El contexto regulatorio: por qué el awareness ya no es opcional

La versión 2022 de ISO 27001 reforzó los controles relacionados con el factor humano respecto a la versión de 2013. El Anexo A incluye ahora controles específicos que van más allá de la formación básica y exigen evidencia de efectividad real.

Para las organizaciones que ya tienen certificación ISO 27001:2013, la transición obligatoria a la versión 2022 (plazo octubre 2025) implica revisar sus programas de concienciación y asegurarse de que generan la documentación exigida por el nuevo estándar.

Para las organizaciones en proceso de certificación, el control de awareness es uno de los que más frecuentemente genera no conformidades en auditorías: no por ausencia de actividad, sino por ausencia de evidencia adecuada.

Los controles específicos de ISO 27001:2022 relacionados con awareness

A.6.3 — Information security awareness, education and training

Es el control principal. Requiere que:

  • Los empleados y partes relevantes reciban awareness apropiado, educación y formación en seguridad de la información
  • La formación esté actualizada periódicamente
  • La organización evalúe la efectividad de la formación

Evidencias que satisfacen este control:

  • Registros de asistencia o completado de módulos formativos (con fecha, empleado, contenido)
  • Resultados de simulaciones de phishing (tasa de clic, tasa de reporte, evolución temporal)
  • Política de concienciación en seguridad documentada y aprobada por dirección
  • Evidencia de formación específica por rol para funciones de alto riesgo

A.6.1 — Screening (verificación de personal)

Relevante en incorporaciones. Requiere que los nuevos empleados reciban formación en seguridad antes o durante su incorporación.

Evidencias: Registro del módulo de onboarding de seguridad completado en las primeras semanas de incorporación, con fecha.

A.8.7 — Protection against malware

Aunque es un control técnico, incluye el requisito de concienciación: "Se debe educar a los usuarios sobre los riesgos relacionados con el malware".

Evidencias: Formaciones o comunicaciones específicas sobre reconocimiento de malware, con registros de distribución y completado.

A.5.10 — Acceptable use of information and other assets

Requiere que los empleados sean conscientes de las políticas de uso aceptable de activos de información.

Evidencias: Registro de que los empleados han leído y aceptado la política de uso aceptable, formaciones sobre la misma.

A.5.17 — Authentication information

Exige que los empleados entiendan cómo gestionar correctamente las credenciales de autenticación.

Evidencias: Formaciones específicas sobre gestión de contraseñas y autenticación multifactor, con métricas de adopción de MFA.

Qué diferencia una evidencia aceptable de una inadecuada

El error más común que genera no conformidades en auditorías de ISO 27001 no es la ausencia de actividad formativa, sino la calidad de la evidencia presentada.

Evidencias insuficientes (generan observaciones o no conformidades)

  • "Realizamos un webinar anual de seguridad" sin registro de asistentes ni contenidos
  • Porcentajes de completado de un LMS sin contexto ni histórico
  • "Enviamos un correo recordatorio" sin evidencia de distribución ni lectura
  • Certificados de completado sin fecha o sin identificación del empleado

Evidencias sólidas (satisfacen al auditor)

  • Informe mensual/trimestral de simulaciones con: fechas, alcance, tasa de clic por departamento, tasa de reporte, evolución temporal
  • Registros individuales de completado con timestamp, identificador de usuario y versión del contenido
  • Evidencia de formación post-fallo: registro de que el empleado que cayó en una simulación completó la microformación de remediación
  • Matrices de formación por rol que documentan qué contenidos son obligatorios para cada función
  • Actas de revisión del programa por la dirección (al menos anual)

Estructura de documentación para superar una auditoría

Un programa de awareness bien documentado para ISO 27001 debe incluir los siguientes documentos:

1. Política de concienciación en seguridad

Documento que define:

  • El alcance del programa (qué empleados, contratistas, terceros)
  • La frecuencia mínima de formación por rol
  • Los canales de comunicación para alertas de seguridad
  • El proceso de reporte de incidentes sospechosos
  • Las consecuencias de incumplimiento deliberado

Debe estar aprobada por la dirección y revisada al menos anualmente.

2. Matriz de formación por rol

Tabla que mapea cada rol con los contenidos formativos obligatorios y la frecuencia requerida. Ejemplo:

Rol Onboarding Básico anual Phishing trimestral BEC semestral Protección datos
Todos Obligatorio Obligatorio Básico
Finanzas Obligatorio Obligatorio Obligatorio Avanzado
IT Obligatorio Obligatorio Avanzado Completo
Dirección Obligatorio Obligatorio Obligatorio Básico

3. Registro histórico de formaciones

Sistema que almacena por cada empleado:

  • Módulos completados, con fecha y duración
  • Resultados de simulaciones (sin publicarlos individualmente, pero disponibles para el auditor)
  • Microformaciones de remediación completadas
  • Tiempo activo en el programa

Este registro debe ser exportable para presentación al auditor y debe cubrir al menos 12 meses hacia atrás.

4. Informes de simulaciones

Por cada campaña de simulación:

  • Fecha y alcance
  • Tipo de técnica simulada
  • Métricas agregadas: tasa de clic, tasa de reporte, tasa de envío de credenciales
  • Comparación con campaña anterior
  • Acciones de mejora definidas

5. Actas de revisión del programa

Al menos una vez al año, el responsable de seguridad debe revisar:

  • Efectividad del programa (evolución de métricas)
  • Incidentes de seguridad con factor humano ocurridos
  • Cambios en el perfil de amenazas que requieren nuevos contenidos
  • Ajustes planificados para el siguiente período

Esta revisión debe quedar documentada con fecha y aprobación de dirección.

Preguntas frecuentes que hace un auditor ISO 27001

Los auditores experimentados saben exactamente qué buscar. Estas son las preguntas más comunes y cómo preparar las respuestas:

"¿Cómo sabe que la formación es efectiva?" Respuesta esperada: evolución de métricas de comportamiento (tasa de clic en simulaciones, tasa de reporte) que muestren mejora cuantificable en el tiempo.

"¿Qué pasa cuando un empleado nuevo se incorpora?" Respuesta esperada: hay un proceso de onboarding documentado que incluye formación en seguridad, con registro de completado antes del acceso a sistemas críticos.

"¿Cómo adaptan la formación a los distintos roles?" Respuesta esperada: existe una matriz de formación por rol. Los empleados con acceso a información crítica o en funciones de alto riesgo reciben formación adicional específica.

"¿Qué hacen cuando un empleado falla repetidamente en las simulaciones?" Respuesta esperada: existe un proceso de seguimiento para empleados de alto riesgo que incluye formación adicional y, en casos extremos, escalada a RRHH.

"¿Cómo actualizan la formación cuando aparecen nuevas amenazas?" Respuesta esperada: el proveedor del programa actualiza los contenidos y simulaciones periódicamente en función de las amenazas actuales. Las campañas de concienciación reactivas ante incidentes relevantes del sector están documentadas.

Cómo un programa de AaaS simplifica la preparación para auditorías

Un programa de Awareness as a Service bien estructurado genera automáticamente la mayoría de la documentación necesaria para ISO 27001:

  • Registros de completado exportables por empleado, con timestamps
  • Informes de simulaciones con métricas históricas y comparativas
  • Evidencias de formación post-fallo para cada empleado que recibió remediación
  • Dashboards de evolución que muestran tendencias de comportamiento en el tiempo

La diferencia entre un programa de AaaS y un LMS genérico no es solo pedagógica: es también documental. La evidencia se genera como efecto secundario del programa, sin necesidad de esfuerzo adicional de administración.

Conclusión

ISO 27001:2022 no se conforma con certificados de completado. Los auditores buscan evidencia de un programa vivo, con métricas de comportamiento, evolución temporal y documentación que demuestre que la organización sabe si su formación funciona.

Un programa de awareness estructurado no solo reduce el riesgo humano: también convierte la preparación para auditorías de un esfuerzo manual puntual en un proceso continuo con documentación lista para presentar en cualquier momento.

¿Tu empresa necesita un programa de awareness en ciberseguridad?

Safe Bait diseña campañas personalizadas basadas en los riesgos reales de tu organización. Agenda un diagnóstico inicial sin compromiso.

Solicitar diagnóstico gratuito