Durante la implementación de tu programa de seguridad vas definiendo qué quieres lograr y cómo lo vas a lograr, por medio de políticas y procedimientos en los cuales documentas las actividades que te ayudarán a cumplir tus objetivos.

Ahora bien, la comunicación de estas políticas y procedimientos es una de las tareas más importantes para garantizar que tu programa de seguridad sea todo un éxito.

Toda esa documentación y el conocimiento obtenido debe ser transferido a toda la organización y a las partes interesadas pertinentes, con la finalidad de que se comprenda su impacto en la seguridad de la información, sus responsabilidades, los riesgos que existen y las mejores prácticas a aplicar en su día a día.

Y seguramente te surgirán preguntas como ¿a quién debo comunicar? ¿cómo debo hacerlo? ¿cuál es el canal más apropiado? ¿cómo genero la evidencia adecuada?

¡Tranquilo! Aquí te damos las respuestas a todas estas preguntas 🚀.

A continuación te compartimos las áreas y/o roles a los que te recomendamos comunicar cada una de las actividades del plan de acción de Hackmetrix para ISO 27001.

💡 Recuerda que esto es solo una guía y tú puedes decidir si es necesario comunicarlo a más o menos personas, tomando en cuenta la clasificación de la información contenida los documentos y las necesidades de la empresa.

💡 Lo ideal es leer y comprender todo el documento, pero al ser extenso, también puedes comunicarlo por secciones para asegurar que la información correcta llegue a las personas correctas. Por ejemplo, si consideras que hay dos secciones que son muy importantes que las conozca el área de Recursos Humanos, pero hay otras dos que son más importantes para el área de Finanzas, puedes añadir las indicaciones de lectura pertinentes para cada equipo a la hora de comunicar el documento.

💡 Lo ideal es leer y comprender todo el documento, pero al ser extenso, también puedes comunicarlo por secciones para asegurar que la información correcta llegue a las personas correctas. Por ejemplo, en este documento en particular, las secciones tienen diferentes enfoques para temas de Recursos Humanos, de Tecnología, de Desarrollo, de seguridad aplicada en diferentes entornos (físico, lógico, redes, etcétera). Por lo que puedes añadir las indicaciones de lectura pertinentes para cada equipo responsable a la hora de comunicar el documento.

💡 Es muy importante que las minutas de comité contengan lo que realmente se vio y conversó durante la sesión, considerando aspectos como el avance logrado en la implementación, la documentación que está lista para pasar por aprobación, los resultados de la evaluación de riesgos, cumplimiento de los objetivos de seguridad, entre otros.

Y al realizar la comunicación de estas minutas es muy recomendable que la alta dirección y/o todos los integrantes del comité e interesados, dejen sus comentarios, confirmen la recepción y entendimiento de la minuta, de los compromisos acordados, los temas vistos, etcétera, ya que con esto demuestran liderazgo e involucramiento dentro el programa de seguridad, dando cumplimiento a los requisitos normativos.

💡 Es muy importante que las minutas de comité contengan lo que realmente se vio y conversó durante la sesión, considerando aspectos como el avance logrado en la implementación, la documentación que está lista para pasar por aprobación, los resultados de la evaluación de riesgos, cumplimiento de los objetivos de seguridad, entre otros.

Y al realizar la comunicación de estas minutas es muy recomendable que la alta dirección y/o todos los integrantes del comité e interesados, dejen sus comentarios, confirmen la recepción y entendimiento de la minuta, de los compromisos acordados, los temas vistos, etcétera, ya que con esto demuestran liderazgo e involucramiento dentro el programa de seguridad, dando cumplimiento a los requisitos normativos.

💡 Es muy importante que las minutas de comité contengan lo que realmente se vio y conversó durante la sesión, considerando aspectos como el avance logrado en la implementación, la documentación que está lista para pasar por aprobación, los resultados de la evaluación de riesgos, cumplimiento de los objetivos de seguridad, entre otros.

Y al realizar la comunicación de estas minutas es muy recomendable que la alta dirección y/o todos los integrantes del comité e interesados, dejen sus comentarios, confirmen la recepción y entendimiento de la minuta, de los compromisos acordados, los temas vistos, etcétera, ya que con esto demuestran liderazgo e involucramiento dentro el programa de seguridad, dando cumplimiento a los requisitos normativos.

Te lo mostramos también con la siguiente tabla, donde podrás identificar fácilmente las personas o áreas a las que deberás comunicar cada actividad:

Adicionalmente, si también estás trabajando con la ISO 27701, te compartimos por acá nuestras recomendaciones de a quién debes comunicar cada una de las actividades que son particulares de esta normativa.

Para responder esta pregunta debemos considerar los siguientes aspectos:

Es decir que debes asignar a un responsable capacitado y con suficiente alcance dentro de la organización, dependiendo el área a la que va dirigida la comunicación o en dado caso que vaya a toda la empresa, para que te asegures que el mensaje enviado sea comprensible para todos y que las acciones a realizar, si es que las hay, realmente sean aplicadas correctamente.

Por ejemplo, si vas a comunicar la Política de Seguridad de la Información, la cual impacta a toda la empresa debes asignar a alguien que tenga la presencia o impacto suficiente, por decirlo de alguna manera, para llegar a todos los colaboradores y que le presten la debida atención.

Así como también, dicho responsable debe enviar el mensaje lo suficientemente claro para que todos lo comprendan. Y si se espera que se realice una acción, por ejemplo leer el documento enviado, que esto se indique dentro del mensaje.

Comprendiendo esto, podemos responder la siguiente pregunta.

No existe un canal de comunicación específico u obligatorio por el cual debas realizar estas comunicaciones. El canal más apropiado será el que consideres formal y eficiente para que el mensaje llegue a todos tus colaboradores, el ejemplo más claro es por medio de un correo electrónico, pero también puedes utilizar otras herramientas como lo son Slack o Teams.

Una práctica súper buena y eficiente es organizar talleres o reuniones especiales para los involucrados en donde se les explique el contenido del documento o la información importante. Con esto puedes realizar encuestas e incluso cuestionarios breves al finalizar para validar que todos hayan comprendido.

Explicar el proceso del auditor cuando realiza entrevistas también puede ser de gran ayuda para visualizar el impacto que puede tener el no contar con el conocimiento necesario y las posibles consecuencias; una puede ser directamente no pasar la certificación.

Siempre y cuando se entienda que la comunicación es formal y de suma importancia para el cumplimiento de tu programa de seguridad, puedes elegir el medio o canal de comunicación que mejor se acomode a tus necesidades.

Esta es una de las preguntas más frecuentes entre los clientes y aquí te lo vamos a explicar, ¡es súper sencillo!

La evidencia de comunicación que te permitirá validar tu cumplimiento consiste de lo siguiente:

Por ejemplo, en la siguiente imagen podemos ver el mensaje de comunicación sobre una nueva Política de Seguridad de la Información y las reacciones de los colaboradores:

💡 Recuerda que la actividad 47. Plan de Comunicación del SGSI de nuestro plan de acción para implementar ISO 27001 e ISO 27002 te permite llevar un seguimiento apropiado a tus actividades de comunicación.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.