Cláusula 7.3: Toma de Conciencia

La organización dispone de todos los elementos de apoyo necesarios para garantizar la eficacia del SGSI: asigna recursos adecuados y oportunos, asegura la competencia y la toma de conciencia del personal, mantiene canales de comunicación internos y externos claros y seguros, y controla rigurosamente la información documentada. Estos mecanismos de apoyo se revisan y mejoran de forma continua, permitiendo que cada proceso de seguridad de la información funcione con solvencia y alineación plena con los objetivos estratégicos de la organización.

ISO 27001: Sistema de Gestión de Seguridad de la Información

Toma de Conciencia

La organización mantiene un programa sostenido de concienciación para asegurar que todo el personal conozca la política de seguridad, los riesgos relevantes y su papel en la protección de la información, fomentando comportamientos seguros en la operación diaria del SGSI.

Acciones implementadas:

Campañas trimestrales de concienciación

Se ejecutan campañas trimestrales de concienciación (boletines, carteles, micro-vídeos y simulacros de phishing) orientadas a riesgos emergentes y buenas prácticas.

Sesiones interactivas anuales

Todo colaborador participa, al menos una vez al año, en sesiones interactivas sobre políticas, procedimientos y lecciones aprendidas de incidentes reales.

Integración en canales internos

Los mensajes clave de seguridad se incluyen en las reuniones operativas y en los canales internos (intranet y correo corporativo).

Medición de efectividad

Se miden la participación y la retención de conocimientos mediante cuestionarios y se registran las mejoras de comportamiento observadas.

Revisión por la Dirección

Los resultados se revisan durante la Revisión por la Dirección para ajustar contenidos y métodos en función de la eficacia demostrada.

Documentos relacionados:

PSC 009 – Sensibilización y Capacitación - Define objetivo, alcance, frecuencia y métodos de las actividades de concienciación.
PRO 003 – Competencia y Capacitación - Establece los requisitos de conocimiento y las evaluaciones posteriores a cada campaña.
DOC 013 – Plan Anual de Capacitación 2026 - Incluye el calendario de eventos de concienciación y los responsables designados.
FOR 018 – Registro de Concienciación - Evidencia la ejecución de cada actividad y el porcentaje de asistencia.
FOR 011 – Registro de Capacitación y Competencias - Registra los resultados de las evaluaciones de conocimiento y las acciones de refuerzo.
DOC 010 – Acta de reuniones socialización de las políticas - Acredita la difusión inicial y periódica de mensajes clave a todo el personal.

Controles del Anexo A que respaldan 7.3:

Consideraciones Adicionales

La toma de conciencia es fundamental para crear una cultura de seguridad en la organización. Un personal consciente de los riesgos y sus responsabilidades constituye la primera línea de defensa contra las amenazas a la seguridad de la información.

Cómo cumplimos

Mediante la implementación de un programa continuo de concienciación que incluye campañas trimestrales, sesiones interactivas anuales, integración de mensajes en canales internos y medición constante de la efectividad de las actividades.

Responsables

El responsable del SGSI coordina el programa de concienciación, mientras que los jefes de área son responsables de asegurar la participación de su personal. La alta dirección revisa los resultados y aprueba los recursos necesarios para el programa.