- Obtener enlace
- Correo electrónico
- Otras aplicaciones
Autor:
Michelle Naomi Salto Jiménez
La norma ISO/IEC 27001:2013
incluye requisitos de capacitación o concientización en seguridad informática,
está mencionada en el propio cuerpo de la norma como requisito y en el Anexo A,
por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es
necesario no sólo llevar adelante un programa de capacitación y concientización
sino también contar con un registro que lo evidencie. ISO/IEC 27001 ofrece una
lista bastante exhaustiva de controles que se toman como una especie de
checklist en el 6.1.1 Tratamiento de Riesgos de Seguridad de la información, y
su aplicabilidad dependerá de los riesgos a los que se halla expuesta la
información, por lo que algunos controles pueden ser excluibles del alcance del
SGSI (Sistema de Gestión de Seguridad de la Información) a través del SOA
(Statement Of Aceptability).
Para el caso del
requerimiento de “capacitación y concientización” podemos verlo incluido en
ambas normas:
ISO/IEC 27001:2013:
7.2 Competencia/Competence
7.3
Concientización/Awareness
ISO/IEC 27002:2013:
7.2.2 - Concientización,
educación y entrenamiento en seguridad de la información
REQUISITOS:
ISO/IEC 27001:2013
7.2 Competencia
La organización deberá:
A) determinar la competencia
necesaria de la(s) persona(s) que realiza(n) un trabajo bajo su control que
afecte su desempeño en materia de seguridad de la información;
B) asegurar que estas personas
sean competentes en base a una educación, capacitación o experiencia apropiada;
C) cuando sea aplicable,
tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de
las acciones emprendidas; y
D) conservar la información
documentada apropiada como prueba de su competencia.
7.3
Concientización/Awareness
Las personas que trabajan
bajo el control de la organización deben tener en cuenta:
A) la política de seguridad
de la información;
B) su contribución a la
eficacia del sistema de gestión de la seguridad de la información, incluidos
los beneficios de mejorar el desempeño de la seguridad de la información; y
C) las consecuencias de no
cumplir con los requisitos del sistema de gestión de la seguridad de la
información.
ISO/IEC 27002:2013
7.2.2 - Concientización,
educación y entrenamiento en seguridad de la información
Siendo algunos de los puntos
más relevantes de la guía debería establecerse un programa de capacitación y
concientización, el mismo debería incluir una serie de actividades de
sensibilización, puede utilizar diferentes medios de comunicación, incluyendo
aulas presenciales, a distancia, web-based, a su propio ritmo y otros. Debe
actualizarse el contenido periódicamente y basarse en las lecciones aprendidas
de los incidentes de seguridad de la información, las actividades del programa
deben programarse con el tiempo, preferentemente con regularidad, de modo que
las actividades se repitan y cubran a los nuevos empleados todo esto también
debe alcanzar a los contratistas. Mientras aprovecha la guía mencionar sobre la
importancia de lograr y medir la asimilación y el cambio de comportamiento:
Al componer un programa de
concienciación, es importante no sólo centrarse en el "qué" y
"cómo", sino también en el "por qué". Es importante que los
empleados comprendan el objetivo de la seguridad de la información y el impacto
potencial, positivo y negativo, en la organización de su propio comportamiento.
Certificación.
Basados en la ISO/IEC 27001
las empresas trabajan con personas que necesitan ser concientizadas y
capacitadas acerca del control de ISO/IEC 27002, un requisito poco factible de
excluir se puede concluir que la capacitación y concientización en seguridad
informática a los usuarios es un requisito para poder certificarse. Es necesario
no sólo llevar adelante estas capacitaciones sino también llevar un registro de
las acciones tomadas por el personal de la organización y evaluar la eficacia
de las acciones tomadas.
Comentarios
Publicar un comentario