ISO 27002:2022, Control 6.3. Concientización, educación y capacitación sobre seguridad de la información cubre la necesidad de que los empleados de una organización reciban conciencia, educación y capacitación adecuadas sobre seguridad de la información, además de actualizaciones periódicas de la política de seguridad de la información de la organización, especialmente en lo que se aplica a su función laboral.
conciencia de seguridad de la información, educación y capacitación (conciencia de seguridad de TI) es el proceso de informar a los usuarios sobre la importancia de la seguridad de la información y alentarlos a mejorar sus propios hábitos de seguridad informática.
Los usuarios deben ser conscientes de la seguridad. riesgos que pueden surgir de sus actividades y cómo pueden protegerse contra estos riesgos.
La concientización, la educación y la capacitación sobre seguridad de la información son componentes críticos del éxito de cualquier organización. Es fundamental que todos los empleados comprendan la importancia de la seguridad de la información y cómo afecta a todos.
Cuanto más comprendan los empleados cómo protegerse de las amenazas cibernéticas, más segura será su organización.
Los controles se pueden agrupar mediante atributos. Cuando observa los atributos del control, puede relacionarlos más fácilmente con los requisitos y la terminología establecidos de la industria. Los siguientes atributos están bajo control 6.3.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad de Recursos Humanos | #Gobernanza y Ecosistema |
El propósito del Control 6.3 es garantizar que el personal y las partes interesadas relevantes estén conscientes y capacitados adecuadamente para cumplir con sus responsabilidades de seguridad de la información.
El Control 6.3 cubre una gama de actividades que ayudan a garantizar que las personas tengan el conocimiento y las habilidades necesarias para operar dentro de una organización. seguridad de la información estructura. El foco principal de este El control está en las actividades de sensibilización sobre la importancia de la seguridad de la información., fomentando las buenas prácticas y promoviendo el cumplimiento de las políticas y procedimientos pertinentes.
La concientización, la educación y la capacitación sobre seguridad de la información son un componente crítico de la estrategia general de gestión de riesgos de una organización y deben considerarse como una parte integral de la política de seguridad de la organización.
El Control 6.3 define la necesidad de que las organizaciones cuenten con un programa de concientización sobre la seguridad de la información que proporcione a todos los empleados los conocimientos y habilidades necesarios para proteger los activos de información. Proporciona orientación sobre lo que debe incluirse en un programa de sensibilización eficaz.
Por ejemplo, es posible que la organización necesite implementar capacitación en concientización sobre seguridad al menos una vez al año, o según lo requiera la evaluación de riesgos, para todos los empleados y contratistas a quienes se les han asignado roles en los que tienen acceso a activos de información confidencial u otros tipos de información. sistemas que almacenan, procesan o transmiten datos confidenciales.
El requisito para el control 6.3 es que una organización debe tener un proceso para garantizar que los empleados estén capacitados adecuadamente sobre cómo realizar sus tareas laborales de manera segura y protegida, de manera que no compromete la seguridad de la información. Esto se puede lograr mediante sesiones de formación. También se puede lograr utilizando recursos en línea como videos o seminarios web.
Los programas de concientización, educación y capacitación sobre seguridad de la información deben desarrollarse de acuerdo con la política de seguridad de la información de la organización, las políticas temáticas específicas y los procedimientos de seguridad de la información pertinentes. También debe tener en cuenta la información de la organización que se va a proteger y los controles de seguridad de la información implementados para protegerla. Esto debería suceder periódicamente.
La concientización, la educación y la capacitación introductorias pueden aplicarse tanto a los nuevos empleados como a aquellos que hacen la transición a nuevos puestos o tareas que requieren niveles significativamente diferentes de seguridad de la información.
La campaña de concientización debe incorporar una variedad de actividades para crear conciencia. Esto incluye campañas, folletos, carteles, boletines, sitios web, sesiones informativas, sesiones informativas, módulos de aprendizaje electrónico y correos electrónicos.
Según el control 6.3, este programa debería cubrir:
El único cumplimiento
solución que necesitas
Reserva tu demostración
ISO 27002:2022 no es un control completamente nuevo. Esta versión de ISO 27002, que se publicó en febrero de 2022, es una actualización de la versión anterior, que se publicó en 2013. Como resultado, el control 6.3 en ISO 27002:2022 no es un control completamente nuevo. Es una versión ligeramente modificada del control 7.2.2 en ISO 27002:2013.
El control 7.2.2 de la norma ISO 27002:2013 no cuenta con una tabla de atributos ni una declaración de propósito, los cuales sí se incluyen en el control 6.3 de la versión ISO 27002:2022.
Dicho esto, aparte del cambio en el número de control, no hay otra diferencia perceptible entre los dos controles. A pesar de que la fraseología de los dos controles difiere, la sustancia y el contexto de los dos controles son esencialmente los mismos.
El lenguaje en control 6.3 se creó para que sea más fácil de usar, de modo que las personas que usarán el estándar puedan relacionarse mejor con su contenido.
La respuesta a esta pregunta depende de su organización. En muchas organizaciones, los programas de concientización, educación y capacitación sobre seguridad de la información son administrados por el equipo de seguridad. En otras organizaciones, lo maneja el departamento de recursos humanos u otra función.
Lo importante es asegurarse de que alguien sea responsable de crear e implementar el programa de concientización sobre seguridad de su organización. Esta persona o departamento también debe ser supervisado por el gerente de seguridad de la información (si hay una persona diferente a cargo de esta función).
Esta persona debe tener un buen conocimiento de la seguridad de la información y poder comunicarse con los empleados sobre diversos temas relacionados con las mejores prácticas de seguridad. Esta persona también debería poder desarrollar contenidos para sus programas de formación y realizar sesiones periódicas de formación para los empleados.
Es importante comprender que la seguridad de la información no es sólo responsabilidad de TI. Es responsabilidad de todos. Las organizaciones necesitan tener un equipo de personas responsables de la seguridad, pero también deben asegurarse de que todos comprendan la importancia de la confidencialidad y la integridad.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
No necesita hacer mucho porque ISO 27002: 2022 no es un estándar nuevo sino una revisión de la versión 2013. Por lo tanto, se espera que la mayoría de las organizaciones no necesiten realizar cambios.
Sin embargo, si ya implementó la versión 2013 de ISO 27002, deberá evaluar si estos cambios son relevantes para su organización. También necesitarás revisar tus procesos de seguridad si estás planificación para la certificación SGSI. Esto garantizará que sus procesos cumplan con el estándar revisado.
Nuestra guía ISO 27002:2022, disponible para descarga gratuita en nuestro sitio web, tiene más información sobre cómo la nueva ISO 27002 puede afectar sus operaciones de seguridad de la información y ISO 27001 proceso de dar un título.
ISMS.Online es una solución completa para la implementación de ISO 27002. Es un sistema basado en web que le permite demostrar que su sistema de gestión de seguridad de la información (SGSI) cumple con los estándares aprobados utilizando procesos, procedimientos y listas de verificación bien pensados.
No es sólo una plataforma fácil de usar para gestionar su implementación de ISO 27002, sino también una excelente herramienta para capacitar a su personal sobre las mejores prácticas y procesos de seguridad de la información, así como para documentar todos sus esfuerzos.
El Ventajas de utilizar SGSI.En línea:
ISMS.Online simplifica el proceso de implementación de ISO 27002 al proporcionar todos los recursos, información y herramientas necesarios en un solo lugar. Le permite comprobar que su SGSI cumple con el estándar con sólo unos pocos clics del mouse, lo que de otro modo llevaría mucho tiempo si se hiciera manualmente.
¿Quieres verlo en acción?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
