Toma de Conciencia.
Requisito.
Las personas que realizan trabajos bajo el control de la organización:
- son conscientes de las medidas de seguridad de la información, políticas, su contribución a la eficacia del SGSI, beneficios de una mayor seguridad de la información e implicaciones de no ajustarse a los requisitos del SGSI.
- Se refiere a tener los conocimientos necesarios, comprensión y motivación sobre lo que se espera de ellos en materia de seguridad de la información.
- también necesitan conocer, comprender y aceptar las implicaciones de no cumplir con los requisitos del SGSI, las implicaciones y consecuencias para la seguridad de la información o repercusiones para la persona. Estas personas deben ser conscientes de que existe una política de seguridad de la información y dónde encontrar información.
La conciencia concierne a las personas que deben conocer, comprender, aceptar y:
-
- apoyar los objetivos establecidos en la política de seguridad de la información; y
- seguir las normas para realizar correctamente sus tareas diarias en apoyo a la seguridad de la información.
Gran parte del personal de una organización no necesita conocer el contenido detallado de la política, pero si deben conocer, comprender, aceptar e implementar los objetivos de seguridad de la información y requisitos derivados de la política que afectan a su rol laboral.
Estos requisitos pueden incluirse en las normas o procedimientos que se espera que sigan para realizar su trabajo.
Guía.
La organización debería:
- Elaborar un programa con mensajes específicos enfocados hacia cada audiencia (por ejemplo, personas internas y externas).
- Incluir necesidades y expectativas de seguridad de la información dentro de los materiales de toma de conciencia y formación sobre otros temas, para poner las necesidades de seguridad de la información en contextos operacionales pertinentes.
- Verificar el conocimiento y la comprensión de los mensajes al finalizar una sesión de toma de conciencia y aleatoriamente entre sesiones.
- Verificar si las personas actúan de acuerdo con los mensajes transmitidos y usan ejemplos de comportamiento «bueno» y «malo» para reforzar el mensaje.