Cláusula 7.2: Competencia

La organización dispone de todos los elementos de apoyo necesarios para garantizar la eficacia del SGSI: asigna recursos adecuados y oportunos, asegura la competencia y la toma de conciencia del personal, mantiene canales de comunicación internos y externos claros y seguros, y controla rigurosamente la información documentada. Estos mecanismos de apoyo se revisan y mejoran de forma continua, permitiendo que cada proceso de seguridad de la información funcione con solvencia y alineación plena con los objetivos estratégicos de la organización.

ISO 27001: Sistema de Gestión de Seguridad de la Información

Competencia

La organización garantiza que todo el personal que influye en el desempeño del SGSI posee la competencia necesaria —basada en educación, formación y experiencia— para cumplir eficazmente sus responsabilidades de seguridad de la información.

Acciones implementadas:

Definición de perfiles de competencia

Se definen los perfiles de competencia para cada rol relevante del SGSI y se comparan con las capacidades actuales del personal.

Programa anual de capacitación

Se ejecuta un programa anual de capacitación y concienciación que cubre requisitos normativos, mejores prácticas y procedimientos internos.

Inducción de nuevo personal

Todo nuevo colaborador pasa por un proceso de inducción que incluye formación específica en seguridad de la información y firma de compromisos correspondientes.

Registro de competencias

Se mantiene un registro actualizado de cursos, certificaciones y evaluaciones de desempeño relacionados con la seguridad.

Revisión periódica de competencias

Se revisan periódicamente las competencias y se planifican acciones correctivas (formación adicional o reasignación de funciones) cuando se detectan brechas.

Documentos relacionados:

PRO 003 – Competencia y Capacitación - Proceso que define cómo se determinan, adquieren y evalúan las competencias requeridas.
PSC 009 – Sensibilización y Capacitación - Procedimiento que planifica y ejecuta la formación continua en seguridad de la información.
DOC 013 – Plan Anual de Capacitación 2026 - Detalla los cursos, responsables y fechas para asegurar el desarrollo de competencias.
DOC 015 – Programa de Inducción - Establece las actividades formativas obligatorias para el nuevo personal vinculado al SGSI.
PRO 021 – Proceso de Inducción al Personal Vinculado al SGSI - Describe paso a paso la inducción específica en seguridad de la información.
FOR 011 – Registro de Capacitación y Competencias - Evidencia la asistencia, evaluación y resultados de cada actividad formativa.
FOR 018 – Registro de Concienciación - Documenta las campañas y actividades de sensibilización realizadas a lo largo del año.

Controles del Anexo A que respaldan 7.2:

Consideraciones Adicionales

La competencia del personal es un pilar fundamental para el éxito del SGSI. La organización garantiza que todas las personas que realizan trabajos que afectan el desempeño del sistema cuenten con la educación, formación y experiencia necesarias para cumplir con sus responsabilidades.

Cómo cumplimos

Mediante la definición de perfiles de competencia, ejecución de programas anuales de capacitación, procesos de inducción para nuevo personal y revisión periódica de competencias para identificar y corregir brechas.

Responsables

El responsable del SGSI es responsable de coordinar el programa de competencias, mientras que los jefes de área son responsables de identificar las necesidades de formación de su personal. La alta dirección aprueba los recursos necesarios para el desarrollo de competencias.