Ejemplo de plan de comunicación para el SGSI
1. Objetivo
Garantizar una comunicación clara, coherente y eficaz de las políticas, procedimientos y actualizaciones del Sistema de Gestión de Seguridad de la Información (SGSI) a las partes interesadas internas y externas.
2. Comunicaciones internas
A. Concienciación sobre la política de seguridad de la información
Qué comunicar: Elementos clave de la política de seguridad de la información, su importancia, responsabilidades individuales e implicaciones de la no conformidad.
Cuándo comunicarse: Al contratar, durante la capacitación anual de actualización y siempre que haya actualizaciones significativas.
Con quién: Todos los empleados, contratistas y terceros relevantes.
Por quién: Oficial de RRHH y Seguridad de la Información (ISO).
Procesos:
· Sesiones de orientación para nuevas contrataciones.
· Programas anuales de formación obligatoria.
· Notificaciones por correo electrónico y publicaciones en la intranet para actualizaciones.
· Formularios de reconocimiento para confirmar la comprensión y el cumplimiento.
B. Procedimientos de respuesta a incidentes de seguridad
Qué comunicar: Procedimientos para informar y responder a incidentes de seguridad.
Cuándo comunicarse: Durante la capacitación inicial, repasos periódicos e inmediatamente después de cualquier actualización.
Con quién: Todos los empleados, el personal de TI y los gerentes relevantes.
Por quién: ISO y equipo de seguridad informática.
Procesos:
· Sesiones de capacitación en respuesta a incidentes.
· Guías de referencia rápida distribuidas por correo electrónico e intranet.
· Ejercicios de juego de roles para simular la respuesta a incidentes.
C. Actualizaciones periódicas del SGSI y estado de cumplimiento
Qué comunicar: Actualizaciones de estado sobre el cumplimiento del SGSI, resultados de auditoría y acciones de mejora.
Cuándo comunicarse: trimestralmente.
Con quién: Todos los empleados.
Por quién: ISO y Oficial de Cumplimiento.
Procesos:
· Boletines trimestrales.
· Reuniones públicas o seminarios web.
· Informes detallados compartidos a través de la intranet de la empresa.
D. Responsabilidades de seguridad específicas de la función
Qué comunicar: Responsabilidades y procedimientos de seguridad específicos relevantes para los diferentes roles.
Cuándo comunicarse: tras la asignación de roles y durante revisiones o actualizaciones periódicas.
Con quién: Empleados y gerentes relevantes.
Por quién: ISO y jefes de departamento.
Procesos:
· Sesiones de formación específicas para cada función.
· Documentación disponible en la intranet.
· Revisiones periódicas de seguridad basadas en roles.
3. Comunicaciones externas
A. Requisitos de seguridad de proveedores y socios
Qué comunicar: Requisitos y expectativas de seguridad de la información para proveedores y socios.
Cuándo comunicarse: durante el proceso de incorporación y cuando se actualizan los requisitos.
Con quién: Proveedores, socios y proveedores de servicios externos.
Por quién: Departamento de Compras e ISO.
Procesos:
· Requisitos de seguridad incluidos en los contratos.
· Reuniones periódicas de revisión con los principales proveedores.
· Auditorías periódicas y controles de cumplimiento.
B. Notificación de incidentes a partes externas
Qué comunicar: Notificación de incidentes de seguridad que pueden afectar a partes externas, incluidas las medidas que se están tomando para mitigar el impacto.
Cuándo comunicarse: Inmediatamente después de la identificación del incidente.
Con quién: Clientes afectados, organismos reguladores y otras partes interesadas.
Por quién: ISO y Departamento Legal.
Procesos:
· El equipo de respuesta a incidentes coordina las comunicaciones externas.
· Plantillas de notificación preparadas previamente.
· Actualizaciones periódicas hasta su resolución.
C. Certificación y cumplimiento del SGSI
Qué comunicar: Estado de certificación del SGSI, logros de cumplimiento y actualizaciones relevantes.
Cuándo comunicarse: Tras la certificación inicial y durante las renovaciones anuales.
Con quién: Clientes, posibles clientes y organismos reguladores.
Por quién: ISO y Departamento de Marketing.
Procesos:
· Comunicados de prensa y anuncios en el sitio web de la empresa.
· Inclusión en materiales de marketing.
· Comunicación directa con clientes clave y partes interesadas.
4. Seguimiento y retroalimentación
A. Supervisión de la eficacia de la comunicación
Procesos:
· Encuestas periódicas y formularios de comentarios para evaluar la comprensión y la eficacia de las comunicaciones.
· Auditorías internas para verificar los niveles de cumplimiento y concienciación.
B. Mejora continua
Procesos:
· Revise los comentarios y los resultados de la auditoría.
· Actualizar las estrategias y materiales de comunicación en consecuencia.
· Implementar las lecciones aprendidas de las respuestas a incidentes.
Al seguir este plan de comunicación, una organización puede asegurarse de que todas las partes interesadas internas y externas estén bien informadas sobre el SGSI, sus funciones y responsabilidades, y la importancia de adherirse a las políticas de seguridad de la información.
¡ESTAMOS AQUÍ PARA AYUDAR!
¡CLIC AQUÍ para una prueba de Dogma C3X en tu compañía totalmente gratis!
Dogma C3X es una Plataforma Inteligente de Consultoría de Negocios inspirada en el modelo de industria de las 3Cs, que ofrece una mirada estratégica a los pilares que toda empresa necesita para el éxito: Clientes – Compañía – Competidores. "Inteligente" porque mediante el uso de inteligencia artificial (IA) y aprendizaje automático (ML) puede recopilar, procesar y analizar el creciente tsunami de datos (estructurados y no estructurados) relacionados con las 3Cs, los cuales son increíblemente valiosos. Solo fortaleciendo, posicionando e integrando estos tres pilares (Clientes – Compañía – Competidores) podrás construir una ventaja competitiva sostenible.
- Autor:Innovation Team
- Publicado:August 6, 2024
- Tags: