ISO/IEC 27002 se ha renovado, y eso es relevante para las organizaciones en España y Europa que trabajan con la ISO 27001/27002 o marcos derivados como el ENS. En la versión de 2022, la concienciación en seguridad se destaca de forma más clara y explícita. La norma orienta más hacia la demostrabilidad, el aprendizaje por rol y la repetición. Este artículo muestra qué ha cambiado y cómo diseñar tu programa en consecuencia.
¿Qué ha cambiado en la ISO/IEC 27002:2022?
La renovación afecta sobre todo a la posición y a la formulación de la concienciación:
- La concienciación se posiciona de forma más explícita dentro de las llamadas medidas relativas a las personas (people controls).
- Las formulaciones son más estrictas: menos lenguaje opcional, expectativas más concretas.
- La demostrabilidad pesa más: no basta con hacer algo, también debes poder mostrar que funciona.
Qué significa para tu programa
En la práctica, las formaciones aisladas y puntuales ya no bastan. Debes poder mostrar que la concienciación está implantada de forma estructural, adaptada a los roles y los riesgos de tu organización.
La ISO/IEC 27002:2022 exige por tanto un programa que cumpla cuatro características:
- Por rol: distintos públicos reciben atención sobre los riesgos que les afectan.
- Repetible: un ritmo fijo, con atención en la incorporación y recordatorios periódicos.
- Medible: se registran la participación, el progreso y los resultados.
- Práctico: situaciones reconocibles y poca jerga, para que el mensaje cale.
Cómo abordarlo de forma concreta
Empieza con un breve inventario de riesgos por público, para saber qué temas son relevantes para quién. Construye sobre esa base un programa de módulos breves y recurrentes en lugar de una larga sesión anual, e incorpora la concienciación a la acogida.
Después documenta de forma sistemática quién ha completado qué, qué temas tratas y con qué frecuencia repites. Añade resultados, como la tasa de notificación en las simulaciones de phishing. Esa combinación de registros y resultados es precisamente la prueba que un auditor quiere ver.
De lo puntual a la rutina: la repetición cuenta
La mayor ganancia está en la repetición. La concienciación funciona como cualquier hábito: por la previsibilidad y la repetición. Piensa en temas mensuales, módulos breves, microaprendizaje y simulaciones de phishing dirigidas. No para examinar, sino para aprender y reforzar la conducta de notificación.
Así no solo cumples la norma, sino que aumentas de forma demostrable la resiliencia de tu organización. En España esto encaja bien con el ENS; a escala europea, con los requisitos de NIS2. Un programa bien diseñado cubre esos marcos a la vez.
Artículos relacionados
FAQ
¿Qué cambió para la concienciación en la ISO/IEC 27002:2022?
La concienciación se posiciona de forma más explícita dentro de las medidas relativas a las personas, las formulaciones son más concretas y la demostrabilidad pesa más. Las formaciones puntuales ya no bastan; se espera un aprendizaje estructural y por rol.
¿Cómo se relaciona la 27002 con la ISO 27001?
La ISO 27002 ofrece las directrices de implementación de las medidas del anexo A de la ISO 27001. Quien está certificado o quiere estarlo se beneficia de un programa de concienciación por rol y medible conforme a la 27002:2022.
¿Con qué frecuencia debe impartirse la formación?
La norma no fija una frecuencia única, pero exige un proceso continuo. Módulos breves y recurrentes funcionan mejor que una sesión anual. Incorpora la concienciación también a la acogida.
¿Cuál es el paso más importante?
La repetición en lugar de lo puntual. Implanta un programa recurrente, por rol y con participación medible, en vez de una formación anual obligatoria.
¿Cómo encaja esto con el ENS y NIS2?
El ENS se basa en la ISO 27001/27002, así que un programa conforme a la 27002 también lo cubre. NIS2 exige igualmente un aprendizaje basado en el riesgo, continuo y demostrable. Un buen programa cubre los tres.