¿Qué es el control A.6.3 de ISO 27001?

El control A.6.3 (Information security awareness, education and training) de ISO/IEC 27001:2022 exige que el personal de la organización reciba sensibilización, educación y capacitación en seguridad de la información, apropiadas a su rol, y actualizadas regularmente. Es uno de los controles más auditados porque cubre el factor humano, principal vector de incidentes.

¿Cuántas horas de capacitación exige ISO 27001?

ISO 27001 no especifica horas mínimas. Lo que exige es que la capacitación sea apropiada al rol, periódica y demostrable. En la práctica, los auditores esperan: (1) onboarding de seguridad para todo nuevo colaborador (~1 hora); (2) refresco anual obligatorio (~30 min - 1 hora); (3) capacitación específica para roles de riesgo (TI, finanzas, RRHH); (4) campañas de sensibilización continuas (simulaciones de phishing, comunicaciones).

¿Qué evidencia debo presentar al auditor para A.6.3?

Evidencia documental por colaborador y por curso: registro nominal de asistencia, fecha, contenido, evaluación si aplica y firma o aceptación digital. Listas de asistencia en Excel sin trazabilidad individual no son aceptadas. También se exige el plan anual de capacitación, los reportes de cumplimiento y los resultados de las simulaciones de phishing.

¿Qué errores son los más comunes al implementar A.6.3?

Los más frecuentes son: capacitar solo en el onboarding sin refresco anual, no documentar individualmente quién participó, usar el mismo curso genérico para todos los roles (no segmentado), no medir efectividad (sin evaluación ni KPIs), y no incluir simulaciones prácticas (solo teoría). Los auditores buscan continuidad y evidencia individual, no cantidad.

ISO 27001 Control A.6.3: capacitación obligatoria de seguridad (2026)

Si estás en proceso de certificación ISO 27001 o ya estás certificado, conoces este momento incómodo: el auditor pide la evidencia del control A.6.3 y descubres que las listas de asistencia no son suficientes. Esta guía te ahorra ese problema.

¿Qué es el control A.6.3?

El control A.6.3 de ISO/IEC 27001:2022 se llama "Information security awareness, education and training" (sensibilización, educación y entrenamiento en seguridad de la información). Pertenece al dominio de Recursos Humanos del Anexo A.

El texto del control exige que:

"El personal de la organización y, cuando sea relevante, las partes interesadas, deberán recibir la sensibilización, educación y entrenamiento adecuados en seguridad de la información, así como las actualizaciones periódicas a la política y a los procedimientos relevantes para su rol."

Qué se entiende por "adecuado, periódico y por rol"

Adecuado al rol

No se trata del mismo curso para todos. Un colaborador de RRHH necesita formación distinta a un desarrollador o un ejecutivo de finanzas. ISO 27001 espera segmentación: capacitación específica para roles con acceso a datos críticos.

Periódico

Onboarding al ingreso + refresco anual mínimo. Las amenazas cambian (IA generativa, deepfakes, BEC); la capacitación debe seguir el ritmo. Algunas empresas optan por píldoras mensuales cortas, lo que genera mejor retención que el curso anual largo.

Por persona y demostrable

Esto es donde la mayoría falla. El auditor pide: "muéstreme que María Pérez completó el curso de phishing en marzo 2026". Si solo tienes una lista de asistencia colectiva, eso no basta. Cada colaborador debe tener un registro individual con fecha, contenido y resultado.

Qué evidencia presentar al auditor

Una auditoría de A.6.3 típicamente revisa los siguientes documentos:

Plan anual de capacitación: cronograma, contenidos por rol, responsables.
Registros individuales de asistencia y evaluación por colaborador y curso. Idealmente con marca de tiempo digital.
Material formativo: presentaciones, videos, manuales o accesos a la plataforma.
Resultados de simulaciones de phishing: cuántas se hicieron, tasa de clic, evolución, acciones correctivas.
Indicadores de efectividad: % de finalización de cursos, score de riesgo individual, tendencia anual.
Comunicaciones de awareness: emails, posters, infografías difundidos en el período.

Los 5 errores más comunes al implementar A.6.3

"Lo cubrimos en el onboarding y listo": A.6.3 exige actualización periódica. Solo onboarding = no conformidad.
Lista de asistencia colectiva en Excel: el auditor exige trazabilidad individual, con marca de tiempo y evaluación cuando aplique.
Mismo curso genérico para todos: no hay segmentación por rol ni profundidad acorde al riesgo.
No medir efectividad: sin KPIs (% de finalización, tasa de clic en phishing, score de riesgo) no se puede demostrar mejora continua, otro requisito de ISO 27001.
Solo teoría, sin práctica: simular phishing no es opcional. Es el único modo de medir si el conocimiento se traduce en comportamiento.

Tip de auditor: En auditorías reales, el control A.6.3 es uno de los que más no conformidades genera —no por mala fe, sino porque el "papel" suele estar incompleto. Tener una plataforma que registre todo automáticamente convierte una auditoría tensa en una rutina de exportar reportes.

Cómo Certisec automatiza A.6.3

Certisec está alineado con A.6.3 desde su diseño:

6 cursos gamificados en español con segmentación por rol.
Simulaciones de phishing ilimitadas con +200 plantillas chilenas.
Registro individual por colaborador, fecha y resultado, exportable en PDF/Excel.
Reporte de cumplimiento ISO 27001 listo para auditoría con un clic.
Indicadores: tasa de clic, score de riesgo, completitud, tendencia anual.

Relación con la Ley 21.663

El cumplimiento de A.6.3 te deja prácticamente listo para la Ley 21.663, que tiene exigencias muy similares en su requerimiento de capacitación continua. Una sola implementación, dos compliance cubiertos.