ISO 27001:2022: evidencias de formación para NIS2 y DORA
Son las 09:12 de un martes de febrero de 2026. Un analista financiero de una fintech en rápido crecimiento recibe un correo electrónico que parece proceder del director financiero (CFO) y solicita una revisión urgente de un archivo de pago a proveedor. El archivo adjunto abre una página de inicio de sesión de Microsoft convincente. El analista duda, recuerda la simulación de phishing y el módulo de fraude en pagos del mes anterior, y notifica el correo a través del portal de seguridad en lugar de introducir sus credenciales.
Para el CISO, esa única decisión es un control que funciona en la práctica.
Para el auditor, la historia no basta.
Una semana después llega la solicitud de evidencias: “Proporcione evidencias de un programa integral de concienciación y formación en seguridad de la información, basado en roles, incluidas métricas de eficacia y registros que demuestren la cobertura de todo el personal, incluida la dirección”.
Esa frase cambia la conversación. Una hoja de cálculo con “Completado” junto al 97 % de los empleados ya no es suficiente. El auditor preguntará quién formó al analista, cuándo se asignó la formación, si era obligatoria, si estaba basada en roles, si el área financiera recibió concienciación adicional sobre fraude en pagos, si se incluyó a nuevas incorporaciones y contratistas, si la dirección aprobó el programa, si la formación cambió después de la última campaña de phishing y si se conservaron los registros de finalización.
En 2026, las evidencias de formación y concienciación en seguridad se sitúan en la intersección de ISO/IEC 27001:2022, NIS2, DORA, RGPD de la UE y NIST CSF 2.0. Ya no son un ejercicio anual de Recursos Humanos. Son gobierno del consejo de administración, tratamiento de riesgos, preparación ante incidentes, responsabilidad jurídica y evidencia de auditoría.
Clarysec trata la concienciación en seguridad como un sistema operativo de evidencias, no como una presentación. Zenith Blueprint: hoja de ruta de 30 pasos para auditores Zenith Blueprint, Zenith Controls: guía de cumplimiento cruzado Zenith Controls, Política de Concienciación y Formación en Seguridad de la Información - pyme Política de Concienciación y Formación en Seguridad de la Información - pyme y Política de Concienciación y Formación en Seguridad de la Información Política de Concienciación y Formación en Seguridad de la Información conectan la formación basada en roles con el SGSI, las obligaciones de cumplimiento, la respuesta a incidentes, el acceso de proveedores y la revisión por la dirección.
Por qué la formación genérica de concienciación en seguridad falla en 2026
El cambio regulatorio es claro. NIS2 convierte la ciberseguridad en una responsabilidad de la dirección para las entidades esenciales e importantes. Article 20 exige que los órganos de dirección aprueben las medidas de gestión del riesgo de ciberseguridad, supervisen su implantación y reciban formación. Article 21 incluye la higiene cibernética básica y la formación en ciberseguridad como parte de la base obligatoria de gestión de riesgos. Para proveedores de servicios en la nube, proveedores de centros de datos, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, proveedores DNS, registros TLD, mercados en línea y motores de búsqueda, la formación se ha convertido en una cuestión de consejo de administración.
DORA eleva el listón para las entidades financieras y los proveedores de TIC que prestan servicios al sector financiero. Es aplicable desde el 17 de enero de 2025 y exige que las entidades financieras mantengan un marco interno de gobernanza y control para la gestión del riesgo de las TIC. Los órganos de dirección deben supervisar el riesgo de las TIC, los presupuestos, las auditorías, los acuerdos con terceros, la continuidad del negocio, los planes de respuesta y recuperación, y la resiliencia operativa digital. DORA Articles 17 to 19 también exige que los incidentes relacionados con las TIC se detecten, clasifiquen, escalen, comuniquen y notifiquen. La formación es lo que permite ejecutar esos procedimientos bajo presión.
ISO/IEC 27001:2022 proporciona a las organizaciones la columna vertebral del sistema de gestión. Las cláusulas 4 a 10 cubren el contexto, las partes interesadas, el liderazgo, la evaluación de riesgos, el tratamiento de riesgos, la competencia, la toma de conciencia, la información documentada, la evaluación del desempeño y la mejora. La norma es escalable entre sectores y tamaños; por eso Clarysec la utiliza como modelo operativo para la alineación integrada de ISO, NIS2, DORA, RGPD de la UE y NIST ISO/IEC 27001:2022.
El RGPD de la UE añade la capa de responsabilidad proactiva. Las organizaciones deben demostrar que los datos personales se tratan de forma lícita, leal, segura y con medidas técnicas y organizativas adecuadas. Los empleados que manejan datos personales, administran sistemas, desarrollan software, dan soporte a clientes o investigan incidentes necesitan formación en privacidad y escalado de brechas.
NIST CSF 2.0 refuerza la misma dirección. Su función GOVERN conecta los requisitos legales, regulatorios, contractuales, de privacidad y de las partes interesadas con roles, responsabilidades, políticas, recursos, supervisión y gestión de riesgos empresariales. Los perfiles de NIST CSF también ayudan a traducir las obligaciones de formación en planes de mejora del estado actual y del estado objetivo.
El resultado es sencillo: la formación y concienciación en seguridad lista para auditoría debe demostrar que las personas conocen sus responsabilidades, que la formación se adapta al rol y al riesgo, y que las evidencias son suficientemente completas para auditores, reguladores, clientes y dirección.
El problema de auditoría: “formamos a todos” no es evidencia
Muchas organizaciones fallan auditorías no porque no hayan impartido formación, sino porque no pueden demostrar que la formación fue diseñada, asignada, completada, revisada y mejorada.
Un paquete de evidencias débil suele incluir un PDF anual, una hoja de cálculo de finalización sin fechas, ninguna evidencia de incorporación, ninguna cobertura de contratistas, ninguna formación para usuarios con privilegios, ninguna formación para la dirección, ningún módulo basado en roles para desarrolladores o finanzas, ningún vínculo con la evaluación de riesgos y ninguna prueba de que la formación se actualizó después de incidentes o cambios regulatorios.
Los auditores no quieren un cartel motivacional. Quieren una cadena de evidencias.
La política para pymes de Clarysec hace explícita esa expectativa. Política de Concienciación y Formación en Seguridad de la Información - pyme, Objetivos, cláusula 3.3, exige a las organizaciones:
“Establecer registros documentados de finalización para demostrar el cumplimiento de los requisitos legales, contractuales y de auditoría”.
La misma política para pymes convierte la formación en información documentada conservada. Requisitos de implantación de la política, cláusula 6.3.2, establece:
“Una hoja de cálculo central o un sistema de información de recursos humanos debe mantener estos registros durante un mínimo de tres años”.
Para entornos empresariales, Política de Concienciación y Formación en Seguridad de la Información, Propósito, cláusula 1.2, establece una expectativa más estructurada:
“Esta política apoya la ISO/IEC 27001 Cláusula 7.3 y el Control 6.3 del Anexo A al exigir un marco de concienciación y formación estructurado y basado en el riesgo, adaptado a los roles de la organización y a las amenazas en evolución”.
Esa frase importa: estructurado, basado en el riesgo, adaptado al rol y atento a las amenazas. Es la diferencia entre teatro de concienciación y competencia defendible.
Empiece por los roles, no por los cursos
El error más común es comprar contenido antes de definir responsabilidades. En un programa de cumplimiento integrado, la primera pregunta correcta no es “¿Qué plataforma de formación debemos usar?”. La pregunta correcta es “¿Qué roles crean, gestionan, aprueban, tratan, protegen o recuperan activos de información?”.
ISO/IEC 27001:2022 Cláusula 5.3 exige la asignación y comunicación de responsabilidades y autoridades para los roles de seguridad de la información. La Cláusula 7.2 exige competencia para las personas que realizan trabajo bajo el control de la organización, basada en educación, formación o experiencia. La Cláusula 7.3 exige toma de conciencia sobre la política de seguridad de la información, la contribución a la eficacia del SGSI y las implicaciones de la no conformidad.
En Zenith Blueprint, Fundación y liderazgo del SGSI, Paso 5: comunicación, concienciación y competencia, Clarysec lo traduce a lenguaje de implantación:
“Identificar las competencias requeridas: determinar qué conocimientos y habilidades son necesarios para los diferentes roles en su SGSI”.
El Blueprint ofrece ejemplos prácticos: el personal de TI puede necesitar configuración segura de servidores, los desarrolladores necesitan codificación segura, Recursos Humanos necesita manejo seguro de datos personales y el personal general necesita concienciación sobre phishing. También enfatiza los registros:
“Mantener registros de competencia: la Cláusula 7.2 espera que conserve información documentada como evidencia de competencia”.
Eso significa que el programa de formación debe empezar con una matriz de roles y riesgos.
| Grupo de roles | Enfoque de la formación | Evidencia que debe conservarse | Valor de cumplimiento |
|---|---|---|---|
| Todos los empleados | Phishing, higiene de contraseñas, MFA, uso aceptable, seguridad de dispositivos, notificación de incidentes | Informe de finalización, puntuación del cuestionario, acuse de recibo de la política, versión del contenido | ISO/IEC 27001:2022 Cláusula 7.3, ISO/IEC 27002:2022 control 6.3, NIS2 Article 21 |
| Alta dirección y consejo de administración | Gobierno del riesgo cibernético, obligaciones de NIS2 Article 20, supervisión de DORA, apetito de riesgo, decisiones de crisis | Registro de asistencia, documentación para el consejo de administración, actas, aprobación del programa | NIS2 Article 20, DORA Article 5, evidencias de liderazgo de ISO/IEC 27001:2022 |
| Desarrolladores | Codificación segura, OWASP Top 10, ciclo de vida de desarrollo de software seguro (SDLC), seguridad de API, gestión de vulnerabilidades, herramientas de gestión de secretos | Finalización del módulo, resultados de laboratorio, lista de verificación de programación segura, evidencias de remediación | ISO/IEC 27002:2022 controles 8.25 y 8.28, expectativas de riesgo de las TIC de DORA |
| TI y administradores de sistemas | Acceso privilegiado, registro de eventos, gestión de vulnerabilidades, restauración de copias de seguridad, control de cambios, bastionado | Registro de finalización, vínculo con revisión de accesos, participación en ejercicio de mesa | ISO/IEC 27002:2022 controles 8.8 y 8.13, preparación de resiliencia de DORA |
| Recursos Humanos | Confidencialidad, alta y baja, proceso disciplinario, tratamiento de categorías especiales de datos | Registro de formación de Recursos Humanos, lista de verificación de incorporación, acuse de recibo de la política | Responsabilidad proactiva del RGPD de la UE, controles sobre las personas de ISO/IEC 27002:2022 |
| Finanzas | Fraude en pagos, suplantación de proveedores, segregación de funciones, escalado de solicitudes sospechosas | Finalización de módulo específico, resultados de simulaciones de phishing | Reducción del riesgo de fraude, preparación ante incidentes de NIS2 y DORA |
| Soporte al cliente | Verificación de identidad, manejo seguro de tickets, protección de datos personales, vías de escalado | Finalización del módulo por rol, muestra de revisión de tickets, acuse de privacidad | Responsabilidad proactiva del encargado del tratamiento según el RGPD de la UE, aseguramiento para clientes |
| Equipos de respuesta a incidentes | Clasificación, escalado, preservación de evidencias, plazos de notificación regulatoria, lecciones aprendidas | Registro del ejercicio, informe de escenario, asignación de roles, herramienta de seguimiento de acciones | NIS2 Article 23, DORA Articles 17 to 19, controles de incidentes de ISO/IEC 27002:2022 |
| Contratistas con acceso a sistemas | Uso aceptable, canal de notificación, manejo de datos, condiciones de acceso | Acuse del contratista, registro de incorporación, vínculo con aprobación de acceso | Aseguramiento de proveedores, gobierno de accesos, cumplimiento contractual |
Esta matriz no es solo un calendario de formación. Es un mapa de cumplimiento que muestra por qué diferentes colectivos reciben formación diferente.
Conecte la formación con la cadena de controles
En Zenith Controls, el control 6.3 de ISO/IEC 27002:2022, Concienciación, educación y formación en seguridad de la información, se categoriza como un control preventivo que apoya la confidencialidad, la integridad y la disponibilidad. Su concepto de ciberseguridad es Proteger, su capacidad operativa es Seguridad de Recursos Humanos y sus dominios de seguridad son Gobernanza y Ecosistema.
La interpretación de cumplimiento cruzado de Zenith Controls es directa:
“El Control 6.3 aborda el mandato de NIS2 sobre formación y concienciación en seguridad mediante la implantación de un programa de concienciación estructurado que cubre higiene cibernética, amenazas emergentes y responsabilidades del personal”.
El mismo mapeo conecta el control 6.3 de ISO/IEC 27002:2022 con las expectativas del RGPD de la UE para empleados que tratan datos personales, la formación en seguridad de las TIC de DORA adaptada a los roles, y NIST SP 800-53 Rev.5 AT-2, AT-3 y AT-4 para alfabetización, formación basada en roles y registros de formación.
El punto clave es que el control 6.3 no funciona de forma aislada. Zenith Controls lo vincula con el control 5.2 de ISO/IEC 27002:2022, Roles y responsabilidades de seguridad de la información, porque los roles definen quién necesita qué formación. Lo vincula con el control 6.8, Notificación de eventos de seguridad de la información, porque los empleados no pueden notificar lo que no saben reconocer. También lo vincula con el control 5.36, Cumplimiento de políticas, reglas y normas de seguridad de la información, porque el cumplimiento depende de que las personas conozcan las reglas.
Esto crea una cadena de controles práctica:
- Definir responsabilidades.
- Asignar formación básica y basada en roles.
- Demostrar la finalización.
- Verificar la comprensión.
- Supervisar el cumplimiento.
- Corregir deficiencias.
- Incorporar las lecciones al tratamiento de riesgos y a la revisión por la dirección.
Esto importa para NIS2 porque Article 21 exige análisis de riesgos, políticas, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, adquisición y mantenimiento seguros, evaluación de la eficacia de los controles, higiene cibernética y formación, criptografía, seguridad de Recursos Humanos, control de acceso, gestión de activos, y MFA o autenticación segura cuando proceda.
Importa para DORA porque la gobernanza, la gestión de incidentes, la respuesta y recuperación, el riesgo de terceros y las pruebas de resiliencia solo funcionan si las personas saben qué hacer antes de que ocurra el incidente.
Construya el paquete de evidencias listo para auditoría
Un paquete de evidencias maduro contiene más que registros de asistencia. Muestra gobernanza, diseño, entrega, finalización, eficacia y mejora. Clarysec recomienda una estructura de seis carpetas.
| Carpeta de evidencias | Qué contiene | Por qué importa |
|---|---|---|
| 01 Gobernanza | Política aprobada, objetivos de formación, aprobación de la dirección, presupuesto, plan anual | Muestra el compromiso y la supervisión del liderazgo |
| 02 Mapeo de roles | Inventario de roles, matriz de competencias, reglas de asignación de formación, alcance de contratistas | Demuestra un diseño basado en riesgos y en roles |
| 03 Contenido de formación | Presentaciones del curso, módulos LMS, plantillas de phishing, boletines de seguridad, historial de versiones | Muestra qué se enseñó realmente a las personas |
| 04 Registros de finalización | Exportaciones del LMS, registros del HRIS, registros de asistencia, resultados de cuestionarios, acuses de recibo | Demuestra participación e información documentada conservada |
| 05 Evidencias de eficacia | Métricas de simulaciones de phishing, resultados de entrevistas, tendencias de notificación de incidentes, resultados de ejercicios de mesa | Muestra si la formación cambió el comportamiento |
| 06 Mejora | Acciones correctivas, módulos actualizados, lecciones aprendidas, entradas para la revisión por la dirección | Muestra mejora continua |
La política empresarial de Clarysec exige incorporación, formación anual de actualización y módulos basados en roles. Política de Concienciación y Formación en Seguridad de la Información, Requisitos de gobernanza, cláusula 5.1.1.2, establece:
“Incluir incorporación, formación de actualización anual y módulos de formación basados en roles”.
La misma política asigna la titularidad de las evidencias. Requisitos de gobernanza, cláusulas 5.3.1 y 5.3.1.1, establecen:
“El CISO o su delegado debe mantener:”.
“Registros de finalización para cada usuario”.
Para pymes, la política para pymes añade una cadencia pragmática. Política de Concienciación y Formación en Seguridad de la Información - pyme, Requisitos de implantación de la política, cláusula 6.1.1, establece:
“Los materiales deben ser prácticos, adecuados al rol y actualizados anualmente”.
También cubre la formación activada por cambios. La cláusula 6.5.1 establece:
“Cuando cambien las funciones del puesto o se introduzcan sistemas, puede requerirse formación de concienciación específica (por ejemplo, intercambio seguro de archivos, nuevos requisitos de protección de datos y minimización de datos)”.
Esa cláusula es especialmente importante en 2026 porque la migración a la nube, las herramientas de IA, las nuevas integraciones de pagos, los nuevos encargados del tratamiento y los cambios en la notificación regulatoria pueden modificar el riesgo más rápido que un ciclo anual.
Plan de rescate de una semana antes de la auditoría
Considere un proveedor SaaS o fintech de 180 personas que se prepara para una auditoría de seguimiento de ISO/IEC 27001:2022, una diligencia debida de clientes DORA, una revisión de responsabilidad proactiva del RGPD de la UE y preguntas de clientes impulsadas por NIS2. El CISO tiene una semana para convertir registros genéricos de finalización en un paquete de evidencias defendible.
Día 1: Confirmar alcance y obligaciones
Utilice las cláusulas 4.1 a 4.4 de ISO/IEC 27001:2022 para confirmar el contexto, las partes interesadas y el alcance del SGSI. Capture los compromisos contractuales con clientes, las obligaciones como responsable o encargado del tratamiento bajo el RGPD de la UE, las expectativas NIS2 de clientes críticos y las solicitudes de diligencia debida de proveedores de TIC relacionadas con DORA.
Después, traduzca esas obligaciones en necesidades de formación. El RGPD de la UE exige que el personal que maneja datos personales comprenda la confidencialidad, la minimización, la conservación y el escalado de brechas. NIS2 exige higiene cibernética, formación de empleados y supervisión de la dirección. Los clientes sujetos a DORA esperarán evidencias de que los equipos que dan soporte a servicios críticos comprenden el escalado de incidentes, la resiliencia, el control de acceso, la copia de seguridad y recuperación, y la coordinación con terceros.
Día 2: Construir la matriz basada en roles
Utilice la guía de Zenith Blueprint y los mapeos de Zenith Controls para los controles 5.2 y 6.3 de ISO/IEC 27002:2022. Incluya empleados, contratistas, usuarios con privilegios, desarrolladores, equipos de soporte, Recursos Humanos, finanzas, alta dirección y equipos de respuesta a incidentes.
Vincule cada rol con sistemas y riesgos. Los desarrolladores reciben codificación segura y gestión de vulnerabilidades. Los equipos de soporte reciben verificación de identidad y manejo seguro de tickets. Finanzas recibe fraude en pagos y verificación de cambios de proveedores. La alta dirección recibe gobernanza, responsabilidad jurídica, apetito de riesgo y toma de decisiones en crisis.
Día 3: Alinear política y asignaciones
Adopte o actualice la política de Clarysec adecuada. Use la política para pymes para un modelo operativo ligero, o la política empresarial para una gobernanza y titularidad de evidencias más sólidas. Confirme que la política incluye incorporación, formación anual de actualización, módulos basados en roles, conservación de evidencias, cobertura de contratistas y formación activada por cambios.
Publique la política, recopile acuses de recibo y vincule los módulos de formación con familias de puestos en el HRIS o LMS.
Día 4: Impartir formación específica
No forme a todos en todo. Forme a todos en controles básicos y, después, asigne módulos específicos por rol.
El módulo básico debe cubrir phishing e ingeniería social, higiene de contraseñas y MFA, uso aceptable, manejo seguro de la información, canales de notificación de incidentes, notificación de dispositivos perdidos y conceptos básicos de protección de datos.
Los módulos específicos por rol deben cubrir el SDLC seguro para desarrolladores, acceso privilegiado y restauración de copias de seguridad para TI, datos de empleados para Recursos Humanos, fraude en pagos para finanzas, clasificación de incidentes para los equipos de respuesta, y gobernanza de NIS2 y DORA para la alta dirección.
Día 5: Exportar y validar evidencias
Cree el paquete de evidencias de seis carpetas. Exporte informes de finalización, puntuaciones de cuestionarios, números de versión de cursos, acuses de recibo de políticas y calendarios de formación. Identifique las no finalizaciones y abra acciones correctivas.
A continuación, verifique la comprensión mediante entrevistas. Pregunte a empleados de distintos departamentos:
- ¿Qué formación en seguridad completó?
- ¿Cómo notifica un correo electrónico sospechoso?
- ¿Qué haría si perdiera un portátil?
- ¿Dónde puede encontrar la política de seguridad de la información?
- ¿Qué datos personales maneja en su rol?
Registre los resultados como muestra de auditoría interna. Los auditores utilizan con frecuencia entrevistas para verificar si la concienciación se ha interiorizado, no solo si se ha impartido.
Día 6: Vincular la formación con la respuesta a incidentes
Use la formación de notificación de incidentes como puente hacia el control 6.8 de ISO/IEC 27002:2022, NIS2 Article 23 y DORA Articles 17 to 19.
NIS2 Article 23 exige una notificación por fases para incidentes significativos, incluida una alerta temprana dentro de las 24 horas desde que se tenga conocimiento, una notificación dentro de las 72 horas y un informe final en el plazo de un mes. DORA exige que los incidentes graves relacionados con las TIC se clasifiquen, escalen, comuniquen y notifiquen a través del ciclo de notificación requerido.
Los empleados no necesitan memorizar los plazos legales, pero deben notificar los incidentes sospechosos con la rapidez suficiente para que la organización pueda cumplirlos.
En Zenith Blueprint, Controles en acción, Paso 16: Controles sobre las personas II, Clarysec afirma:
“Un sistema eficaz de respuesta a incidentes no empieza con herramientas, sino con personas”.
Eso no es una recomendación blanda. Es resiliencia operativa.
Día 7: Preparar la narrativa de auditoría
La narrativa final de auditoría debe ser breve y estar respaldada por evidencias:
“Identificamos las necesidades de formación en función de los roles del SGSI, las obligaciones legales y contractuales, los resultados de la evaluación de riesgos y el acceso a sistemas. Asignamos módulos básicos y basados en roles a través del LMS. Conservamos registros de finalización, puntuaciones de cuestionarios, versiones de contenidos y acuses de recibo. Evaluamos la eficacia mediante simulaciones de phishing, entrevistas y métricas de notificación de incidentes. Las no finalizaciones se gestionan como acciones correctivas. La dirección revisa el programa anualmente y después de cambios significativos”.
Respaldada por evidencias, esa narrativa puede soportar preguntas de auditoría de ISO/IEC 27001:2022, escrutinio de gobernanza NIS2, diligencia debida de clientes DORA, revisión de responsabilidad proactiva del RGPD de la UE y evaluaciones de controles al estilo NIST.
Mapeo de cumplimiento cruzado para la formación y concienciación en seguridad
La concienciación en seguridad se clasifica a menudo erróneamente como una tarea de Recursos Humanos. En la práctica, es un control de cumplimiento cruzado que afecta a gobernanza, gestión de riesgos, privacidad, respuesta a incidentes, aseguramiento de proveedores y resiliencia.
| Marco o regulación | Relevancia de la formación | Punto de implantación de Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Competencia, toma de conciencia, liderazgo, asignación de roles, información documentada, supervisión, auditoría interna y mejora | Zenith Blueprint Paso 5 y Paso 15, cláusulas de política sobre incorporación, formación anual de actualización, formación basada en roles y evidencias |
| ISO/IEC 27002:2022 | Control 6.3 concienciación, educación y formación, vinculado a 5.2 roles, 6.8 notificación de eventos y 5.36 supervisión del cumplimiento | Zenith Controls mapea atributos, controles relacionados, expectativas de auditoría y alineación entre marcos |
| NIS2 | Formación de la dirección, formación en ciberseguridad para empleados, higiene cibernética, preparación ante incidentes y responsabilidad proactiva de la gobernanza | Módulo para el consejo de administración, base para empleados, módulo de notificación de incidentes, evidencia de aprobación de la dirección |
| DORA | Gobernanza de las TIC, supervisión de la dirección, aprendizaje y evolución, escalado de incidentes, pruebas de resiliencia y expectativas de terceros | Formación ejecutiva, módulos por rol de TIC, formación de equipos de respuesta a incidentes, paquete de evidencias orientado a proveedores |
| RGPD de la UE | Responsabilidad proactiva, tratamiento seguro, concienciación de roles de privacidad, reconocimiento de brechas y manejo de datos personales | Formación de privacidad para Recursos Humanos, soporte, ventas, ingeniería y equipos de incidentes |
| NIST CSF 2.0 | Función GOVERN, roles, políticas, obligaciones legales, supervisión, perfiles y planificación de mejora | Perfil de formación actual y objetivo, registro de brechas y plan de acción priorizado |
| NIST SP 800-53 Rev.5 | Formación de concienciación, formación basada en roles y registros de formación | Mapeo con AT-2, AT-3 y AT-4 mediante Zenith Controls |
| Aseguramiento basado en COBIT 2019 | Objetivos de gobernanza, responsabilidad proactiva, capacidad, métricas de desempeño e informes a la dirección | KPI de formación, propiedad por rol, revisión por la dirección y cierre de acciones correctivas |
NIST CSF 2.0 es especialmente útil para organizaciones que necesitan explicar la madurez a partes interesadas no ISO. Su método de Perfiles Organizativos permite planificar el estado actual y el estado objetivo. Por ejemplo, un Perfil Actual puede indicar que existe concienciación básica, pero que la formación en programación segura para desarrolladores está incompleta. Un Perfil Objetivo puede exigir que todos los desarrolladores completen formación en programación segura, divulgación de vulnerabilidades y gestión de secretos antes del tercer trimestre.
Cómo auditores y reguladores prueban las evidencias de formación
Distintos revisores plantean preguntas diferentes, pero todos prueban la misma realidad: ¿sabe la organización qué deben hacer las personas y puede demostrar que están preparadas para hacerlo?
Un auditor de ISO/IEC 27001:2022 conectará las evidencias de formación con las cláusulas 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 y 10.2, además de los controles del Anexo A. Espere preguntas sobre cómo se determinaron los requisitos de competencia, cómo conocen los empleados la política de seguridad de la información, cómo se forma a nuevas incorporaciones y contratistas, cómo se gestionan las no finalizaciones, cómo se vincula la formación basada en roles con la evaluación de riesgos y la Declaración de Aplicabilidad, y cómo se evalúa la eficacia.
Zenith Controls señala que los auditores que utilizan ISO/IEC 19011:2018 revisarán el currículo, los calendarios, los materiales, los registros de asistencia, los certificados de finalización y la competencia del formador. También indica que los auditores de ISO/IEC 27007:2020 pueden utilizar entrevistas para determinar si los empleados saben cómo notificar incidentes y recuerdan los mensajes clave de la formación.
Una revisión centrada en NIS2 mirará más allá de las tasas de finalización. Preguntará si el órgano de dirección aprobó y supervisó las medidas de gestión del riesgo de ciberseguridad, si la dirección recibió formación, si la formación del personal en higiene cibernética es regular y si se comprende la notificación de incidentes. Article 21 también exige procedimientos para evaluar la eficacia de las medidas de gestión del riesgo de ciberseguridad, por lo que las métricas de phishing, las tendencias de notificación de incidentes y los hallazgos de auditoría se convierten en evidencias de eficacia del control.
Una revisión DORA, especialmente de un cliente financiero que evalúa a un proveedor de TIC, se centrará en la resiliencia operativa. Espere preguntas sobre el personal que da soporte a servicios financieros críticos, registros de formación de equipos que gestionan sistemas de pago, formación de la dirección sobre riesgo de terceros de TIC, clasificación de incidentes conforme a DORA Article 18 y formación de contratistas para el acceso a entornos de clientes.
Una revisión del RGPD de la UE se centrará en la responsabilidad proactiva. La organización debe mostrar que el personal que maneja datos personales comprende el tratamiento lícito, la confidencialidad, la minimización, la conservación, el manejo seguro y el escalado de brechas. Para proveedores SaaS, fintech y proveedores de servicios gestionados, las evidencias de formación forman parte de demostrar que los requisitos de privacidad están integrados en el comportamiento operativo.
Métricas que demuestran la eficacia del control
La finalización es necesaria, pero no suficiente. Un panel más sólido para 2026 muestra si la formación mejoró el comportamiento.
| Métrica | Qué muestra | Interpretación de auditoría |
|---|---|---|
| Finalización por rol | Si las poblaciones asignadas completaron los módulos requeridos | Cumplimiento básico y cobertura |
| Finalización de nuevas incorporaciones dentro del objetivo | Si funcionan los controles de incorporación | Madurez de Recursos Humanos y gobernanza de accesos |
| Finalización de formación de usuarios con privilegios | Si los usuarios de alto riesgo están preparados | Priorización basada en riesgos |
| Tasa de clics y notificación en simulaciones de phishing | Si el comportamiento está mejorando | Eficacia de la concienciación |
| Notificaciones de incidentes por empleados | Si las personas reconocen y notifican eventos | Vínculo con preparación ante incidentes |
| Tiempo desde correo sospechoso hasta notificación | Si la notificación apoya los plazos regulatorios | Preparación para NIS2 y DORA |
| No finalización repetida | Si funcionan la aplicación y el escalado | Supervisión del cumplimiento |
| Actualizaciones de formación después de incidentes o cambios | Si las lecciones aprendidas impulsan la mejora | Mejora continua |
Estas métricas apoyan la Cláusula 9.1 de ISO/IEC 27001:2022 para seguimiento y medición, la Cláusula 9.2 para auditoría interna, la Cláusula 10.1 para mejora continua y la Cláusula 10.2 para no conformidad y acción correctiva. El control 5.36 de ISO/IEC 27002:2022 refuerza que el cumplimiento de políticas, reglas y normas debe supervisarse, evaluarse y remediarse.
Hallazgos comunes que Clarysec observa en auditorías
Las mismas debilidades aparecen de forma recurrente.
Las organizaciones forman a los empleados pero olvidan a la alta dirección. Bajo NIS2 y DORA, la formación de la dirección forma parte de la gobernanza, no es un extra de madurez.
Las organizaciones imparten formación anual pero ignoran los cambios de función. Un ingeniero de soporte que pasa a DevOps necesita formación en acceso privilegiado, registro de eventos, copias de seguridad y escalado de incidentes.
Las organizaciones incluyen a empleados pero olvidan a contratistas. Zenith Blueprint Paso 15 aconseja extender la formación a contratistas o terceros que tengan acceso a sistemas o datos.
Las organizaciones enseñan notificación de incidentes pero generan miedo. Si el personal cree que será sancionado por hacer clic en un enlace de phishing, puede guardar silencio. Zenith Blueprint Paso 16 enfatiza canales de notificación sencillos, notificación respaldada por concienciación y una cultura sin culpa.
Las organizaciones no pueden demostrar el versionado del contenido. Si un auditor pregunta qué completaron los empleados en marzo, la presentación actual en SharePoint no basta. Conserve la versión impartida.
Las organizaciones no conectan la formación con el tratamiento de riesgos. Si el ransomware, el fraude en pagos, la configuración incorrecta de la nube o la fuga de datos son riesgos principales, el plan de formación debe mostrar tratamiento específico para los roles pertinentes.
Dónde encaja Clarysec
Clarysec ayuda a las organizaciones a construir un programa defendible en lugar de cinco líneas de cumplimiento desconectadas.
La Política de Concienciación y Formación en Seguridad de la Información - pyme proporciona a las organizaciones más pequeñas una base práctica: expectativas basadas en roles, registros documentados, actualizaciones anuales, formación activada por cambios y conservación durante al menos tres años.
La Política de Concienciación y Formación en Seguridad de la Información empresarial proporciona a organizaciones más grandes una gobernanza más sólida: concienciación estructurada y basada en el riesgo, incorporación, formación anual de actualización, módulos basados en roles, titularidad de registros por parte del CISO y preparación para inspecciones regulatorias bajo RGPD de la UE, DORA y NIS2.
Zenith Blueprint indica a los equipos de implantación qué hacer en secuencia. El Paso 5 incorpora competencia y concienciación en la base del SGSI. El Paso 15 operacionaliza el control 6.3 de ISO/IEC 27002:2022 con formación anual, módulos específicos por rol, incorporación, simulaciones de phishing, evidencias de participación, boletines específicos, formación de contratistas y refuerzo del comportamiento. El Paso 16 conecta la concienciación con la notificación de incidentes impulsada por las personas.
Zenith Controls proporciona a los equipos de cumplimiento la correspondencia cruzada. Conecta el control 6.3 de ISO/IEC 27002:2022 con roles, notificación de eventos, supervisión del cumplimiento, riesgos de factor humano de ISO/IEC 27005:2024, expectativas de formación del RGPD de la UE, NIS2 Article 21, formación de TIC de DORA, controles de concienciación de NIST y metodologías de auditoría. También conecta el control 5.2 con responsabilidades de gobernanza y el control 5.36 con supervisión del cumplimiento y acción correctiva.
Juntos, estos recursos permiten a un CISO explicar no solo qué formación se impartió, sino por qué se impartió, quién la exigió, qué riesgo trató, cómo se evidenció y cómo mejora.
Prepare ahora las evidencias de formación en seguridad para auditorías
Si sus evidencias actuales son una hoja de cálculo, una presentación y la esperanza de que los empleados recuerden el correo de notificación, ahora es el momento de madurarlas.
Empiece con cuatro acciones esta semana:
- Cree una matriz de formación basada en roles vinculada a responsabilidades del SGSI, acceso a sistemas y obligaciones regulatorias.
- Adopte o actualice su política de concienciación de Clarysec utilizando Política de Concienciación y Formación en Seguridad de la Información - pyme o Política de Concienciación y Formación en Seguridad de la Información.
- Construya el paquete de evidencias de seis carpetas para gobernanza, mapeo de roles, contenido, finalización, eficacia y mejora.
- Use Zenith Blueprint y Zenith Controls para mapear las evidencias de formación con las expectativas de auditoría de ISO/IEC 27001:2022, NIS2, DORA, RGPD de la UE y NIST.
La concienciación en seguridad aporta valor cuando cambia el comportamiento. Las evidencias de cumplimiento aportan valor cuando demuestran ese comportamiento de forma consistente.
Clarysec le ayuda a construir ambas cosas.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
