todos los derechos reservados.
Política de privacidad
·
Cumplimiento
·
Política de cookies
·
Aviso Legal
·
Política de IA