🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

Formación en concienciación sobre seguridad según la norma ISO 27001: la guía completa (actualización de 2026)

La certificación ISO 27001 es un distintivo de prestigio que demuestra el compromiso de su organización con la gestión y la protección de la información confidencial.

La norma esboza un marco para la gestión de la seguridad, incluido el compromiso de concienciar y formar a los empleados.

Sin embargo, comprender a la perfección qué es exactamente lo que se espera de su organización puede resultar complicado. La norma ISO 27001 contiene una gran cantidad de texto. E incluso después de leerla varias veces, es posible que aún le queden dudas.

En este artículo, explicaremos qué establece la norma ISO 27001 en materia de concienciación sobre seguridad, qué cambios se han introducido en la última revisión de 2022 (cuya aplicación será obligatoria a partir de 2026) y cómo puede implementar la formación en concienciación sobre seguridad de la norma ISO 27001 en su organización. También hemos incluido una lista de verificación exhaustiva para ayudarle a prepararse para su próxima auditoría.

En pocas palabras: ¿qué es la norma ISO 27001?

La norma ISO 27001 es una norma relativa a los sistemas de gestión de la seguridad de la información (a menudo denominados SGSI). El objetivo de esta norma es ofrecer un enfoque para gestionar y proteger la información confidencial.

Los componentes clave de la norma ISO 27001 son:

  • Evaluación de riesgos
  • Elaboración de políticas
  • Funciones y responsabilidades claras
  • Sensibilización

Las organizaciones que deciden adherirse a esta norma suelen ser organismos gubernamentales, organizaciones sanitarias, instituciones financieras y cualquier otra organización que maneje información confidencial.

Obtener la certificación no es un paseo. Implica un riguroso proceso de auditoría para comprobar si su organización cumple la norma.

¿Qué ha cambiado en la norma ISO 27001 para 2026?

La revisión de la norma ISO 27001:2022 ha introducido cambios significativos en la norma. El plazo de transición finalizó el 31 de octubre de 2025, lo que significa que, a partir de 2026, todas las organizaciones certificadas deberán cumplir con la versión actualizada. A continuación, le explicamos qué ha cambiado y cómo afecta esto a su programa de concienciación sobre seguridad.

Controles reestructurados del anexo A

La versión anterior (ISO 27001:2013) contaba con 114 controles distribuidos en 14 categorías. La revisión de 2022 los ha agrupado en 93 controles repartidos en 4 temas:

  • Controles organizativos (37 controles)
  • Controles de personas (8 controles)
  • Controles físicos (14 controles)
  • Controles tecnológicos (34 controles)

Nuevas medidas relacionadas con la formación en materia de sensibilización

La revisión de 2022 introdujo 11 nuevos controles. Varios de ellos afectan directamente a los programas de formación en concienciación sobre seguridad:

  • A.5.7 – Información sobre amenazas: Las organizaciones deben recopilar y analizar información sobre amenazas. La formación en materia de concienciación debe reflejar amenazas reales y actuales, en lugar de situaciones genéricas.
  • A.6.3 – Sensibilización, educación y formación en materia de seguridad de la información: ahora se trata de un control independiente (anteriormente incluido en el apartado A.7.2.2). Exige explícitamente un programa formal de sensibilización con pruebas documentadas de su eficacia.
  • A.8.12 – Prevención de fugas de datos: Los empleados deben comprender cómo se producen las fugas de datos y cómo evitarlas. Esto debe formar parte de los contenidos de su formación.
  • A.8.23 – Filtrado web: El personal debe comprender por qué se restringe determinado contenido web y cómo informar sobre sitios web sospechosos.
  • A.5.23 – Seguridad de la información en el uso de servicios en la nube: Dada la creciente adopción de la nube, los empleados necesitan formación sobre el uso seguro de la nube, el intercambio de datos y la gestión de accesos.

Qué significa esto para tu programa de entrenamiento

Si tu programa de formación se basaba en la versión de 2013, debes actualizarlo. Las medidas clave son las siguientes:

  • Revisar y actualizar los contenidos formativos para incluir los nuevos controles
  • Añadir módulos sobre inteligencia de amenazas, seguridad en la nube y prevención de fugas de datos
  • Asegúrate de que tu formación refleje la nueva estructura de cuatro temas
  • Actualizar las referencias de la documentación, sustituyendo los números de control antiguos por los nuevos

¿Qué establece la norma ISO 27001 en materia de concienciación sobre la seguridad?

La norma ISO 27001 menciona la importancia de la concienciación sobre la seguridad en varias cláusulas.

  • Cláusula 7.2 - Competencia: La norma exige a las organizaciones que determinen la competencia necesaria de los empleados implicados en la seguridad de la información.
  • Cláusula 7.3 - Concienciación: Las organizaciones deben asegurarse de que los empleados son conscientes de la política de seguridad de la información, los objetivos pertinentes, y sus funciones y responsabilidades en la consecución de estos objetivos.
  • Cláusula 8.2 - Comunicación: ISO 27001 hace hincapié en la importancia de la comunicación interna en relación con el sistema de gestión de seguridad de la información, incluyendo la promoción de la conciencia de la seguridad de la información.
  • Cláusula 8.2.2 - Información Security Awareness, Educación y Formación: Las organizaciones deben asegurarse de que el personal conoce la política de seguridad de la información y es competente en las áreas de su trabajo relacionadas con la seguridad de la información.

Medidas de control del anexo A de la norma ISO 27001 relacionadas con la sensibilización en materia de seguridad

Además de las cláusulas mencionadas anteriormente, varios controles del anexo A exigen directamente la formación en concienciación sobre seguridad o se benefician de ella. Comprenderlos te ayudará a diseñar un programa de formación que abarque todas las áreas auditables.

A.5.1 – Políticas de seguridad de la información

La política de seguridad de la información debe comunicarse a todos los empleados. La formación debe garantizar que todos los miembros del equipo comprendan la política, lo que implica para su trabajo diario y las consecuencias de su incumplimiento.

A.6.3 – Sensibilización, educación y formación en materia de seguridad de la información

Este es el control de concienciación fundamental de la revisión de 2022. Requiere:

  • Un programa de sensibilización formal dirigido a todos los empleados
  • Formación específica para cada puesto destinada al personal con responsabilidades de seguridad de alto nivel
  • Actualizaciones periódicas de los contenidos formativos que reflejen las nuevas amenazas y los cambios en las políticas
  • Pruebas documentadas de la finalización y la eficacia de la formación

A.6.8 – Notificación de incidentes de seguridad de la información

Los empleados deben saber cómo reconocer y notificar incidentes de seguridad. La formación debe abarcar:

  • ¿En qué se diferencia un evento de seguridad de un incidente de seguridad?
  • Cómo informar de los incidentes a través de los canales adecuados
  • La importancia de notificar los casos a tiempo (incluso los falsos positivos)
  • ¿Qué ocurre después de presentar una denuncia?

A.8.7 – Protección contra el malware

El personal debe comprender cómo se propaga el malware y cómo prevenir las infecciones. Los temas de la formación deben incluir el reconocimiento de archivos adjuntos sospechosos, los hábitos de navegación seguros y la importancia de mantener el software actualizado.

A.5.10 – Uso adecuado de la información y los activos

Se debe formar a los empleados sobre la política de uso aceptable: lo que pueden y no pueden hacer con los dispositivos, los datos y los sistemas de la empresa. Esto incluye las políticas de uso personal, las directrices sobre el uso de dispositivos propios (BYOD) y los procedimientos de tratamiento de datos.

A.8.9 – Gestión de la configuración

Aunque se trata principalmente de un control técnico, los empleados (especialmente el personal de TI) necesitan formación para mantener configuraciones seguras y comprender por qué están prohibidos los cambios no autorizados.

Cómo impartir formación en materia de concienciación sobre seguridad según la norma ISO 27001

La norma ISO 27001 ofrece un marco claro para ayudar a las organizaciones a gestionar la seguridad de la información. Sin embargo, no especifica de forma explícita cómo implementar esos programas de sensibilización sobre seguridad dentro de la organización.

Entonces, ¿cómo sabes si tu programa de formación en concienciación sobre seguridad según la norma ISO 27001 está a la altura?

En primer lugar, podemos ver qué es lo que examinan los auditores de la norma ISO 27001. Durante las auditorías, se evalúa el cumplimiento por parte de la organización de los requisitos de la norma ISO 27001, incluidos los relacionados con la concienciación sobre la seguridad.

Los auditores suelen buscar lo siguiente:

  • Documentación: ¿Ha documentado su política de seguridad, objetivos, funciones y requisitos específicos relacionados con la concienciación y la formación?
  • Comunicación: ¿Puede demostrar que sus empleados conocen su política de seguridad, sus objetivos y sus funciones específicas para alcanzarlos?
  • Programas de formación: ¿Puede demostrar que su organización ha puesto en marcha programas de formación?
  • Seguimiento y medición: ¿Puede demostrar que controla y mide la eficacia de sus programas en security awareness ?

Puede optar por crear su propio programa de formación o utilizar una plataforma de formación de security awareness como Guardey.

Con Guardey, sus empleados se enfrentan a cyber security semanales cyber security que tardan hasta tres minutos en completarse. Los retos abarcan todos los temas relevantes, como phishing spear phishing, el fraude al director ejecutivo, la seguridad de las contraseñas y mucho más. Al aprender pequeñas dosis de información cada semana, los empleados van acumulando conocimientos y security awareness .

En la sección de informes, puedes supervisar el rendimiento de los empleados y detectar qué aspectos de seguridad pueden requerir mayor atención. Esto convierte a Guardey en la solución ideal para la formación en concienciación sobre seguridad que cumple con la norma ISO 27001.

→ Planifique una demostración con uno de los especialistas de Guardey cyber security .

Lista de verificación de la norma ISO 27001 (2026)

Utilice esta completa lista de verificación para comprobar que su organización cumple todos los requisitos de la norma ISO 27001. Esta lista de verificación se ajusta a la revisión de la norma ISO 27001:2022 y abarca todos los aspectos que los auditores tendrán en cuenta, desde las políticas y la documentación hasta la formación, el seguimiento y la preparación para la auditoría.

1. Política y documentación

  • La política de seguridad de la información está documentada y ha sido aprobada por la dirección
  • Los objetivos de la formación en concienciación sobre seguridad están claramente definidos y alineados con los objetivos empresariales
  • Se asignan las funciones y responsabilidades para la gestión del programa de sensibilización
  • Existe un plan o calendario de formación oficial para el año en curso
  • La política de uso aceptable está documentada y a disposición de todos los empleados
  • Los procedimientos de notificación de incidentes están documentados y se han comunicado
  • Existe una política de clasificación de datos y los empleados conocen los niveles de clasificación
  • El programa de sensibilización se revisa y actualiza al menos una vez al año

2. Contenidos y temas de la formación

Su programa de formación debe abarcar todos los temas siguientes para cumplir con los requisitos de la norma ISO 27001:

  • Phishing e ingeniería social: cómo reconocer y denunciar los correos electrónicos de phishing, así como los ataques de vishing, smishing y pretexting
  • Seguridad de las contraseñas: cómo crear contraseñas seguras, utilizar gestores de contraseñas y comprender la autenticación multifactorial
  • Gestión y clasificación de datos: cómo gestionar los datos confidenciales, los niveles de clasificación de datos y los procedimientos adecuados de almacenamiento y eliminación
  • Notificación de incidentes: cómo identificar los incidentes de seguridad y notificarlos a través de los canales adecuados
  • Seguridad física: política de escritorios despejados, gestión de visitantes, impresión segura y prevención del acceso no autorizado
  • Seguridad en el teletrabajo: prácticas seguras para la oficina en casa, uso de VPN y riesgos de las redes Wi-Fi públicas
  • Prevención contra el malware: cómo detectar archivos adjuntos sospechosos, navegación segura y buenas prácticas en la actualización de software
  • Seguridad en la nube: uso seguro de los servicios en la nube, buenas prácticas para el intercambio de datos y gestión de accesos (novedad en la revisión de 2022)
  • BYOD y seguridad de los dispositivos móviles: cómo proteger los dispositivos personales que se utilizan con fines laborales
  • Prevención de fugas de datos: cómo se producen las fugas de datos y medidas preventivas (novedad de la revisión de 2022)
  • Fraude del director ejecutivo y suplantación de identidad en el correo electrónico empresarial: cómo detectar los ataques de suplantación de identidad y verificar las solicitudes inusuales
  • Conceptos básicos sobre la privacidad y el RGPD: comprender las obligaciones en materia de tratamiento de datos personales
  • La IA y las amenazas emergentes: riesgos del phishing generado por IA, los deepfakes y los nuevos vectores de ataque

3. Impartición y frecuencia de la formación

  • Los nuevos empleados reciben formación en materia de seguridad durante el proceso de incorporación (durante la primera semana)
  • Todos los empleados reciben formación continua y periódica (como mínimo una vez al mes; se recomienda realizar sesiones de microaprendizaje semanales).
  • La formación está disponible en los idiomas que habla su plantilla
  • Se puede acceder a la formación desde distintos dispositivos (ordenador, tableta, móvil)
  • Se imparte formación específica para los puestos de alto riesgo (personal de TI, dirección, finanzas y recursos humanos)
  • La dirección y los responsables participan en el programa de formación
  • El contenido de la formación se actualiza cuando surgen nuevas amenazas o cambian las políticas
  • Los contratistas y el personal externo con acceso al sistema reciben la formación adecuada

4. Simulaciones de phishing

  • Se llevan a cabo simulacros de phishing de forma periódica (como mínimo, cada tres meses)
  • Las simulaciones abarcan diferentes tipos de ataques (phishing por correo electrónico, spear phishing, phishing por SMS)
  • Los empleados que hacen clic en correos electrónicos de phishing simulados reciben una respuesta inmediata y formación adicional
  • Los resultados de las simulaciones se supervisan y se comunican a la dirección
  • Las tasas de clics muestran una tendencia a la baja con el paso del tiempo
  • Se realiza un seguimiento de las tasas de notificación (empleados que denuncian los correos electrónicos de phishing) y estas están mejorando

5. Compromiso y participación de los empleados

  • Se realiza un seguimiento de las tasas de finalización de la formación, que superan el 90 %
  • Se utilizan elementos de gamificación para aumentar la participación (cuestionarios, tablas de clasificación, recompensas)
  • Existe un plan de comunicación para fomentar la concienciación sobre la seguridad más allá de la formación reglada
  • La dirección apoya abiertamente el programa de sensibilización y participa en él
  • Los empleados pueden plantear preguntas o comunicar sus inquietudes a través de un canal accesible
  • Se reconocen y se premian los comportamientos positivos en materia de seguridad

6. Seguimiento, medición y presentación de informes

  • Se supervisa la tasa de finalización de la formación por empleado y por departamento
  • Se realiza un seguimiento de las puntuaciones de los cuestionarios y las evaluaciones para medir la retención de conocimientos
  • Las tasas de clics y de notificación de las simulaciones de phishing se miden a lo largo del tiempo
  • Las tendencias en materia de incidentes de seguridad guardan relación con las iniciativas de formación en materia de concienciación
  • Se envían informes periódicos a la dirección sobre la eficacia del programa
  • KPIs are defined for the awareness program (e.g., <90% click rate, >95% completion)
  • Las medidas de mejora se documentan en función de los resultados del seguimiento

7. Preparación para la auditoría y pruebas documentales

  • Los registros de formación se conservan y están disponibles al menos durante el último ciclo de certificación (3 años)
  • Hay certificados de finalización disponibles para cada empleado
  • Los informes de simulaciones de phishing se archivan con las fechas y los resultados
  • Los formularios de aceptación de la política se firman y se archivan
  • Se documentan las actas de las reuniones de revisión de la concienciación en materia de seguridad
  • Se realiza un seguimiento y se dan por concluidas las medidas correctivas derivadas de auditorías anteriores relacionadas con la sensibilización
  • Se dispone de pruebas de la revisión por parte de la dirección del programa de sensibilización

8. Mejora continua

  • Las lecciones aprendidas de los incidentes de seguridad se incorporan a los contenidos de formación
  • El contenido de la formación se actualiza en función de las nuevas amenazas y de la información sobre amenazas (A.5.7)
  • Se recogen las opiniones de los empleados sobre la calidad y la pertinencia de la formación
  • Se lleva a cabo un análisis anual de deficiencias comparando el programa con los requisitos de la norma ISO 27001
  • Se tiene en cuenta la comparación con los estándares del sector o con otras organizaciones similares
  • Se ha documentado el plan de formación para los próximos 12 meses

Errores habituales en las auditorías de sensibilización sobre la norma ISO 27001

Muchas organizaciones no superan la auditoría de la norma ISO 27001 en lo que respecta a los controles relacionados con la sensibilización. A continuación se enumeran los errores más comunes y cómo evitarlos.

1. Entrenar solo una vez al año

Las sesiones de formación anuales son uno de los principales motivos de preocupación para los auditores. Una sola sesión al año no demuestra una cultura de concienciación continua. La norma ISO 27001 exige un programa continuo que mantenga la seguridad como prioridad durante todo el año. Las sesiones de microaprendizaje semanales o mensuales son mucho más eficaces y más fáciles de demostrar.

2. No hay pruebas de su eficacia

No basta con contar con un programa de formación. Hay que demostrar que funciona. Los auditores solicitarán datos que demuestren que los empleados han mejorado su comportamiento en materia de seguridad a lo largo del tiempo. Si no puedes demostrar una disminución en las tasas de clics en mensajes de phishing, una mejora en las puntuaciones de los cuestionarios o una reducción en el número de incidentes, es posible que tu programa se considere insuficiente.

3. Formación estándar para todos

No todos los empleados se enfrentan a los mismos riesgos. Un miembro del equipo financiero que se encarga de procesar pagos necesita una formación diferente a la de un desarrollador o una recepcionista. La norma ISO 27001 exige una formación específica para cada puesto que aborde los riesgos particulares a los que se enfrenta cada uno. Una formación genérica para todos no es suficiente.

4. Sin participación de la dirección

Si los directivos no participan en el programa de sensibilización, los auditores se dan cuenta. La dirección no solo debe respaldar el programa, sino también participar activamente en él. Esto demuestra el «ejemplo desde arriba» que exige la norma ISO 27001.

5. Contenido obsoleto

Si tu material de formación sigue haciendo referencia a amenazas de 2020, pero pasa por alto el phishing generado por IA, los ataques mediante códigos QR o los riesgos de seguridad en la nube, los auditores lo señalarán. El contenido de la formación debe reflejar las amenazas actuales y actualizarse periódicamente.

6. Falta de formación inicial

Los nuevos empleados suelen disponer de un periodo de gracia antes de comenzar la formación. Esto supone un riesgo y es motivo de observación en las auditorías. La formación en concienciación sobre seguridad debería formar parte del proceso de incorporación durante la primera semana, y no ser algo que comience meses después.

7. Ignorar a los contratistas y a terceros

Si hay personal externo con acceso a sus sistemas, también es necesario que reciba formación en materia de concienciación. Los auditores comprobarán si su programa se extiende a todo el personal con acceso, y no solo a los empleados a tiempo completo.

Cómo medir la eficacia de tu programa de concienciación sobre seguridad

La cláusula 9.1 de la norma ISO 27001 exige a las organizaciones que supervisen, midan, analicen y evalúen el rendimiento del SGSI, incluido su programa de sensibilización. A continuación se indican los indicadores clave que deben supervisarse.

Resultados de la simulación de phishing

Realiza simulaciones de phishing periódicas y haz un seguimiento de dos indicadores clave:

  • Índice de clics: el porcentaje de empleados que hacen clic en el enlace de phishing simulado. Un buen objetivo es que sea inferior al 5 %. Un porcentaje superior al 15 % indica una deficiencia significativa en la formación.
  • Índice de notificación: el porcentaje de empleados que notifican correctamente los correos electrónicos de phishing. Podría decirse que este dato es más importante que el índice de clics. Un índice de notificación elevado indica que los empleados participan de forma activa.

Finalización de la formación y puntuaciones

  • Índice de finalización: objetivo del 95 % o más en todos los departamentos. Identificar los departamentos que se quedan atrás y hacer un seguimiento.
  • Puntuaciones de las evaluaciones: Realiza un seguimiento de la media de las puntuaciones de los cuestionarios por tema. Las puntuaciones bajas en temas concretos indican dónde es necesario impartir formación adicional.
  • Tiempo de finalización: supervisa la rapidez con la que los nuevos empleados completan la formación de incorporación.

Métricas de incidentes de seguridad

  • Número de incidentes notificados: un aumento en el número de incidentes notificados (especialmente los conatos de accidente) suele indicar una mayor concienciación, no un empeoramiento de la seguridad.
  • Tiempo medio de notificación: ¿Con qué rapidez notifican los empleados los incidentes de seguridad? Una notificación más rápida es sinónimo de personal mejor formado.
  • Incidentes provocados por errores humanos: Analizar si los incidentes relacionados con errores humanos disminuyen con el tiempo a medida que la formación va madurando.

Métricas de interacción

  • Participación voluntaria: ¿Participan los empleados más allá de la formación obligatoria (por ejemplo, leyendo boletines de seguridad o asistiendo a sesiones opcionales)?
  • Puntuaciones de valoración: Recopila opiniones sobre la relevancia y la calidad de la formación. Un bajo nivel de participación suele indicar que el contenido no resulta atractivo.

Cómo impartir a tus empleados la formación sobre concienciación en materia de seguridad según la norma ISO 27001

Una vez que haya elegido una solución de formación en concienciación sobre seguridad conforme a la norma ISO 27001, es el momento de presentársela a sus empleados. No siempre es una tarea fácil. Es posible que no todo el mundo comprenda de inmediato la importancia de la formación en concienciación sobre seguridad, por lo que quizá no baste con enviarles simplemente sus datos de acceso.

Por eso necesita una introducción sólida. A continuación te ofrecemos dos ejemplos.

EyeOn organizó una semana dedicada a la ciberseguridad para dar inicio a su proceso de certificación ISO 27001. Durante esa semana, cada jornada comenzaba con una entrevista de 15 minutos, a la que denominaron «puesta al día sobre seguridad». Cada día se abordaba un tema específico relacionado con la ciberseguridad y, a través de diversos retos (tanto en Guardey como en la vida real), los empleados podían sumar puntos. Al final de la semana, los empleados con mejores resultados fueron premiados con un trofeo y un pequeño obsequio.

Los ganadores de la Semana de la Ciberseguridad de EyeOn.

Delta Wines organizó primero un simulacro de lanza phishing . Durante este simulacro, los empleados recibieron un correo electrónico phishing para probar si harían clic en el enlace y dejarían información personal. Y resultó que muchos de los empleados hicieron precisamente eso. El director de TI compartió los resultados finales de la prueba phishing durante una reunión trimestral, lo que conmocionó a bastantes de sus colegas. Esto hizo que la introducción de Guardey como su solución de formación security awareness fuera mucho más fácil.

Cómo Fendix consigue que las organizaciones obtengan la certificación ISO 27001 con la ayuda de Guardey

Fendix ayuda a las empresas a obtener la certificación ISO 27001. Killian Houthuijzen, consultor de seguridad de la información en Fendix, explica qué papel desempeña la solución de concienciación sobre seguridad de Guardey en este proceso: «Una parte importante para obtener la certificación ISO 27001 es invertir en la concienciación sobre seguridad de los empleados. Hace un tiempo, intentamos crear nuestra propia versión de una formación en concienciación sobre seguridad para prepararnos para ello. Pero crear todo ese contenido nuevo nos habría llevado al menos 8 horas cada mes. Eso simplemente no es eficiente».

Y continúa: "Con Guardey, la formación en security awareness resulta asequible y no es necesario invertir tiempo en su puesta en marcha. Lo único que hay que hacer es supervisar el rendimiento del equipo, lo que resulta fácil con el sistema de gestión del aprendizaje de Guardey. Por eso a menudo aconsejamos a nuestros clientes que simplemente utilicen Guardey en lugar de hacer todo el trabajo pesado de configurar su propia formación."

ISO 27001, NIS2 y SOC 2: comparación de los requisitos de formación en materia de sensibilización

Muchas organizaciones deben cumplir con múltiples marcos de seguridad. A continuación se comparan los requisitos de formación en materia de concienciación de las tres normas más comunes.

Requisito ISO 27001 NIS2 SOC 2
¿Es obligatoria la formación en sensibilización? Sí (cláusula 7.3, A.6.3) Sí (artículo 20) Sí (CC1.4, CC2.2)
Frecuencia mínima En curso / periódico Normal (sin especificar) Mínimo anual
Participación de los directivos Obligatorio Obligatorio (a nivel de la junta directiva) Recomendado
Phishing simulaciones Recomendado No especificado Práctica habitual
Medición de la eficacia Obligatorio (cláusula 9.1) Obligatorio Obligatorio
Formación específica para cada puesto Obligatorio Recomendado Obligatorio
Cobertura de terceros Obligatorio Enfoque en la cadena de suministro Requisito para la organización de servicios
Sanciones por incumplimiento Pérdida de la certificación Hasta 10 millones de euros o el 2 % de la facturación Informe de pérdida de SOC 2

La buena noticia es que un programa sólido de sensibilización sobre la norma ISO 27001 cubre la mayoría de los requisitos de NIS2 y SOC 2. Al utilizar una plataforma de formación integral como Guardey, puedes cumplir los requisitos de los tres marcos normativos con una única solución.

Preguntas frecuentes sobre la formación en concienciación sobre seguridad según la norma ISO 27001

¿Es obligatoria la formación en concienciación sobre seguridad para la norma ISO 27001?

Sí. La norma ISO 27001 exige a las organizaciones que se aseguren de que los empleados conozcan la política de seguridad de la información y sean competentes en los aspectos de su trabajo relacionados con la seguridad de la información. La cláusula 7.3 (Concienciación) y el control 6.3 del anexo A exigen explícitamente un programa formal de concienciación.

¿Con qué frecuencia deben recibir los empleados formación en materia de seguridad?

La norma ISO 27001 exige una concienciación continua, en lugar de una acción puntual. Aunque la norma no especifica una frecuencia concreta, la mejor práctica consiste en impartir formación al menos una vez al mes. Las sesiones de microaprendizaje semanales (como los «retos de 3 minutos» de Guardey) se consideran óptimas, ya que mantienen la seguridad en primer plano sin abrumar a los empleados.

¿Qué temas debe abarcar la formación sobre la norma ISO 27001?

Como mínimo, la formación debe abarcar: phishing e ingeniería social, seguridad de las contraseñas, gestión y clasificación de datos, notificación de incidentes, seguridad física, seguridad en el teletrabajo, prevención de malware, seguridad en la nube y políticas de uso aceptable. La revisión de 2022 también hace hincapié en la inteligencia sobre amenazas, la prevención de fugas de datos y la sensibilización sobre el filtrado web.

¿Puede la formación en línea sustituir a las sesiones presenciales de sensibilización sobre seguridad?

Sí. La norma ISO 27001 no establece un método específico para impartir la formación. Las plataformas de formación en línea, como Guardey, gozan de una amplia aceptación entre los auditores, especialmente cuando proporcionan pruebas documentadas de la finalización del curso, las calificaciones obtenidas y la participación continua. Muchas organizaciones consideran que los microcursos en línea son más eficaces que las sesiones presenciales tradicionales, ya que permiten llegar a todos los empleados de forma sistemática.

¿Cómo se demuestra que se ha impartido formación en materia de seguridad durante una auditoría de la norma ISO 27001?

Los auditores buscarán pruebas documentadas, entre las que se incluyen: registros de finalización de la formación por empleado, puntuaciones de evaluaciones y cuestionarios, resultados de simulacros de phishing, formularios de aceptación de políticas, actas de reuniones de revisión de los programas de sensibilización y pruebas de la participación de la dirección. Una plataforma de formación con funciones de generación de informes integradas facilita considerablemente esta tarea.

¿Es necesario que los contratistas y el personal temporal reciban formación sobre la norma ISO 27001?

Sí, si tienen acceso a sus sistemas de información o manejan datos confidenciales. La norma ISO 27001 exige que todo el personal que pueda afectar a la seguridad de la información reciba la formación adecuada en materia de sensibilización. Esto incluye a los contratistas, los trabajadores temporales y los proveedores de servicios externos.

¿Qué ocurre si no se supera la parte relativa a la concienciación de una auditoría de la norma ISO 27001?

Si los auditores detectan una no conformidad relacionada con la concienciación en materia de seguridad, se le notificará una no conformidad de carácter leve o grave. Una no conformidad grave implica que su certificación podría quedar suspendida hasta que se resuelva el problema. Una no conformidad leve le concede un plazo determinado (normalmente de 90 días) para aplicar medidas correctivas antes de la próxima auditoría de seguimiento.

Prueba la solución de formación en concienciación sobre seguridad ISO 27001 de Guardey

La concienciación en materia de seguridad desempeña un papel fundamental a la hora de proteger a su organización frente a los ciberataques y cumplir con la norma ISO 27001. Si busca una solución de formación que se pueda implementar en cuestión de horas, considere la posibilidad de utilizar Guardey.

Con el proceso de aprendizaje gamificado de Guardey, sus empleados recibirán microaprendizajes de 3 minutos cada semana. Con el tiempo, aprenderán a reconocer las ciberamenazas y a actuar en consecuencia.

No deje que los hackers sean más listos que usted. Prueba Guardey gratis durante 14 días.

Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada