18 de enero de 2024 - General
Una certificación ISO27001 es una insignia de honor que demuestra hasta qué punto su organización se preocupa por la gestión y protección de la información sensible.
La norma esboza un marco para la gestión de la seguridad, incluido el compromiso de concienciar y formar a los empleados.
Pero comprender exactamente lo que se espera de su organización puede resultar complicado. La directiva ISO27001 consta de mucho texto. E incluso después de leerla un par de veces, es posible que aún le queden preguntas.
En este artículo, explicaremos qué establece la norma ISO27001 sobre security awareness y cómo puede implantar la formación ISO27001 security awareness en su organización.
En pocas palabras: ¿qué es ISO27001?
ISO27001 es una norma para sistemas de gestión de la seguridad de la información (a menudo denominada SGSI). El objetivo de esta norma es proporcionar un enfoque para gestionar y proteger la información sensible.
Los componentes clave de ISO27001 son:
- Evaluación de riesgos
- Elaboración de políticas
- Funciones y responsabilidades claras
- Sensibilización
Las organizaciones que deciden adherirse a esta norma suelen ser organismos gubernamentales, organizaciones sanitarias, instituciones financieras y cualquier otra organización que maneje información confidencial.
Obtener la certificación no es un paseo. Implica un riguroso proceso de auditoría para comprobar si su organización cumple la norma.
¿Qué dice la norma ISO27001 sobre security awareness?
La norma ISO27001 menciona la importancia de security awareness en múltiples cláusulas.
- Cláusula 7.2 - Competencia: La norma exige que las organizaciones determinen la competencia necesaria de los empleados implicados en la seguridad de la información.
- Cláusula 7.3 - Concienciación: Las organizaciones deben asegurarse de que los empleados son conscientes de la política de seguridad de la información, los objetivos pertinentes, y sus funciones y responsabilidades en la consecución de estos objetivos.
- Cláusula 8.2 - Comunicación: ISO 27001 hace hincapié en la importancia de la comunicación interna en relación con el sistema de gestión de seguridad de la información, incluyendo la promoción de la conciencia de la seguridad de la información.
- Cláusula 8.2.2 - Información Security Awareness, Educación y Formación: Las organizaciones deben asegurarse de que el personal conoce la política de seguridad de la información y es competente en las áreas de su trabajo relacionadas con la seguridad de la información.
Cómo implantar la formación ISO27001 security awareness
ISO27001 proporciona un marco claro para ayudar a las organizaciones a gestionar la seguridad de la información. Sin embargo, no indica explícitamente cómo implantar esos programas security awareness dentro de su organización.
Entonces, ¿cómo sabe si su programa de formación ISO27001 security awareness está a la altura?
Primero podemos echar un vistazo a lo que miran los auditores de ISO27001. Durante las auditorías, se evalúa el cumplimiento por parte de la organización de los requisitos de la norma ISO27001, incluidos los relacionados con security awareness.
Los auditores suelen buscar lo siguiente:
- Documentación: ¿Ha documentado su política de seguridad, objetivos, funciones y requisitos específicos relacionados con la concienciación y la formación?
- Comunicación: ¿Puede demostrar que sus empleados conocen su política de seguridad, sus objetivos y sus funciones específicas para alcanzarlos?
- Programas de formación: ¿Puede demostrar que su organización ha puesto en marcha programas de formación?
- Seguimiento y medición: ¿Puede demostrar que controla y mide la eficacia de sus programas en security awareness ?
Puede optar por crear su propio programa de formación o utilizar una plataforma de formación de security awareness como Guardey.
Con Guardey, tus empleados se enfrentan a retos semanales en cyber security que tardan hasta tres minutos en completar. Los retos cubren todos los temas relevantes como spear phishing, fraude de CEO, seguridad de contraseñas y más. Al aprender pequeños fragmentos de información cada semana, los empleados acumulan lentamente conocimientos y security awareness picos.
En la sección de informes, puede supervisar el rendimiento de los empleados y qué temas de seguridad pueden necesitar más atención. Esto convierte a Guardey en la herramienta perfecta para la formación security awareness conforme a la norma ISO27001.
→ Planifique una demostración con uno de los especialistas de Guardey cyber security .
Cómo introducir la formación ISO27001 security awareness entre sus empleados
Una vez que se haya decidido por una solución de formación ISO27001 security awareness , es hora de presentarla a sus empleados. No siempre es una tarea fácil. Es posible que no todos comprendan inmediatamente la importancia de la formación security awareness , por lo que enviarles simplemente sus claves de acceso puede no ser suficiente.
Por eso necesita una introducción sólida. A continuación te ofrecemos dos ejemplos.
EyeOn organizó una semana cyber security para iniciar su proceso de certificación ISO27001. Durante esta semana, empezaron cada día con una entrevista de 15 minutos, que llamaron la puesta al día de la seguridad. Cada día tenía un tema específico cyber security , y durante los retos (tanto en Guardey como en la vida real), los empleados podían sumar puntos. Al final de la semana, los empleados con mejores resultados fueron recompensados con un trofeo y un pequeño obsequio.
Delta Wines organizó primero un simulacro de lanza phishing . Durante este simulacro, los empleados recibieron un correo electrónico phishing para probar si harían clic en el enlace y dejarían información personal. Y resultó que muchos de los empleados hicieron precisamente eso. El director de TI compartió los resultados finales de la prueba phishing durante una reunión trimestral, lo que conmocionó a bastantes de sus colegas. Esto hizo que la introducción de Guardey como su solución de formación security awareness fuera mucho más fácil.
Cómo Fendix consigue que las organizaciones obtengan la certificación ISO27001 con la ayuda de Guardey
Fendix ayuda a las empresas a obtener la certificación ISO27001. Killian Houthuijzen, consultor de seguridad de la información en Fendix, explica qué papel desempeña la solución security awareness de Guardey en este proceso: "Una parte importante de conseguir la certificación ISO27001 es invertir en la security awareness de tus empleados. Hace un tiempo, estábamos intentando crear nuestra propia versión de una formación en security awareness como preparación para ello. Pero crear todo ese nuevo contenido nos habría llevado al menos 8 horas cada mes. Eso no es eficiente".
Y continúa: "Con Guardey, la formación en security awareness resulta asequible y no es necesario invertir tiempo en su puesta en marcha. Todo lo que tiene que hacer es supervisar el rendimiento de su equipo, lo que es fácil en el sistema de gestión del aprendizaje de Guardey. Por eso a menudo aconsejamos a nuestros clientes que simplemente utilicen Guardey en lugar de hacer todo el trabajo pesado de configurar su propia formación."
Pruebe la solución de formación ISO27001 security awareness de Guardey
Security awareness desempeña un papel importante en la protección de su organización frente a ciberataques y en el cumplimiento de la norma ISO27001. Si está buscando una solución de formación que se implemente en cuestión de horas, considere el uso de Guardey.
Con el proceso de aprendizaje gamificado de Guardey, sus empleados recibirán microaprendizajes de 3 minutos cada semana. Con el tiempo, aprenderán a reconocer las ciberamenazas y a actuar en consecuencia.
