Requisitos de competencia para profesionales en Sistemas de Gestión de Seguridad de la Información - ISO/IEC 27021

Las empresas y organizaciones son cada vez mas conscientes de la importancia que la seguridad de la información adecuadamente gestionada en el logro de sus objetivos de negocio, realizando importantes inversiones tanto en infraestructura, instrumentos, modelos y otros aspectos que consideran necesarios para este propósito.

Uno de los elementos fundamentales es la selección del personal adecuado ya sea evaluando su contratación (personal nuevo) o formando (al personal adecuado) desde sus propios equipos de trabajo.

ISO/IEC 27001:2013 contiene un conjunto de requisitos estándar global-mente aceptados para implementar un sistema de gestión de seguridad de la información, incluyendo dentro de estos requisitos los relacionados a la capacidad necesarias para el personal dentro del alcance de un SGSI.

En el mercado podemos encontrar un conjunto de ofertas de educación, entrenamiento y especialización relacionadas con seguridad de la información o la norma ISO/IEC 27001 (tomar en consideración la edición de la norma), asi como el tipo o formatos diversos en sus respectivas ofertas, enfoques y métodos aplicables.

Propuestas que incluyen certificaciones diversas (desde acreditadas con ISO 17024 hasta certificados individuales) con costo o gratuitas, promocionadas por su exigencia académica, evaluación de capacidades del postulante o por su alcance de ventas a nivel global, entre otros aspectos que solo demuestran la gran diversidad de oferta.

Un aspecto importante a tomar en consideración debería ser la currícula y la coherencia entre contenido y tiempo de entrenamiento, donde la necesidad de reconocer que contenidos deberían ser los necesarios para un profesional en seguridad de la información es el alcance de la norma ISO/IEC 27021.

Ya hemos publicado previamente un artículo sobre esta norma ( Publicada nueva ISO/IEC 27021:2017 que presenta los requisitos de competencia profesional en SGSI ), pero consideramos que es importante retomar la necesidad de difundir como esta norma desarrollada por los creadores de la norma ISO/IEC 27001:2013 nos indica que requisitos deberían considerarse para evaluar la capacidad de un Profesional en Sistemas de Gestión de Seguridad de la Información.    

Para comprender adecuadamente ISO/IEC 27021:2017 se necesita abordar en conjunto con ISO/IEC 27001:2013, de modo que se pueda reconocer la dependencia y relación de los requisitos.

Finalmente, señalar que un profesional en sistemas de gestión de seguridad de la información debería tener una formación principalmente en "gestión", especialmente si realizará el rol de CISO, dejando los aspectos técnico-operativos para personal especializado en cada dominio de control o herramienta/instrumento/control seleccionado como adecuado para el SGSI. 

Sin duda ISO/IEC 27021 es una herramienta fundamental al momento de contratar o formar los profesionales necesarios para la organización, también nos puede ayudar para evaluar las propuestas de formación adecuadas a las necesidades de la organización. 

Si esta interesado en conocer mas sobre esta norma, puede contactarnos en info@gtdi.pe

Norma relacionada: 

Protección de datos personales Gobernanza TI  SGSI - 27001