ILISO27001_T025 Toma de Conciencia

Plataformas de Aprendizaje Autodirigido

Toma de Conciencia.

Requisito.

Las personas que realizan trabajos bajo el control de la organización:

  • son conscientes de las medidas de seguridad de la información, políticas, su contribución a la eficacia del SGSI, beneficios de una mayor seguridad de la información e implicaciones de no ajustarse a los requisitos del SGSI.
  • Se refiere a tener los conocimientos necesarios, comprensión y motivación sobre lo que se espera de ellos en materia de seguridad de la información.
  • también necesitan conocer, comprender y aceptar las implicaciones de no cumplir con los requisitos del SGSI, las implicaciones y consecuencias para la seguridad de la información o repercusiones para la persona. Estas personas deben ser conscientes de que existe una política de seguridad de la información y dónde encontrar información.

La conciencia concierne a las personas que deben conocer, comprender, aceptar y:

    1. apoyar los objetivos establecidos en la política de seguridad de la información; y
    2. seguir las normas para realizar correctamente sus tareas diarias en apoyo a la seguridad de la información.

Gran parte del personal de una organización no necesita conocer el contenido detallado de la política, pero si deben conocer, comprender, aceptar e implementar los objetivos de seguridad de la información y requisitos derivados de la política que afectan a su rol laboral.

Estos requisitos pueden incluirse en las normas o procedimientos que se espera que sigan para realizar su trabajo.

Guía.

La organización debería:

  • Elaborar un programa con mensajes específicos enfocados hacia cada audiencia (por ejemplo, personas internas y externas).
  • Incluir necesidades y expectativas de seguridad de la información dentro de los materiales de toma de conciencia y formación sobre otros temas, para poner las necesidades de seguridad de la información en contextos operacionales pertinentes.
  • Verificar el conocimiento y la comprensión de los mensajes al finalizar una sesión de toma de conciencia y aleatoriamente entre sesiones.
  • Verificar si las personas actúan de acuerdo con los mensajes transmitidos y usan ejemplos de comportamiento «bueno» y «malo» para reforzar el mensaje.