Históricamente, algunos han considerado que la capacitación para la concienciación sobre la seguridad de la información es más un requisito de cumplimiento que un verdadero control de la seguridad de la información. Sin embargo, con el paso del tiempo y la evolución de las ciberamenazas, esto ya no es así.
Para el cumplimiento de la ISO 27001, es esencial cumplir con la cláusula 7.2.2. Sin embargo, aún más importante es establecer una cultura de seguridad de la información dentro de su organización y asegurarse de que todos los empleados la adopten.
Nuestros empleados son nuestra primera línea de defensa, y es esencial dotarlos de la mentalidad sobre seguridad adecuada.
En este artículo, Ben Pollard - un auditor líder de la ISO 27001, da su consejo sobre la norma internacional para sistemas de gestión de seguridad de la información, ISO 27001/2.
Cómo cumplir la norma ISO 27001/2 mediante la formación en materia de seguridad
Los fundamentos de una formación eficaz para la concienciación en materia de seguridad
Las ventajas de cumplir la norma ISO 27001/2
Cómo empezar hoy mismo
La cláusula 7.2.2 del artículo 27001/2 dice:
‘Concienciación, educación y capacitación en materia de seguridad de la información - Todos los empleados de la organización y, cuando proceda también los contratistas, deben recibir una educación y capacitación adecuadas en materia de concienciación y actualizaciones periódicas de las políticas y procedimientos de la organización, según sea pertinente para su función laboral’.
Esto significa que las organizaciones deben desarrollar programas eficaces de formación y concienciación en línea con sus políticas internas de seguridad de la información.
Esto debe hacerse además de seguir las mejores prácticas de la industria, teniendo en cuenta la información corporativa a proteger, y también los controles de seguridad que se han implementado para proteger la información.
Para cumplir con la norma ISO 27001/2, su programa de capacitación de concienciación sobre seguridad debe considerar diferentes formas de educación y capacitación. Por ejemplo:
Alertas de seguridad cibernética y asesores.
Para realizar un programa de sensibilización se debe:
Programar con tiempo y realizar la formación por lo menos mensualmente, para que la formación sea continua y cubra a los nuevos empleados y a contratistas externos.
Creemos que seguir estas sencillas directrices ayudará a una empresa a cumplir con la norma ISO 27001/2 cláusula 7.2.2 y, lo que es más importante, educará, capacitará y protegerá a nuestros usuarios contra el constante aluvión de ciberamenazas.
Esto a su vez protegerá a las empresas y a sus clientes, sus datos y por supuesto su reputación.
Descubre cómo usecure permite a las empresas implementar fácilmente la formación continua de concienciación sobre la seguridad que cumple con los requisitos de la norma ISO 27001 e impulsa la resiliencia de los usuarios a través de la automatización.
Saber más y probar usecure gratuitamente
Ben Pollard - un auditor líder de la ISO 27001, Director de Especialistas en Seguridad Cibernética y Director No Ejecutivo aquí en usecure