Ir al contenido principal

47. Plan de Comunicación del SGSI

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • ISO 27001 en su versión 2013: 5.1, 5.2, 5.3, 6.2, 7.3, 7.4 y 9.2

  • ISO 27001 en su versión 2022: 5.1, 5.2, 5.3, 6.2, 7.3, 7.4, 9.2.1, 9.2.2

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a planificar cómo vas a comunicar la documentación generada para el SGSI, y a registrar la información pertinente para cumplir con los requisitos normativos.

💡 Los requisitos normativos que se deben cumplir al realizar la comunicación de tus políticas, metodologías, procedimientos, etcétera, se encuentran definidos en tu Política de SGSI.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad, primero debes identificar toda la documentación que se haya generado para la implementación y cumplimiento de tu SGSI.

Dentro del template que te proporcionamos, ya encontrarás el listado de las actividades de nuestro plan de acción que deben ser comunicadas, pero es muy importante que añadas cualquier otro documento que hayas generado para complementar o apoyar el cumplimiento de tu programa de seguridad.

Luego, te recomendamos identificar las áreas o personas que deben ser comunicadas para cada una de las actividades que hayas enlistado.

Dentro del template que te proporcionamos, también podrás encontrar las áreas y personas a las que te recomendamos comunicar cada una de las actividades del plan de acción de Hackmetrix, pero recuerda que esto debe ajustarse a las necesidades de tu empresa.

Para más información, te recomendamos leer nuestro artículo Comunicación: Una tarea clave para el éxito de tu programa de seguridad.

Posteriormente, debes registrar la fecha en la que se realizó la comunicación, o por lo menos una fecha estimada de cuándo se realizará, y quién será el responsable a cargo.

Para cada comunicación que mandes, debes generar y almacenar la evidencia pertinente que sustente las acciones realizadas.

¡Recuerda que la plataforma Hackmetrix te pide estas evidencias para poder terminar una actividad! Una manera sencilla de encontrar y acceder a estas evidencias, es ir al módulo de Documentos, seleccionar la actividad correspondiente, ir a la sección de “Aprobación y comunicación”, y ahí encontrarás los archivos que hayas cargado:

Una vez comunicada la documentación, debes asegurarte que los destinatarios recibieron el mensaje correctamente y leyeron la información enviada 👀.

Básicamente, para establecer un adecuado plan de comunicación, debes poder responder las siguientes preguntas:

  • ¿Qué debo comunicar?

    • Todos los documentos que respaldan y sustentan la implementación de tu SGSI, tanto las actividades del plan de acción que te propone Hackmetrix, como cualquier otro documento interno que hayas generado para tu programa de seguridad.

    • Define también la mejor forma de compartir la información y los recursos a utilizar, es decir si lo harás por medio de enlaces, archivos descargables, presentaciones, etcétera.

  • ¿A quién debo comunicar?

    • No toda la documentación generada debe ser comunicada a toda la empresa, por lo que es importante identificar quiénes son las áreas o personas impactadas para evitar compartir información confidencial.

    • Por ejemplo, el Proceso de Contratación y Selección de Personal puede ser revisado y aprobado por la alta dirección y/o comité de seguridad, pero el contenido de este documento sólo impacta al área de Recursos Humanos, por lo que estos son los involucrados que deben ser comunicados sobre cualquier cosa que impacte este documento.

    • Puedes considerar también las partes interesadas en tu SGSI que puedan beneficiarse de ésta comunicación. Por ejemplo, a los usuarios, socios, proveedores, órganos reguladores, etcétera, sólo analiza bien si podrían obtener algún valor de lo que vas a comunicar.

  • ¿Cuándo debo comunicar?

    • Debes comunicar la documentación una vez que ya fue terminada y/o aprobada.

    • También debes realizar una comunicación cuando los documentos sufren cambios significativos o se actualice su contenido. Incluso recomendamos comunicar cuando se renueva su vigencia.

  • ¿Quién debe comunicar?

    • La empresa debe asignar a los responsables de comunicar con el criterio que considere más adecuado, pero recomendamos que sea alguien con la capacidad y el nivel de autoridad suficiente para que las personas comunicadas realmente lean la información, realicen las acciones solicitadas (si las hay), y le den la importancia pertinente al mensaje enviado.

    • Algunas de estas acciones pueden ser, por ejemplo, dejar un consentimiento, responder de enterados, dar un visto bueno, dar aprobación, etcétera, y es muy importante indicar estas acciones claramente dentro del comunicado.

  • ¿Cuál será el medio de comunicación?

    • Esto no se solicita registrar dentro del template que te proporcionarnos, pero es muy importante definir por dónde se realizará la comunicación. Y para ello recomendamos que sea una herramienta donde se puedan hacer comunicaciones internas formales, como por ejemplo correo electrónico, Slack o Teams.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu plan fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Las evidencias de comunicación son muy importantes durante una auditoría, por lo que te recomendamos almacenarlas bien y tenerlas siempre disponibles.

  • Recuerda que, si realizas cambios significativos dentro de los documentos, debes comunicarlos nuevamente y dejar registro de dicha comunicación.

  • Asegúrate que tus mensajes sean simples y efectivos, ya sea que estés comunicándote por escrito o verbalmente. Hazlo de forma que no solo sea entendible para ti, si no para todos los que recibirán la información.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
7. Plan de Seguridad de la Información
50. Plan y Programa de Auditoría
57. Minuta de Sesión de Comité de Seguridad
55. Auditoría interna del SGSI
Plan de Comunicación del SGIA
¿Ha quedado contestada tu pregunta?