Security Awareness según la ISO/IEC 27001:2013

Security Awareness según la ISO/IEC 27001:2013

Para aquellos que se preguntan si la norma ISO/IEC 27001:2013 incluye requisitos de capacitación o concientización en seguridad informática, la respuesta es sí, vamos a encontrar que está mencionada en el propio cuerpo de la norma como requisito y en el Anexo A, por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es necesario no sólo llevar adelante un programa de capacitación y concienciación sino también contar con un registro que lo evidencie.

Recordemos que la norma certificable de la familia 27000 es la ISO/IEC 27001:2013 (Information technology – Security techniques – Information security management systems – Requirements) y que ISO/IEC 27002:2013 (Information technology – Security techniques – Code of practice for information security management) es una guía de buenas prácticas, por lo que todo lo indicado en ella “no son requisitos” sino “sugerencias” para la implementación de los controles del Anexo A de la norma certificable.

El anexo A de ISO/IEC 27001 ofrece una lista bastante exhaustiva de controles que se toman como una especie de checklist en el 6.1.1 Tratamiento de Riesgos de Seguridad de la información, y su aplicabilidad dependerá de los riesgos a los que se halla expuesta la información, por lo que algunos controles pueden ser excluibles del alcance del SGSI (Sistema de Gestión de Seguridad de la Información) a través del SOA (Statement Of Aceptability).

Para el caso del requerimiento que nos convoca, “capacitación y concientización” podemos verlo incluido en ambas normas:

  • ISO/IEC 27001:2013:
    • 7.2 Competencia/Competence
    • 7.3 Concientización/Awareness
  • ISO/IEC 27002:2013:
    • 7.2.2 – Concientización, educación y entrenamiento en seguridad de la información / Information security awareness, education and training.

Veamos qué nos dicen los requisitos de cada una de ellas.

ISO/IEC 27001:2013

7.2 Competencia / Competence

La organización deberá:

A) determinar la competencia necesaria de la(s) persona(s) que realiza(n) un trabajo bajo su control que afecte su desempeño en materia de seguridad de la información;
B) asegurar que estas personas sean competentes en base a una educación, capacitación o experiencia apropiada;
C) cuando sea aplicable, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las acciones emprendidas; y
D) conservar la información documentada apropiada como prueba de su competencia.

NOTA: Las acciones aplicables pueden incluir, por ejemplo: la provisión de capacitación, la mentoría o la reasignación de empleados actuales; o la contratación de personas competentes.

7.3 Concientización/Awareness

Las personas que trabajan bajo el control de la organización deben tener en cuenta:

A) la política de seguridad de la información;
B) su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluidos los beneficios de mejorar el desempeño de la seguridad de la información; y
C) las consecuencias de no cumplir con los requisitos del sistema de gestión de la seguridad de la información.

ISO/IEC 27002:2013

7.2.2 – Concientización, educación y entrenamiento en seguridad de la información / Information security awareness, education and training:

Siendo algunos de los puntos más relevantes de la guía

  • Debería establecerse un programa de capacitación y concientización,
  • el mismo debería incluir una serie de actividades de sensibilización,
  • puede utilizar diferentes medios de comunicación, incluyendo aulas presenciales, a distancia, web-based, a su propio ritmo y otros,
  • debe actualizarse el contenido periódicamente y debe basarse en las lecciones aprendidas de los incidentes de seguridad de la información,
  • las actividades del programa deben programarse con el tiempo, preferentemente con regularidad, de modo que las actividades se repitan y cubran a los nuevos empleados
  • todo esto también debe alcanzar a los contratistas.

Mientras aprovecha la guía mencionar sobre la importancia de lograr y medir la asimilación y el cambio de comportamiento:

  • Al componer un programa de concienciación, es importante no sólo centrarse en el «qué» y «cómo», sino también en el «por qué». Es importante que los empleados comprendan el objetivo de la seguridad de la información y el impacto potencial, positivo y negativo, en la organización de su propio comportamiento.
  • Una evaluación de la comprensión de los empleados podría llevarse a cabo al final de un curso de sensibilización, educación y capacitación para probar la transferencia de conocimiento.

Es necesario para certificar

Basados en que es un requisito de ISO/IEC 27001 y que las empresas trabajan con personas que necesitan ser concientizadas y capacitadas, lo que hace del control de ISO/IEC 27002 un requisito poco factible de excluir, podemos entonces concluir que la capacitación y concientización en seguridad informática a los usuarios es un requisito para poder certificar. Según los “debe” de la norma certificable, es necesario no sólo llevar adelante estas capacitaciones sino también llevar un registro de las acciones tomadas por el personal de la organización y evaluar la eficacia de las acciones tomadas.

En próximas entregas veremos cómo también son requisitos de PCI DSS, COBIT, Comunicación «A» 5374 de BCRA (Banco Central de la República Argentina) y las exigencias de la DNDPDP (Dirección Nacional de Protección Nacional de Datos Personales de la República Argentina). Además, demostraremos cómo, con SmartFense, se puede dar cumplimiento a todos estos requisitos, satisfaciendo tanto las acciones como los registros necesarios.

Mauro Graziosi

Experto en Seguridad de la Información, fundador y CEO de SMARTFENSE. Cuenta con 20 años de trayectoria en ciberseguridad. A lo largo de su carrera profesional generó diferentes proyectos enfocados siempre en la ciberseguridad y la educación a distancia. En 2016 fundó SMARTFENSE con la misión de satisfacer los requisitos y urgencias de los CISOs de Iberoamérica, obteniendo el Primer Premio del programa Cybersecurity Ventures 2018 del INCIBE. Su objetivo personal es convertir a los usuarios en un componente clave de la estrategia de ciberseguridad de las organizaciones a través de la concienciación.

Deja una respuesta