Contenido

    Estos son los 7 puntos que cubre este artículo sobre por qué la formación del personal es clave para certificarte en ISO 27001:

    1. Por qué ISO 27001 no “certifica solo sistemas”, sino cómo actúa tu equipo
    2. Qué exigen las cláusulas de competencia y concienciación
    3. Por qué los auditores preguntan por registros y por evidencia operativa
    4. Cómo diseñar un programa de formación por roles (no genérico)
    5. Qué evidencias preparar para pasar la auditoría sin fricción
    6. Cómo integrar onboarding y actualización continua
    7. Errores que te pueden frenar y cómo evitarlos

    La seguridad de la información no depende únicamente de controles técnicos.

    Depende de cómo las personas interpretan, aplican y mantienen esos controles en su día a día. Por eso, en una certificación ISO 27001, la formación no es decoración.

    Es una condición para poder demostrar que tu SGSI funciona en la práctica.

    Qué exige ISO 27001 sobre competencia y concienciación

    ISO 27001 define requisitos sobre competencia y concienciación de las personas bajo el control de la organización. Esto significa que no basta con tener políticas escritas.

    Necesitas probar que la gente sabe: qué debe hacer, qué no debe hacer, y qué ocurre si no sigue procedimientos.

    En el estándar se reflejan expectativas sobre competencia, concienciación y formación continua.

    Para consultar la referencia del estándar, revisa ISO/IEC 27001:2022, Information security management systems.

    En paralelo, si tu organización trata datos personales, el RGPD exige responsabilidad proactiva. Eso se traduce en que quien realiza tareas con datos entiende obligaciones básicas y rutas internas.

    Cuando conectas formación y obligaciones, tu auditoría gana coherencia: tu SGSI no vive en un documento, vive en una rutina entrenada.

    Qué significa “competencia” frente a “concienciación” en la práctica

    En auditoría, competencia suele traducirse en “puede hacer su trabajo con seguridad”: sabe usar herramientas aprobadas, entiende límites y sabe escalar.

    Concienciación suele traducirse en “entiende el marco”: política, riesgos típicos, consecuencias y cultura de reporte.

    No son lo mismo, y no siempre se cubren con el mismo formato. Un error habitual es mandar a todo el mundo al mismo vídeo de 20 minutos y creer que con eso “cumples ISO”.

    Lo que busca el estándar es que el conjunto sea coherente con el riesgo y que puedas demostrar que se mantiene.

    Por qué los auditores se fijan tanto en la formación

    Desde fuera, un SGSI puede parecer sólido. Desde dentro, un auditor suele buscar señales de que el sistema es operativo. La formación es una de esas señales.

    En auditoría, es habitual que te pregunten: quién ha recibido formación, con qué frecuencia, qué contenidos se han tratado, y qué evidencias puedes mostrar.

    También suelen verificar si el equipo puede explicar, de forma razonable, cómo actuar ante situaciones típicas.

    Por ejemplo, identificar phishing, preservar evidencia y usar canales correctos ante incidencias.

    Y aquí conviene una regla: la tecnología no “arregla” errores humanos si nadie aprendió a prevenirlos. Las amenazas evolucionan, pero el principio de preparación se mantiene. Un buen punto de partida para entender cómo se ve esto en el ecosistema de seguridad es IBM Cybersecurity.

    Señales típicas de que tu formación “no está operativa”

    A veces el problema no es el contenido, sino la conexión con la realidad.

    Aparecen señales como:

    • la gente no sabe a quién reportar un incidente
    • se usan canales “rápidos” fuera de lo aprobado porque “así es más fácil”
    • hay políticas que nadie ha leído o que no reflejan cómo se trabaja hoy
    • el onboarding deja accesos sin el briefing mínimo

    Si detectas esas señales, la auditoría probablemente también las detectará.

    La formación no las arregla sola, pero sí es el vehículo más directo para alinear comportamiento y procedimiento.

    Diseña un programa de formación por roles (y no por intuición)

    La formación efectiva es por roles.

    El contenido que necesita un perfil técnico rara vez es el mismo que necesita un equipo de ventas o atención al cliente.

    La clave está en diseñar módulos que encajen con responsabilidades reales.

    Una forma práctica de estructurarlo:

    • Capa corporativa: mínimos para todos (higiene, reporte, disciplina de herramientas, concienciación general).
    • Capa por rol: contenidos para equipos que operan información o sistemas (seguridad de accesos, incidentes, manejo de datos personales, etc.).
    • Capa por riesgo: micro-actualizaciones cuando cambie el contexto (nuevos proveedores, nuevas herramientas, incidentes, patrones de amenaza).

    Además, evita la trampa del “curso único”.

    ISO 27001 pide concienciación y formación continua. Eso implica que el programa debe tener cadencia, responsables y un ciclo de mejora.

    Plantilla mental: tres módulos que casi siempre encajan

    No es una plantilla legal, es una forma práctica de no olvidar lo esencial:

    1. Módulo “mínimo corporativo” para todos: phishing, contraseñas/MFA, dispositivos, uso de herramientas aprobadas y reporte.
    2. Módulo “por rol” para quien toca datos o sistemas sensibles: accesos, registro de incidentes, copias, proveedores, etc.
    3. Módulo “cuando cambia el mundo”: actualización corta tras cambios relevantes (nuevo SaaS, nuevo proveedor, nuevo proceso).

    Si tu programa tiene esas tres capas, normalmente reduces el riesgo de “tenemos un curso, pero no tenemos cultura”.

    Evidencias y registros: lo que necesitas para una auditoría sin sorpresas

    En una certificación, el auditor quiere ver la historia completa. No solo “se hizo”.

    Quiere entender: qué se hizo, para quién, cuándo, con qué material, y cómo verificaste comprensión o efectividad.

    Prepara, como mínimo:

    • Plan de formación: alcance, roles, objetivos por módulo, periodicidad y responsables
    • Registros de entrega: fechas, asistentes y materiales usados
    • Evidencia de comprensión: evaluación breve, simulación o prueba basada en escenarios
    • Onboarding: evidencia de formación inicial para nuevas incorporaciones
    • Evidencia de actualización: cambios de contenido cuando cambian riesgos, sistemas o incidentes

    Si además quieres alinear formación con el día a día de la privacidad, puede servir como complemento revisar qué debe incluir una auditoría GDPR.

    Cómo construir un “expediente de formación” por persona (sin volverse burocrático)

    No necesitas un archivo gigante por empleado.

    Necesitas trazabilidad suficiente para reconstruir:

    • qué formación recibió
    • cuándo
    • con qué resultado (si aplica)
    • y si hubo re-formación tras un cambio relevante

    En muchas organizaciones esto vive en el LMS, pero también puede vivir en un registro controlado si el LMS no existe.

    Lo importante es que el auditor pueda seguir el hilo: del plan a la ejecución a la mejora.

    Simulaciones y ejercicios: cuándo compensan el esfuerzo

    No hace falta un simulacro mensual.

    Pero sí conviene que, al menos una vez al año, haya un ejercicio que pruebe comportamiento, no solo conocimiento: un caso de phishing interno, un tabletop de incidente, o una revisión guiada del flujo de escalado.

    Eso genera evidencia de que la formación no es teatro.

    Onboarding y actualización continua: cómo evitar que el plan “se apague”

    Un plan de formación que depende de la memoria de una persona no escala. Tampoco aguanta el crecimiento.

    Para mantenerlo vivo, define dos rutinas:

    1. Onboarding mínimo: entrenar al nuevo empleado desde el inicio para que sepa comportamientos esperados y canales de reporte.
    2. Actualización periódica: sesiones de refuerzo breves para mantener concienciación sin sobrecargar al equipo.

    Cuando ocurre un incidente o near-miss, el plan debe reflejar aprendizaje. Eso significa: actualizar mensajes, ajustar módulos, y documentar la razón del cambio.

    La formación post-incidente es, en la práctica, una parte del control de mejora continua.

    Contratistas y personal temporal: el hueco típico

    En certificación, el alcance del SGSI no termina en la nómina. Si alguien opera bajo tu control y accede a información relevante, tu programa debe contemplar cómo recibe briefing, qué políticas acepta, y qué evidencia conservas.

    Si solo formas a plantilla y el acceso real lo tienen proveedores, aparece una brecha obvia en revisión.

    Cómo coordinar formación con auditoría interna

    Si ya haces auditorías internas del SGSI, conecta la formación como control: revisa muestreo de registros, comprueba cobertura por rol, y abre acciones correctivas si hay lagunas.

    Eso te prepara para la auditoría de certificación con menos sorpresas.

    Cómo alinear formación con políticas, accesos y cultura de reporte

    La formación no sustituye controles técnicos, pero sí explica por qué existen.

    Si MFA es obligatorio y nadie entiende el motivo, aparece la fricción: atajos, excepciones eternas y “solo esta vez”.

    Políticas vivas: de la firma a la práctica

    Una política solo es creíble si el equipo sabe qué cambia en su trabajo.

    En formación, evita leer la política en voz alta.

    Mejor tradúcela a decisiones: qué herramientas usar, qué datos no salen por email, cómo compartir con un cliente, y cómo pedir ayuda sin miedo a quedar mal.

    Accesos y privilegios: formar antes de abrir la puerta

    Un patrón sano es: mínimo acceso + briefing + registro.

    Si alguien recibe permisos elevados sin entrenamiento específico, el riesgo no es “teórico”. Es operativo.

    Cultura de reporte: sin culpa, con claridad

    La formación debe enseñar el canal correcto y reducir el miedo a reportar. Si el equipo percibe que reportar un error genera castigo, dejarás de ver incidentes… y también dejarás de ver señales tempranas.

    Un buen programa combina reglas claras con un mensaje explícito: reportar a tiempo es parte del control.

    Métricas simples que ayudan (sin obsesionarse)

    No necesitas un cuadro de mando perfecto. Puedes medir cosas básicas: cobertura por rol, resultados de evaluaciones, participación en simulaciones, y tiempo medio de escalado cuando hay una alerta.

    Lo importante es que la métrica te sirva para mejorar el programa, no para “pintar verde” un dashboard.

    Errores que te pueden frenar

    Confundir políticas con evidencia de competencia

    Tener documentación sin un rastro de formación convierte el SGSI en “papel”.

    La certificación exige poder demostrar que las personas saben actuar.

    Hacer formación solo una vez al año (sin refuerzos)

    Una única sesión se degrada rápido.

    Si el plan no tiene cadencia ni mantenimiento, la concienciación pierde tracción.

    Entregar el mismo contenido a todos los roles

    Cuando el contenido no encaja con responsabilidades reales, la formación no es efectiva.

    El auditor verá falta de proporcionalidad.

    No conservar registros auditable (asistencia y materiales)

    Sin trazabilidad de fechas, asistentes y recursos, el plan no se puede validar.

    Y si no se puede validar, no sirve como control.

    Cómo puede ayudarte PrivaLex con formación para ISO 27001

    En PrivaLex diseñamos programas de formación audit-ready para organizaciones que buscan certificar con ISO 27001.

    Nos enfocamos en que el plan sea:

    • Por roles y con contenidos aplicables al trabajo real
    • Documentable (con registros, materiales y evidencia de comprensión)
    • Sostenible (cadencia que se mantiene en crecimiento)
    • Conectado a la mejora continua (actualizaciones por cambios y aprendizaje post-incidente)

    Además, si en tu organización la formación toca el ámbito de privacidad, ayudamos a coordinar el contenido para que sea coherente entre marcos.

    Agenda una sesión estratégica con PrivaLex y define tu punto de partida.

    Preguntas Frecuentes (FAQs)

    El estándar incluye requisitos de competencia y concienciación para las personas bajo control. La clave es que puedas demostrarlo con evidencia y mantener la formación en el tiempo.

    En la práctica, los auditores suelen conectar esto con el resto del SGSI: si dices que controlas accesos, la gente debe entender el porqué de MFA y el cómo de las excepciones.

    Normalmente preguntan por quién recibió formación, con qué frecuencia, qué contenidos se trataron y qué registros puedes mostrar. También pueden muestrear comprensión con preguntas o escenarios típicos.

    Si hay lagunas, no siempre es “falta de curso”: a veces es falta de aplicabilidad (contenido genérico que no refleja el trabajo real).

    Como baseline suele funcionar un refresh anual, pero el plan debe incluir mantenimiento. Las micro-actualizaciones y el aprendizaje post-incidente mejoran la efectividad.

    Si tu organización cambia rápido, un refresh anual sin refuerzos suele quedarse corto: no por norma, sino por realidad operativa.

    Sí, si la matriz por roles está bien definida y el contenido cubre lo que cada marco espera. La coherencia y la trazabilidad son el factor crítico.

    Un truco práctico es separar módulos transversales (cultura, incidentes, higiene) de módulos específicos (privacidad operativa, accesos privilegiados, proveedores).

    Plan, registros de entrega y una forma razonable de demostrar comprensión o efectividad. Incluye también onboarding y actualización del contenido cuando cambia el contexto.

    Si puedes mostrar consistencia entre “lo planificado”, “lo ejecutado” y “lo mejorado”, normalmente reduces preguntas repetidas.

    Como mínimo, higiene de seguridad, reporte de señales de riesgo y disciplina de uso de herramientas. Luego, módulos por rol para que cada equipo sepa qué hacer cuando algo sale mal.

    En ventas y soporte, suele añadirse verificación de identidad, límites de divulgación y uso de canales aprobados para datos sensibles.

    Eso suele ser una señal de desalineación entre procedimiento y trabajo real. En lugar de repetir el mismo curso, revisa: ¿el procedimiento es demasiado pesado?, ¿faltan herramientas aprobadas?, ¿hay presión comercial que empuja a atajos?

    La formación efectiva corrige fricción operativa, no solo desconocimiento.

    Siguiente paso

    Si tu objetivo es certificarte en ISO 27001, empieza por definir una matriz de formación por roles con cadencia y evidencias.

    Antes de invertir en más herramientas, valida que el programa sea mantenible: si no puedes ejecutarlo durante doce meses seguidos, no aguantará una auditoría de seguimiento.

    Si tienes dudas sobre el alcance del SGSI, alinea primero el mapa de activos y roles: la formación debe reflejar ese alcance, no un discurso genérico.

    Agenda una sesión estratégica con PrivaLex y conviértelo en un plan que resista auditoría.

    Foto del avatar

    PrivaLex

    Webinar gratuito el 20 de mayo: prepárate para la auditoría con NIS2, ISO 27001 y ENS, con PrivaLex y Factorial IT.

    Ver webinar