Concienciación.
Las personas que trabajan bajo el control de la organización deben ser conscientes de:
- La política de la seguridad de la información.
- Su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluyendo los beneficios de una mejora del desempeño en seguridad de la información.
- Las implicaciones de no cumplir con los requisitos del sistema de gestión de la seguridad de la información.
Veamos más en profundidad como afrontar el cumplimiento de este requisito, los puntos concretos a tener en cuenta podrían ser:
1 .- Establecer un programa de formación y sensibilización o concienciación.
2 .- Programar distintas actividades de sensibilización.
3.- Utilizar todos los medios de comunicación, incluyendo charlas presenciales, videoconferencias online, formaciones online adaptadas al ritmo y tiempos de los empleados, etc.
4 .- Mantener informados a todos de las actualizaciones en temas de seguridad tomando en cuenta lo aprendido en los incidentes de seguridad de la información.
5.- Repartir con periodicidad las formaciones y comunicaciones de seguridad para asegurarse que incluyen a todos los empleados y a las nuevas incorporaciones, asimismo, incluir a los contratistas que sea necesario para garantizar que todos los que realizan trabajos que pueden comprometer la seguridad de la información estén incluidos.
Desde un punto de vista, la concientización está estrechamente relacionada con la competencia, si bien, hay algunos puntos que marcan la diferencia entre la capacitación y la sensibilización:
- Los empleados de las organizaciones deben ser conscientes de las funciones que se relacionan con el SGSI y cómo su función afecta directamente a éstas.
- El empleado debe comprender por qué es mejor conocer y poner en práctica sus responsabilidades en la seguridad de la información, además de conocer las posibles consecuencias de no cumplir con los requisitos del SGSI.