ISO 27001: Sistema de Gestión de Seguridad de la Información
La organización dispone de todos los elementos de apoyo necesarios para garantizar la eficacia del SGSI: asigna recursos adecuados y oportunos, asegura la competencia y la toma de conciencia del personal, mantiene canales de comunicación internos y externos claros y seguros, y controla rigurosamente la información documentada. Estos mecanismos de apoyo se revisan y mejoran de forma continua, permitiendo que cada proceso de seguridad de la información funcione con solvencia y alineación plena con los objetivos estratégicos de la organización.
La organización determina y provee de manera continua los recursos humanos, tecnológicos, físicos y financieros necesarios para establecer, implementar, mantener y mejorar el SGSI, garantizando que cada recurso sea suficiente y esté disponible cuando se requiera.
Se realiza anualmente una planificación presupuestaria que contempla personal, capacitación, tecnología, infraestructura y mantenimiento para el SGSI.
Se mantiene un inventario actualizado de activos críticos (hardware, software, documentación y servicios externos) y se asignan responsables para su gestión.
Se asegura la disponibilidad de personal competente mediante programas de selección, inducción y formación continua.
Se monitorea periódicamente la capacidad y rendimiento de los recursos tecnológicos, ajustando o ampliando cuando es necesario.
La organización garantiza que todo el personal que influye en el desempeño del SGSI posee la competencia necesaria —basada en educación, formación y experiencia— para cumplir eficazmente sus responsabilidades de seguridad de la información.
Se definen los perfiles de competencia para cada rol relevante del SGSI y se comparan con las capacidades actuales del personal.
Se ejecuta un programa anual de capacitación y concienciación que cubre requisitos normativos, mejores prácticas y procedimientos internos.
Todo nuevo colaborador pasa por un proceso de inducción que incluye formación específica en seguridad de la información y firma de compromisos correspondientes.
Se mantiene un registro actualizado de cursos, certificaciones y evaluaciones de desempeño relacionados con la seguridad.
La organización mantiene un programa sostenido de concienciación para asegurar que todo el personal conozca la política de seguridad, los riesgos relevantes y su papel en la protección de la información, fomentando comportamientos seguros en la operación diaria del SGSI.
Se ejecutan campañas trimestrales de concienciación (boletines, carteles, micro-vídeos y simulacros de phishing) orientadas a riesgos emergentes y buenas prácticas.
Todo colaborador participa, al menos una vez al año, en sesiones interactivas sobre políticas, procedimientos y lecciones aprendidas de incidentes reales.
Los mensajes clave de seguridad se incluyen en las reuniones operativas y en los canales internos (intranet y correo corporativo).
Se miden la participación y la retención de conocimientos mediante cuestionarios y se registran las mejoras de comportamiento observadas.
La organización establece, implementa y controla canales eficaces de comunicación interna y externa para garantizar que la información de seguridad llegue a las partes correctas, en el momento oportuno y con el nivel de detalle adecuado.
Se mantiene una matriz de comunicación que define qué se comunica, quién lo comunica, a quién y cuándo, cubriendo situaciones rutinarias y de emergencia.
Se han habilitado canales formales (intranet, correo corporativo, reuniones operativas) y canales externos (proveedores, clientes, autoridades) con protocolos claros de aprobación y seguimiento.
Todo incidente de seguridad sigue un flujo de notificación estandarizado, asegurando la transmisión rápida y precisa de la información crítica.
La eficacia de los canales se mide y revisa mediante indicadores de tiempo de respuesta, alcance y comprensión del mensaje.
La organización crea, actualiza y controla de forma eficaz toda la información documentada necesaria para el funcionamiento y la mejora continua del SGSI, garantizando su disponibilidad, integridad, confidencialidad y uso adecuado durante todo su ciclo de vida.
Se mantiene un sistema de control documental que regula la creación, revisión, aprobación, distribución y conservación de todos los documentos y registros del SGSI.
Cada documento cuenta con identificación única, versión, fecha de aprobación y responsable, asegurando trazabilidad y vigencia.
Se aplican controles de acceso según la clasificación de la información para proteger la confidencialidad y prevenir modificaciones no autorizadas.
Las copias obsoletas se retiran y eliminan de manera controlada para evitar uso indebido; los registros se preservan durante el periodo definido por requisitos legales o de negocio.
El apoyo es fundamental para el funcionamiento eficaz del SGSI. La organización garantiza que todos los recursos necesarios estén disponibles, que el personal esté capacitado y consciente de sus responsabilidades, que la comunicación sea efectiva y que la información documentada esté controlada y disponible cuando sea necesario.
Mediante la asignación sistemática de recursos, programas de capacitación continua, campañas de concienciación, canales de comunicación establecidos y un robusto sistema de control documental.
La Dirección es responsable de garantizar los recursos necesarios, con el apoyo del Responsable del SGSI, los responsables de cada área funcional y el Comité de Seguridad de la Información.