Bienvenidos a esta Guía de Soporte en ISO 27001. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

7.1 Recursos

Recursos para la Implementación de un SGSI

La implementación y mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI) no es un proceso que pueda llevarse a cabo sin una inversión adecuada en recursos. La norma ISO 27001 establece la obligación de garantizar los medios necesarios para su establecimiento, operación y mejora continua, pero deja a criterio de cada organización la definición específica de estos recursos.

Compromiso de la Dirección en la Asignación de Recursos

Uno de los principios fundamentales de la norma es que la alta dirección es responsable de garantizar en todo momento la disponibilidad de los recursos necesarios para alcanzar los objetivos de seguridad de la información.

Desde un enfoque basado en procesos, se requiere que estos recursos estén disponibles en todas las etapas del ciclo de vida del SGSI: desde la planificación hasta la revisión y mejora del sistema.

Tipos de Recursos Necesarios para un SGSI

Para cumplir con los requisitos de seguridad de la información, la organización debe asegurarse de contar con los siguientes recursos clave:

  • Inversión económica: La seguridad de la información requiere financiación. Es fundamental disponer de un presupuesto adecuado para implementar controles, herramientas y estrategias que permitan mitigar los riesgos identificados. La inversión debe estar alineada con la evaluación de riesgos y con la capacidad de la organización para asumir o reducir ciertos niveles de exposición.
  • Infraestructura y Instalaciones: Las instalaciones físicas deben proporcionar un nivel de seguridad proporcional a los riesgos a los que está expuesta la organización. Esto incluye medidas como controles de acceso, sistemas de videovigilancia, protección contra incendios y otras infraestructuras de seguridad física.
  • Equipos y Tecnología: Dependiendo de la evaluación de riesgos, puede ser necesario contar con equipos específicos como firewalls, sistemas de detección y prevención de intrusiones (IDS/IPS), herramientas de monitoreo de seguridad y soluciones de cifrado, entre otros.
  • Recursos Humanos: La seguridad de la información es una responsabilidad compartida entre todos los empleados, pero en muchos casos, es necesario contar con profesionales dedicados exclusivamente a la gestión del SGSI. Estos especialistas pueden asumir roles como administradores de seguridad, analistas de riesgos, auditores internos o responsables de concienciación en seguridad.

Importancia de la Asignación de Recursos Adecuados

La falta de recursos es una de las principales razones por las cuales los SGSI fracasan o se vuelven ineficientes. Si la organización no invierte en las herramientas, personal y formación adecuados, las políticas de seguridad pueden convertirse en simples formalidades sin impacto real.

El éxito de un SGSI depende de un enfoque integral donde los recursos sean gestionados estratégicamente para garantizar que la seguridad de la información se convierta en un valor agregado para la empresa, en lugar de ser vista como un obstáculo o una carga operativa.

7.2 Competencia

Competencia en la Seguridad de la Información

Para que un Sistema de Gestión de Seguridad de la Información (SGSI) funcione correctamente, no basta con contar con políticas y controles adecuados; es fundamental que el personal involucrado tenga la competencia necesaria para ejecutar sus responsabilidades de manera efectiva. La norma ISO 27001 establece requisitos claros para asegurar que las personas que desempeñan funciones dentro del SGSI cuenten con la formación, experiencia y habilidades adecuadas.

Requisitos de Competencia en el SGSI

Los principales puntos que exige la norma en este aspecto son:

  • Determinar las competencias necesarias para que el personal pueda realizar su trabajo dentro del SGSI de manera efectiva.
  • Asegurar que los empleados sean competentes con base en su educación, capacitación o experiencia.
  • Demostrar la competencia mediante documentación que acredite su formación y habilidades en materia de seguridad de la información.

Para garantizar el cumplimiento de estos requisitos, las organizaciones pueden utilizar herramientas como matrices de habilidades o requisitos mínimos de cualificación, gestionadas desde el departamento de Recursos Humanos. Esto permite realizar un seguimiento continuo de la capacitación y la evolución de las competencias del personal.

Una vez establecida esta matriz de competencias, es clave mantenerla actualizada, incorporando información sobre nuevas capacitaciones, requisitos adicionales y posibles brechas de conocimiento que deban ser abordadas.

Más allá de los títulos académicos

Es importante recordar que la acreditación de la competencia no se limita a los títulos universitarios. La experiencia previa, las certificaciones profesionales, las capacitaciones internas y la formación continua también son elementos clave para evaluar la competencia del personal.

Asimismo, este requisito no solo aplica a empleados internos; cuando la empresa contrata proveedores externos para desempeñar funciones críticas dentro del SGSI, debe asegurarse de que estos profesionales también cumplan con los requisitos de competencia exigidos.

Capacitación y Evaluación de Competencias

Uno de los métodos más utilizados para fortalecer la competencia en seguridad de la información es la formación, tanto interna como externa. Sin embargo, no basta con impartir cursos de manera indiscriminada; es fundamental que la capacitación esté alineada con los objetivos específicos del SGSI y con las necesidades reales de la organización.

Para evaluar la efectividad de la capacitación, se recomienda:

  • Establecer protocolos para medir si el personal ha mejorado realmente su desempeño tras la formación.
  • Monitorear regularmente los niveles de competencia para detectar brechas de conocimiento.
  • Planificar estrategias para abordar esas brechas, ya sea mediante nuevas capacitaciones o asignación de recursos adicionales.

Importancia de la Capacitación en Seguridad de la Información

Actualmente, la formación en ISO 27001 y gestión de seguridad de la información sigue siendo un área de mejora en muchas empresas. En la mayoría de los casos, las organizaciones no pueden dedicar un recurso exclusivo para la administración del SGSI, lo que ha llevado al crecimiento de la consultoría externa especializada en ISO 27001.

Las empresas consultoras no solo proporcionan formación para los responsables de seguridad, sino que también ayudan a mantener el SGSI actualizado en cuanto a normativas y requisitos legales.

En conclusión, la gestión de la competencia en seguridad de la información no es un proceso estático, sino una tarea en constante evolución. Una organización que invierte en el desarrollo de su personal y en la mejora de sus habilidades no solo cumple con los requisitos de la norma, sino que también fortalece su capacidad para enfrentar amenazas y proteger sus activos más valiosos.

7.3 Concienciación

Concienciación en Seguridad de la Información

Un Sistema de Gestión de Seguridad de la Información (SGSI) solo puede ser efectivo si las personas que lo gestionan y lo aplican están plenamente conscientes de su importancia y de cómo impacta en la organización. La concienciación no solo implica conocer las políticas y controles del SGSI, sino también comprender las consecuencias de no cumplir con los requisitos de la norma ISO 27001.

Preguntas clave para evaluar la concienciación

Para abordar este aspecto, es fundamental preguntarse:

  • ¿Las personas con responsabilidades en seguridad de la información han leído y comprendido la política de seguridad de la organización?
  • ¿Comprenden la importancia de mantener y mejorar continuamente el SGSI?
  • ¿Son conscientes de las implicaciones de no cumplir con los requisitos de la norma ISO 27001?

Además, como en cualquier sistema de gestión, no basta con cumplir con este requisito, sino que la organización debe estar preparada para demostrarlo durante una auditoría de certificación.

Estrategias para la Concienciación en Seguridad de la Información

Para garantizar que el personal tenga el nivel adecuado de concienciación, se pueden implementar diversas estrategias:

  1. Programa de formación y sensibilización: Desarrollar un plan estructurado que eduque a los empleados sobre la seguridad de la información y su papel dentro del SGSI.
  2. Actividades de sensibilización periódicas: Implementar campañas de concienciación, ejercicios prácticos y simulaciones de incidentes de seguridad.
  3. Uso de múltiples canales de comunicación: Combinar charlas presenciales, videoconferencias, cursos en línea y boletines informativos para llegar a todos los empleados.
  4. Actualización constante de información: Informar sobre cambios en la seguridad de la organización y lecciones aprendidas de incidentes pasados.
  5. Inclusión de todo el personal y contratistas: Asegurar que tanto empleados como terceros que manejan información sensible reciban la formación adecuada.

Diferencia entre capacitación y concienciación

Si bien la capacitación busca dotar a los empleados de habilidades técnicas para gestionar la seguridad, la concienciación tiene un enfoque más amplio:

  • Los empleados deben entender cómo su trabajo se relaciona con la seguridad de la información.
  • Deben conocer las consecuencias de no seguir los procedimientos de seguridad.
  • No es necesario que memoricen la política de seguridad, pero sí que comprendan sus responsabilidades y cómo su función encaja en la estrategia global de protección de la información.

La clave: convertir la seguridad en parte de la cultura organizacional

El objetivo final de la concienciación en seguridad de la información no es solo cumplir con un requisito normativo, sino lograr que la protección de los datos sea una parte natural de la cultura de la organización. Cuando los empleados comprenden que la seguridad no es una carga, sino una herramienta que protege su trabajo y a la empresa, es más probable que adopten buenas prácticas y las mantengan a lo largo del tiempo.

7.4 La comunicación

Comunicación en el SGSI

La comunicación es un pilar fundamental en la gestión de la seguridad de la información, ya que permite coordinar esfuerzos, alinear estrategias y garantizar que todos los actores involucrados comprendan sus responsabilidades. La norma ISO 27001 exige que la organización establezca un plan de comunicación que contemple tanto las interacciones internas como externas dentro del SGSI.

Aspectos clave de la comunicación en el SGSI

La norma especifica que la organización debe determinar:

  • Qué se debe comunicar: Información relevante sobre seguridad, políticas, incidentes, cambios en el SGSI, alertas de seguridad, etc.
  • Cuándo comunicar: Frecuencia de reuniones, reportes periódicos o comunicación en caso de incidentes.
  • Con quién comunicarse: Personal interno, alta dirección, proveedores, clientes o reguladores.
  • Quién será el responsable de la comunicación: Identificación de los roles dentro de la organización que deben transmitir la información.
  • Cómo se llevará a cabo la comunicación: Definir los procesos y canales a utilizar, como reuniones, boletines, correos electrónicos, capacitaciones o reportes formales.

Implementación de un plan de comunicación

Para cumplir con este requisito, la organización puede definir un procedimiento de comunicación que incluya:

  • Reuniones formales e informales para revisar el estado de la seguridad de la información.
  • Agendas estructuradas que sirvan de guía para tratar los temas clave del SGSI.
  • Reportes y documentos asociados a cada reunión, dirigidos a los perfiles adecuados dentro de la empresa.
  • Estrategias que integren la comunicación con las iniciativas de concienciación y competencia en seguridad de la información.

Un enfoque práctico y efectivo es establecer reuniones periódicas donde se informe sobre cambios en el SGSI, incidentes recientes y nuevas amenazas, integrando la comunicación con la capacitación y sensibilización del personal.

7.5 información documentada

Información Documentada en el SGSI

Uno de los requisitos esenciales de la norma ISO 27001 es la gestión de la información documentada, que abarca desde las políticas y procedimientos hasta los registros que evidencian el cumplimiento del SGSI.

En la última versión de la norma, se ha reemplazado el término «documentos y registros» por «información documentada», destacando la importancia del contenido sobre la nomenclatura específica del documento. Sin embargo, esto no significa que la documentación haya desaparecido, sino que ahora se distribuye a lo largo de distintas cláusulas de la norma en lugar de concentrarse en una sola sección.

Creación, actualización y control de la documentación

Para cumplir con este requisito, la organización debe asegurarse de:

  • Definir qué documentos son necesarios dentro del SGSI.
  • Mantener actualizados los documentos, asegurando que reflejen los cambios en los riesgos, controles y estrategias de seguridad.
  • Garantizar el control de la información documentada, asegurando que solo las versiones aprobadas y vigentes sean utilizadas.
  • Conservar evidencias documentadas que demuestren el cumplimiento del SGSI y la competencia del personal.

Estructura típica de la documentación

Hay muchas actividades dentro del SGSI que producen información documentada que se utiliza, la mayoría de el tiempo, como insumo para otra actividad.

La norma ISO IEC 27001:2022 requiere un conjunto de información documentada obligatoria y contiene un requisito general que requiere información documentada adicional si es necesaria para la eficacia del SGSI.

La cantidad de información documentada necesaria suele estar relacionada con el tamaño de la organización, la información documentada obligatoria y adicional contiene información suficiente para permitir que se lleven a cabo los requisitos de evaluación de  desempeño especificados en la Cláusula 9.

Enfoque práctico para la documentación

La clave para gestionar correctamente la documentación del SGSI es evitar la burocracia innecesaria y centrarse en la utilidad de la información. Se deben priorizar los documentos esenciales para la operación y mejora del sistema, asegurando que sean accesibles, comprensibles y relevantes para quienes los necesitan.

En conclusión, tanto la comunicación como la información documentada son elementos esenciales para la efectividad del SGSI. Sin una comunicación clara, los procedimientos de seguridad pueden quedar en el papel sin ser aplicados, y sin documentación adecuada, la organización no podrá demostrar su cumplimiento ni mejorar continuamente su sistema de gestión de seguridad de la información.

No te detengas, sigue avanzando

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre la autora

Romina Orlando

Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:

Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.