NORMA ISO/IEC 27001:2013 – SECURITY AWARENESS.

 



Autor:

Michelle Naomi Salto Jiménez

 

La norma ISO/IEC 27001:2013 incluye requisitos de capacitación o concientización en seguridad informática, está mencionada en el propio cuerpo de la norma como requisito y en el Anexo A, por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es necesario no sólo llevar adelante un programa de capacitación y concientización sino también contar con un registro que lo evidencie. ISO/IEC 27001 ofrece una lista bastante exhaustiva de controles que se toman como una especie de checklist en el 6.1.1 Tratamiento de Riesgos de Seguridad de la información, y su aplicabilidad dependerá de los riesgos a los que se halla expuesta la información, por lo que algunos controles pueden ser excluibles del alcance del SGSI (Sistema de Gestión de Seguridad de la Información) a través del SOA (Statement Of Aceptability).

Para el caso del requerimiento de “capacitación y concientización” podemos verlo incluido en ambas normas:

ISO/IEC 27001:2013:

7.2 Competencia/Competence

7.3 Concientización/Awareness

ISO/IEC 27002:2013:

7.2.2 - Concientización, educación y entrenamiento en seguridad de la información

 

REQUISITOS:

 

ISO/IEC 27001:2013

7.2 Competencia

La organización deberá:

A) determinar la competencia necesaria de la(s) persona(s) que realiza(n) un trabajo bajo su control que afecte su desempeño en materia de seguridad de la información;

B) asegurar que estas personas sean competentes en base a una educación, capacitación o experiencia apropiada;

C) cuando sea aplicable, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las acciones emprendidas; y

D) conservar la información documentada apropiada como prueba de su competencia.

7.3 Concientización/Awareness

Las personas que trabajan bajo el control de la organización deben tener en cuenta:

A) la política de seguridad de la información;

B) su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluidos los beneficios de mejorar el desempeño de la seguridad de la información; y

C) las consecuencias de no cumplir con los requisitos del sistema de gestión de la seguridad de la información.

 

 

ISO/IEC 27002:2013

7.2.2 - Concientización, educación y entrenamiento en seguridad de la información

Siendo algunos de los puntos más relevantes de la guía debería establecerse un programa de capacitación y concientización, el mismo debería incluir una serie de actividades de sensibilización, puede utilizar diferentes medios de comunicación, incluyendo aulas presenciales, a distancia, web-based, a su propio ritmo y otros. Debe actualizarse el contenido periódicamente y basarse en las lecciones aprendidas de los incidentes de seguridad de la información, las actividades del programa deben programarse con el tiempo, preferentemente con regularidad, de modo que las actividades se repitan y cubran a los nuevos empleados todo esto también debe alcanzar a los contratistas. Mientras aprovecha la guía mencionar sobre la importancia de lograr y medir la asimilación y el cambio de comportamiento:

Al componer un programa de concienciación, es importante no sólo centrarse en el "qué" y "cómo", sino también en el "por qué". Es importante que los empleados comprendan el objetivo de la seguridad de la información y el impacto potencial, positivo y negativo, en la organización de su propio comportamiento.

 

Certificación.

Basados en la ISO/IEC 27001 las empresas trabajan con personas que necesitan ser concientizadas y capacitadas acerca del control de ISO/IEC 27002, un requisito poco factible de excluir se puede concluir que la capacitación y concientización en seguridad informática a los usuarios es un requisito para poder certificarse. Es necesario no sólo llevar adelante estas capacitaciones sino también llevar un registro de las acciones tomadas por el personal de la organización y evaluar la eficacia de las acciones tomadas.




  

Comentarios