Comunicación.
Requisito.
La organización determina las necesidades de comunicaciones internas y externas relacionadas con el SGS.
Explicación.
La comunicación es un proceso clave dentro de un SGSI:
- La comunicación puede ser entre las partes interesadas internas a todos los niveles de la organización o entre la organización y las partes externas interesadas. La comunicación se puede iniciar dentro de la organización o por una parte externa interesada
La organización necesita determinar:
- qué contenidos deben comunicarse, como políticas de seguridad de la información, objetivos, procedimientos, sus cambios, conocimiento sobre riesgos de seguridad de la información, requisitos a proveedores y retroalimentación sobre el desempeño de la seguridad de la información;
- el momento preferido u óptimo para las actividades de comunicación;
- quién participará en las actividades de comunicación y cuál es el público objetivo de cada esfuerzo de comunicación;
- quién debe iniciar las actividades de comunicación, un contenido específico puede requerir que la comunicación sea iniciada por una persona u organización específica; y
- qué procesos están impulsando o iniciando actividades de comunicación, y qué procesos están afectados por las actividades de comunicación.
Guía.
La organización debería, determinar qué contenido es necesario comunicar. Por ejemplo:
a) planes y resultados de la gestión de riesgos a las partes interesadas según sea necesario y apropiado, en la identificación, análisis, evaluación y tratamiento de los riesgos;
b) objetivos de seguridad de la información;
c) objetivos de seguridad de la información alcanzados, incluidos aquellos que pueden respaldar su posición en el mercado (por ejemplo, certificado ISO/IEC 27001 otorgado; alegando conformidad con datos personales leyes de protección);
d) incidentes o crisis, donde la transparencia suele ser clave para preservar y aumentar la confianza en la capacidad de la organización para gestionar la seguridad de su información y hacer frente a situaciones inesperadas.
e) roles, responsabilidades y autoridad;
f) información intercambiada entre funciones y roles según lo requieran los procesos del SGSI;
g) cambios al SGSI;
h) otros asuntos identificados mediante la revisión de los controles y procesos dentro del alcance del SGSI;
i) asuntos (por ejemplo, notificación de incidentes o crisis) que requieren comunicación a los organismos reguladores u otras partes interesadas; y
j) solicitudes u otras comunicaciones de partes externas como clientes, clientes potenciales, usuarios de servicios y autoridades.
La organización debe identificar los requisitos de comunicación sobre temas relevantes:
k) quién puede comunicarse externa e internamente (por ejemplo, en casos especiales como una violación de datos), asignar funciones específicas con la autoridad adecuada. Por ejemplo, comunicación oficial.
l) los desencadenantes o la frecuencia de la comunicación;
m) el contenido de los mensajes para las partes interesadas clave (por ejemplo, clientes, reguladores, público en general, usuarios internos importantes) basados en escenarios de impacto de alto nivel. La comunicación puede ser más eficaz si se basa en mensajes preparados y aprobados previamente por un nivel adecuado de gestión como parte de un plan de comunicación, el plan de respuesta a incidentes o el plan de continuidad del negocio.
n) los destinatarios previstos de la comunicación; En algunos casos, se debe mantener una lista (por ejemplo, para comunicar cambios en los servicios o crisis);
o) los medios y canales de comunicación. La comunicación debe utilizar medios y canales específicos, para asegurarse de que el mensaje sea oficial y tenga la autoridad adecuada. Los canales deben abordar cualquier necesidad de protección de la confidencialidad e integridad de la información transmitida; y
p) el proceso diseñado y el método para garantizar que los mensajes se envíen y se hayan recibido correctamente y entendido.
La comunicación debe clasificarse y manejarse de acuerdo con los requisitos de la organización.
La información documentada sobre esta actividad y su resultado es obligatoria sólo en la forma y a la medida que la organización considere necesaria para la eficacia de su sistema de gestión.