La norma internacional ISO 27001/2 y la formación en materia de concienciación sobre la seguridad de la información.
Históricamente, algunos han considerado que la capacitación para la concienciación sobre la seguridad de la información es más un requisito de cumplimiento que un verdadero control de la seguridad de la información. Sin embargo, con el paso del tiempo y la evolución de las ciberamenazas, esto ya no es así.
Para el cumplimiento de la ISO 27001, es esencial cumplir con la cláusula 7.2.2. Sin embargo, aún más importante es establecer una cultura de seguridad de la información dentro de su organización y asegurarse de que todos los empleados la adopten.
Nuestros empleados son nuestra primera línea de defensa, y es esencial dotarlos de la mentalidad sobre seguridad adecuada.
En este artículo, Ben Pollard - un auditor líder de la ISO 27001, da su consejo sobre la norma internacional para sistemas de gestión de seguridad de la información, ISO 27001/2.
Cómo cumplir la norma ISO 27001/2 mediante la formación en materia de seguridad
Los fundamentos de una formación eficaz para la concienciación en materia de seguridad
Las ventajas de cumplir la norma ISO 27001/2
Cómo empezar hoy mismo
Lograr el cumplimiento y elaborar la cultura de la seguridad humana
La cláusula 7.2.2 del artículo 27001/2 dice:
‘Concienciación, educación y capacitación en materia de seguridad de la información - Todos los empleados de la organización y, cuando proceda también los contratistas, deben recibir una educación y capacitación adecuadas en materia de concienciación y actualizaciones periódicas de las políticas y procedimientos de la organización, según sea pertinente para su función laboral’.
Esto significa que las organizaciones deben desarrollar programas eficaces de formación y concienciación en línea con sus políticas internas de seguridad de la información.
Esto debe hacerse además de seguir las mejores prácticas de la industria, teniendo en cuenta la información corporativa a proteger, y también los controles de seguridad que se han implementado para proteger la información.
Lo que su programa de concienciación sobre seguridad debe incluir
Para cumplir con la norma ISO 27001/2, su programa de capacitación de concienciación sobre seguridad debe considerar diferentes formas de educación y capacitación. Por ejemplo:
-
Alertas de seguridad cibernética y asesores.
Los beneficios de cumplir con la ISO 27001
Cómo hacer que la formación continua en materia de seguridad sea eficaz y razonable
Para realizar un programa de sensibilización se debe:
- Planificar con antelación y tener en cuenta los diferentes papeles de los empleados dentro de su organización.
-
Programar con tiempo y realizar la formación por lo menos mensualmente, para que la formación sea continua y cubra a los nuevos empleados y a contratistas externos.
- El contenido del programa de concienciación también debe actualizarse regularmente para que se mantenga en consonancia con las políticas de la organización, los cambios en el panorama de las amenazas y las lecciones aprendidas de anteriores incidentes
- Descubre cómo la formación automatizada en materia de seguridad de usecure te permite cumplir con los requisitos de formación de la norma ISO 27001 con facilidad
Creemos que seguir estas sencillas directrices ayudará a una empresa a cumplir con la norma ISO 27001/2 cláusula 7.2.2 y, lo que es más importante, educará, capacitará y protegerá a nuestros usuarios contra el constante aluvión de ciberamenazas.
Esto a su vez protegerá a las empresas y a sus clientes, sus datos y por supuesto su reputación.
Cumplir con los requisitos de formación del personal de la ISO 27001 con usecure🚀
Descubre cómo usecure permite a las empresas implementar fácilmente la formación continua de concienciación sobre la seguridad que cumple con los requisitos de la norma ISO 27001 e impulsa la resiliencia de los usuarios a través de la automatización.
Saber más y probar usecure gratuitamente
Sobre el autor - Ben Pollard
Ben Pollard - un auditor líder de la ISO 27001, Director de Especialistas en Seguridad Cibernética y Director No Ejecutivo aquí en usecure
