La revisión de octubre de 2022 de ISO/IEC 27001 reorganizó por completo el Anexo A, y el plazo para que las organizaciones certificadas migraran desde la versión 2013 venció el 31 de octubre de 2025. Quien hoy se certifica o renueva lo hace ya sobre la versión nueva. En esa reorganización, el control de concientización cambió de número, de agrupación y, sobre todo, de exigencia probatoria.
Esta pieza no explica qué es ISO 27001 ni cómo certificarse. Asume que ese terreno ya lo tienes cubierto. Se centra en algo más acotado, que es qué dice el control 6.3 sobre la concientización del personal, qué cambió respecto de la 2013, y qué tiene que poder enseñar una organización cuando el auditor empieza a pedir evidencia.
¿Qué exige el control 6.3 de ISO 27001:2022 sobre concientización?
El control 6.3 del Anexo A, «Concientización, educación y capacitación en seguridad de la información», exige que todo el personal de la organización (y, cuando corresponda, los terceros relevantes) reciba formación adecuada y actualizada sobre las políticas de seguridad y sobre su papel en ellas. Está dentro del tema Personas, una de las cuatro agrupaciones de la nueva norma.
La clave está en tres palabras del enunciado. «Adecuada» significa que el contenido tiene que corresponderse con la función de cada persona y con los riesgos reales del puesto, no con un temario genérico. «Actualizada» implica que la formación sigue el ritmo de los cambios en las políticas y en el panorama de amenazas. Y «todo el personal» cierra la puerta a programas que solo alcanzan a una parte de la plantilla. El control describe un proceso vivo, sostenido en el tiempo y revisado cada vez que el contexto cambia.
El 6.3 tampoco vive aislado. Se apoya en el control 6.2, que regula los términos y condiciones de contratación, y en las políticas de seguridad que la dirección aprueba bajo el control 5.1. La formación es el mecanismo por el que esas políticas dejan de ser un documento y se convierten en conducta. Un auditor que revisa el 6.3 casi siempre comprueba, en paralelo, que existe una política a la que la formación remite y que esa política está vigente.
¿A quién alcanza la formación del control 6.3?
A todo el personal de la organización, sin importar su función o antigüedad, y a los terceros con acceso a la información o a los sistemas cuando ese acceso lo justifique. El control no admite la lógica de formar solo a los equipos técnicos o a quienes manejan datos sensibles. La concientización se entiende como una capa de protección que cubre a la organización entera.
Hay tres grupos que conviene tratar de forma diferenciada, porque son los que el auditor revisa con más detalle. El personal general necesita una base común sobre políticas, amenazas habituales y cómo reportar un incidente. Los perfiles de mayor exposición, como administración de sistemas, finanzas o atención al cliente, requieren contenido específico para los riesgos de su función. Y la dirección entra en una categoría propia, porque aprueba las políticas y responde por ellas, de modo que su formación tiene que ir más allá del mensaje general. Dejar a la capa directiva fuera del programa es uno de los huecos que más rápido detecta una auditoría.
¿Qué cambió entre ISO 27001:2013 y la versión 2022 en concientización?
El requisito de fondo no se transformó, pero su ubicación y su lectura sí. En la 2013, la concientización vivía en el control A.7.2.2, dentro de un dominio dedicado a los recursos humanos. En la 2022 pasó a ser el control 6.3 del tema Personas, una reorganización que la acerca a otros controles de comportamiento y responsabilidad individual.
| Aspecto | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Control de concientización | A.7.2.2 | 6.3 |
| Agrupación | Dominio 7, seguridad ligada a los recursos humanos | Tema Personas |
| Total de controles en el Anexo A | 114 | 93 (11 de ellos nuevos) |
| Estructura del Anexo A | 14 dominios | 4 temas |
El cambio que más importa para un programa de concientización no está en el texto del 6.3, sino en el contexto. La 2022 incorporó controles nuevos orientados a la conducta y al uso de la tecnología, y eso eleva la expectativa del auditor sobre qué significa «concientizar». Demostrar que la gente sabe ya no basta cuando la norma, en su conjunto, gira hacia poder demostrar que la gente actúa distinto.
¿Cómo se evidencia el cumplimiento del control 6.3 en una auditoría?
Un auditor no se conforma con ver que existe un curso. Pide rastro. La evidencia que sostiene el control 6.3 suele apoyarse en estos elementos:
- Registro de quién recibió formación, cuándo y sobre qué, con cobertura de toda la plantilla y no de una muestra.
- Contenidos vinculados de forma explícita a las políticas de la organización y a los riesgos de cada función.
- Periodicidad definida y sostenida en el tiempo, no un único curso en el momento de la incorporación.
- Pruebas de comprensión, como evaluaciones o resultados de simulaciones, que vayan más allá de la mera asistencia.
- Constancia de que la dirección y los perfiles de mayor exposición recibieron formación acorde a su responsabilidad.
El punto más frágil casi siempre es el mismo: la organización tiene la actividad, pero no tiene la trazabilidad. Por eso conviene diseñar el programa pensando desde el principio en qué dato va a quedar registrado, una idea que desarrollamos en si tu programa de awareness mide lo que importa. El mismo principio de evidencia aparece en otras normas, como vimos al analizar la Ley 25.326 y la evidencia del programa de capacitación.
¿Cómo cumple el control 6.3 un programa de concientización moderno?
Cumplir el 6.3 con una charla anual y una hoja de firmas es posible sobre el papel, pero deja a la organización expuesta el día que el auditor tira del hilo de la trazabilidad. Un programa que cumple sin sobresaltos comparte algunos rasgos: es continuo en lugar de puntual, segmenta el contenido por rol y por riesgo, combina formatos para sostener la atención, y registra de forma automática cada interacción para convertirla en evidencia.
Las simulaciones de phishing cumplen aquí un papel doble. Por un lado entrenan el reflejo de la plantilla frente a un ataque realista; por otro, generan el dato de comportamiento que el auditor valora más que cualquier hoja de firmas, porque muestra cómo reacciona la gente y no solo qué se le contó. Esa evolución medida en el tiempo es la respuesta más sólida a la pregunta de si el programa cambia algo.
Esa automatización es lo que separa cumplir de poder demostrarlo. SMARTFENSE, como plataforma de concientización con presencia en LATAM y España, está construida alrededor de esa idea: cada simulación, cada contenido entregado y cada evaluación queda registrado y disponible como prueba auditable, sin que el equipo de seguridad tenga que reconstruir el rastro a mano antes de cada auditoría. El control 6.3 deja de ser una carrera contra el reloj y pasa a ser un informe que ya existe. Puedes ver cómo se articula en la plataforma de concientización de SMARTFENSE.
La concientización dejó de ser comunicación interna el día que la norma la convirtió en un control auditable. La revisión de 2022 reforzó esa premisa al rodear el 6.3 de controles de conducta. Frente a la auditoría, lo que cuenta es la evidencia que el programa puede poner sobre la mesa, y ahí la trazabilidad decide más que el número de horas dictadas.
Deja un comentario