Competencia.
Los requisitos de la norma para determinar la competencia del personal para llevar a cabo las tareas del SGSI se centran en:
-
- Determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño en seguridad de la información.
- Asegurarse que estas personas sean competentes, basándose en la educación, formación o experiencia adecuadas.
- Cuando sea aplicable, poner en marcha acciones para adquirir la competencia necesaria y evaluar la eficacia de las acciones llevadas a cabo.
- Conservar la información documentada apropiada, como evidencia de la competencia.
NOTA: Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la resignación de las personas empleadas actualmente; o la contratación de personas competentes.
Para garantizar el cumplimiento de estos requisitos, podríamos utilizar una matriz de habilidades en el módulo de Recursos Humanos para administrar y realizar un seguimiento de los requisitos anteriormente expuestos.
La necesidad de competencia no solo se aplica al personal interno, sino que cuando necesite cubrir cualquier responsabilidad o función por un contratista externo por ejemplo, deberá tener las mismas consideraciones y documentar completamente cómo cumplen los requisitos del SGSI.
Uno de los medios más utilizados es la realización de capacitaciones tanto internas como externas, en este punto resulta de lo más conveniente asegurarse de que la capacitación recibida, cumple con los objetivos propuestos.
Determinar la competencia del personal significa también que, después de las capacitaciones se establezca algún protocolo para evaluar si las personas después de un ciclo formativo han mejorado realmente su capacitación y han mejorado en el desempeño de sus tareas.
Parte de la gestión del proceso de capacitación (y del proceso de comunicación interna), debe hacer que el personal esté al tanto de su papel en la empresa y cómo contribuyen a cumplir los requisitos de la seguridad de la Información:
- Proporcionar capacitación o tomar medidas para asegurar que se logre la competencia.
- Monitorear regularmente los niveles de competencia y decidir dónde están las brechas.
- Planificar qué se va a hacer con respecto a esas brechas.