¿Qué es Control 6.3?
ISO 27002:2022, Control 6.3. Concientización, educación y capacitación sobre seguridad de la información cubre la necesidad de que los empleados de una organización reciban conciencia, educación y capacitación adecuadas sobre seguridad de la información, además de actualizaciones periódicas de la política de seguridad de la información de la organización, especialmente en lo que se aplica a su función laboral.
Concientización, educación y capacitación sobre seguridad de la información
conciencia de seguridad de la información, educación y capacitación (conciencia de seguridad de TI) es el proceso de informar a los usuarios sobre la importancia de la seguridad de la información y alentarlos a mejorar sus propios hábitos de seguridad informática.
Los usuarios deben ser conscientes de la seguridad. riesgos que pueden surgir de sus actividades y cómo pueden protegerse contra estos riesgos.
La concientización, la educación y la capacitación sobre seguridad de la información son componentes críticos del éxito de cualquier organización. Es fundamental que todos los empleados comprendan la importancia de la seguridad de la información y cómo afecta a todos.
Cuanto más comprendan los empleados cómo protegerse de las amenazas cibernéticas, más segura será su organización.
Tabla de Atributos de Control 6.3
Los controles se pueden agrupar mediante atributos. Cuando observa los atributos del control, puede relacionarlos más fácilmente con los requisitos y la terminología establecidos de la industria. Los siguientes atributos están bajo control 6.3.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Seguridad de Recursos Humanos | #Gobernanza y Ecosistema |
| #Integridad | ||||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cuál es el propósito del Control 6.3?
El propósito del Control 6.3 es garantizar que el personal y las partes interesadas relevantes estén conscientes y capacitados adecuadamente para cumplir con sus responsabilidades de seguridad de la información.
El Control 6.3 cubre una gama de actividades que ayudan a garantizar que las personas tengan el conocimiento y las habilidades necesarias para operar dentro de una organización. seguridad de la información estructura. El foco principal de este El control está en las actividades de sensibilización sobre la importancia de la seguridad de la información., fomentando las buenas prácticas y promoviendo el cumplimiento de las políticas y procedimientos pertinentes.
Control 6.3 Explicado
La concientización, la educación y la capacitación sobre seguridad de la información son un componente crítico de la estrategia general de gestión de riesgos de una organización y deben considerarse como una parte integral de la política de seguridad de la organización.
El Control 6.3 define la necesidad de que las organizaciones cuenten con un programa de concientización sobre la seguridad de la información que proporcione a todos los empleados los conocimientos y habilidades necesarios para proteger los activos de información. Proporciona orientación sobre lo que debe incluirse en un programa de sensibilización eficaz.
Por ejemplo, es posible que la organización necesite implementar capacitación en concientización sobre seguridad al menos una vez al año, o según lo requiera la evaluación de riesgos, para todos los empleados y contratistas a quienes se les han asignado roles en los que tienen acceso a activos de información confidencial u otros tipos de información. sistemas que almacenan, procesan o transmiten datos confidenciales.
Qué implica y cómo cumplir los requisitos
El requisito para el control 6.3 es que una organización debe tener un proceso para garantizar que los empleados estén capacitados adecuadamente sobre cómo realizar sus tareas laborales de manera segura y protegida, de manera que no compromete la seguridad de la información. Esto se puede lograr mediante sesiones de formación. También se puede lograr utilizando recursos en línea como videos o seminarios web.
Los programas de concientización, educación y capacitación sobre seguridad de la información deben desarrollarse de acuerdo con la política de seguridad de la información de la organización, las políticas temáticas específicas y los procedimientos de seguridad de la información pertinentes. También debe tener en cuenta la información de la organización que se va a proteger y los controles de seguridad de la información implementados para protegerla. Esto debería suceder periódicamente.
La concientización, la educación y la capacitación introductorias pueden aplicarse tanto a los nuevos empleados como a aquellos que hacen la transición a nuevos puestos o tareas que requieren niveles significativamente diferentes de seguridad de la información.
La campaña de concientización debe incorporar una variedad de actividades para crear conciencia. Esto incluye campañas, folletos, carteles, boletines, sitios web, sesiones informativas, sesiones informativas, módulos de aprendizaje electrónico y correos electrónicos.
Según el control 6.3, este programa debería cubrir:
- El compromiso de la dirección con la seguridad de la información en toda la organización;
- Familiaridad y cumplimiento de las reglas y obligaciones de seguridad de la información aplicables, incluida la política de seguridad de la información y políticas, estándares, leyes, estatutos, regulaciones, contratos y acuerdos específicos de temas;
- Responsabilidad personal por las propias acciones e inacción, general Responsabilidades para asegurar o proteger la información perteneciente a la organización. y partes interesadas;
- Funda Térmica procedimientos de seguridad de la información [por ejemplo, notificación de eventos de seguridad de la información (6.8)] así como controles de referencia [por ejemplo, seguridad de contraseñas];
- Puntos de contacto adicionales y Recursos para obtener información adicional y asesoramiento sobre seguridad de la información. asuntos, incluidos más materiales de concientización sobre seguridad de la información.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Cambios y diferencias con respecto a ISO 27002:2013
ISO 27002:2022 no es un control completamente nuevo. Esta versión de ISO 27002, que se publicó en febrero de 2022, es una actualización de la versión anterior, que se publicó en 2013. Como resultado, el control 6.3 en ISO 27002:2022 no es un control completamente nuevo. Es una versión ligeramente modificada del control 7.2.2 en ISO 27002:2013.
El control 7.2.2 de la norma ISO 27002:2013 no cuenta con una tabla de atributos ni una declaración de propósito, los cuales sí se incluyen en el control 6.3 de la versión ISO 27002:2022.
Dicho esto, aparte del cambio en el número de control, no hay otra diferencia perceptible entre los dos controles. A pesar de que la fraseología de los dos controles difiere, la sustancia y el contexto de los dos controles son esencialmente los mismos.
El lenguaje en control 6.3 se creó para que sea más fácil de usar, de modo que las personas que usarán el estándar puedan relacionarse mejor con su contenido.
¿Quién está a cargo de este proceso?
La respuesta a esta pregunta depende de su organización. En muchas organizaciones, los programas de concientización, educación y capacitación sobre seguridad de la información son administrados por el equipo de seguridad. En otras organizaciones, lo maneja el departamento de recursos humanos u otra función.
Lo importante es asegurarse de que alguien sea responsable de crear e implementar el programa de concientización sobre seguridad de su organización. Esta persona o departamento también debe ser supervisado por el gerente de seguridad de la información (si hay una persona diferente a cargo de esta función).
Esta persona debe tener un buen conocimiento de la seguridad de la información y poder comunicarse con los empleados sobre diversos temas relacionados con las mejores prácticas de seguridad. Esta persona también debería poder desarrollar contenidos para sus programas de formación y realizar sesiones periódicas de formación para los empleados.
Es importante comprender que la seguridad de la información no es sólo responsabilidad de TI. Es responsabilidad de todos. Las organizaciones necesitan tener un equipo de personas responsables de la seguridad, pero también deben asegurarse de que todos comprendan la importancia de la confidencialidad y la integridad.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
¿Qué significan estos cambios para usted?
No necesita hacer mucho porque ISO 27002: 2022 no es un estándar nuevo sino una revisión de la versión 2013. Por lo tanto, se espera que la mayoría de las organizaciones no necesiten realizar cambios.
Sin embargo, si ya implementó la versión 2013 de ISO 27002, deberá evaluar si estos cambios son relevantes para su organización. También necesitarás revisar tus procesos de seguridad si estás planificación para la certificación SGSI. Esto garantizará que sus procesos cumplan con el estándar revisado.
Nuestra guía ISO 27002:2022, disponible para descarga gratuita en nuestro sitio web, tiene más información sobre cómo la nueva ISO 27002 puede afectar sus operaciones de seguridad de la información y ISO 27001 proceso de dar un título.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.Online
ISMS.Online es una solución completa para la implementación de ISO 27002. Es un sistema basado en web que le permite demostrar que su sistema de gestión de seguridad de la información (SGSI) cumple con los estándares aprobados utilizando procesos, procedimientos y listas de verificación bien pensados.
No es sólo una plataforma fácil de usar para gestionar su implementación de ISO 27002, sino también una excelente herramienta para capacitar a su personal sobre las mejores prácticas y procesos de seguridad de la información, así como para documentar todos sus esfuerzos.
El sistema Ventajas de utilizar SGSI.En línea:
- Plataforma online fácil de usar a la que se puede acceder desde cualquier dispositivo.
- Es completamente personalizable para satisfacer sus necesidades.
- Flujos de trabajo y procesos personalizables para satisfacer las necesidades de su negocio.
- Herramientas de capacitación para ayudar a los nuevos empleados a ponerse al día más rápido.
- Una biblioteca de plantillas para documentos como políticas, procedimientos, planes y listas de verificación.
ISMS.Online simplifica el proceso de implementación de ISO 27002 al proporcionar todos los recursos, información y herramientas necesarios en un solo lugar. Le permite comprobar que su SGSI cumple con el estándar con sólo unos pocos clics del mouse, lo que de otro modo llevaría mucho tiempo si se hiciera manualmente.
¿Quieres verlo en acción?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
