La comunicación es una actividad clave para cualquier ser humano. Este es también el caso de una organización. Ayuda a través del intercambio de la información más correcta a la mejor audiencia y en el mejor momento. Es ciertamente importante en la gerencia de la seguridad, porque usted quiere que la gente reaccione de la manera apropiada.
Importante también es que la comunicación efectiva, en contenido, formato y tiempo, crea confianza tanto de las partes internas como externas. Muestra cómo estás preparado, y si eres reactivo o, mejor, proactivo.
ISO 27001 aborda el problema de la comunicación tres veces, y las organizaciones que desean implementar el SGSI tienen que mirar de cerca estos requisitos.
¿Qué es exactamente un plan de comunicación?
La Cláusula 7.4 requiere una respuesta clara a una serie de preguntas sobre cuestiones de seguridad: ¿Quién debe comunicarse? ¿A quien? ¿Qué mensajes? ¿En que? ¿Cuando? ¿Y cómo?
Veamos más de cerca cómo abordar estas preguntas.
¿En que? (Contenido) Las organizaciones deben comunicar claramente sobre lo que es importante para ellos: la necesidad de seguridad de la información y la necesidad de ajustarse a los requisitos y políticas.
Se abordarán cuestiones de gestión de riesgos, objetivos de seguridad nuevos o modificados y vulnerabilidades, acontecimientos o incidentes para iniciar la respuesta adecuada de todos y, en especial, del personal capacitado que realice la reacción planificada. Celebrar los logros y felicitar las conductas excepcionales de seguridad tiene efectos muy positivos.
Incluir cláusulas de seguridad y requisitos en el contrato es también una manera de comunicar sus necesidades a los proveedores de servicios y productos. Por lo tanto, podría considerarse una parte del Plan de Comunicación.
¿Qué mensajes? (Forma y formato) Los mensajes deben ser claros en su forma y contenido para producir el comportamiento esperado. El tipo de medio de comunicación se examina aquí. Puede usar cuentos, imágenes, metáforas o dibujos animados.
Los mensajes deben ser cortos y enfocados en su verdadera intención. Ciertamente recuerda los criterios SMART que puede utilizar para asegurarse de que el mensaje esté completo.
¿Quien? Las organizaciones deben aclarar quién está autorizado a comunicarse, especialmente con las partes externas. Internamente, la alta dirección y el CISO y el help desk son buenos ejemplos. Las grandes empresas tienen a su Oficial de Relaciones Públicas para comunicarse con las partes externas.
El comunicador debe tener la autoridad apropiada para asegurarse de que el mensaje será recibido con la atención necesaria y será seguido por la acción o reacción esperada.
¿A quien? No todos deben recibir todos los mensajes. Los mensajes deben estar dirigidos a un público específico, dependiendo de la clasificación de la información, los conocimientos técnicos necesarios y el papel en la organización. El Plan de Comunicación debe ser eficaz y dirigirse sólo a quienes se beneficien de él o deban actuar basándose en él, por ejemplo, diferentes partes interesadas como usuarios, socios, proveedores de servicios internos y externos, órganos reguladores, accionistas, etc. Artículo: Cómo identificar a las partes interesadas según ISO 27001 e ISO 22301.
¿Cómo? (Proceso) La forma más simple y primera es la política de seguridad y todos los documentos que describen qué hacer (y cómo) cumplir con los objetivos de la política. Los mensajes deben ser preparados y aprobados, particularmente en caso de incidentes y crisis.
Se deben utilizar canales definidos (y protocolos) para asegurarse de que la comunicación llegue al público deseado en el mejor momento y con la mejor eficacia posible. Ejemplos: correos electrónicos, pantallas emergentes, protectores de pantalla, carteles, mensajes de audio, reuniones, políticas y directivas, etc.
¿Cuando? La comunicación debe ser continua y basada en eventos (en reacción a eventos).
Debe asegurarse de que el mensaje comunicado se retransmita continuamente, por ejemplo, a los recién llegados ya intervalos repetidos, para asegurarse de que no se olvidará.
También debe ser capaz de modificar los mensajes o introducir nuevos mensajes o formatos y canales cuando la situación lo requiere. Comunicar en condiciones normales puede ser seriamente diferente en comparación con durante incidentes o en crisis.
Plan de comunicación interno vs. externo
Es importante reconocer que el Plan de Comunicación tiene aspectos tanto internos como externos. Ellos responderán de manera diferente a las siguientes preguntas.
Plan de Comunicación Interna. La Alta Dirección utiliza el Plan de Comunicación interno para enviar mensajes sobre sus objetivos y su compromiso con la seguridad de la información. Algunos ejemplos son: La Política de Seguridad de la Información, la organización de seguridad con las funciones y responsabilidades clave, el Plan de Concientización, los requisitos generales y específicos para responder a los incidentes.
Sin embargo, el Plan de Comunicación interno no debe permanecer unidireccional. Los canales (teléfono y correo electrónico, por ejemplo) también deben ser conocidos y utilizados para comunicar «de abajo hacia arriba» desde La base (los usuarios) a la gestión de eventos o alguna nueva vulnerabilidad.
Plan de comunicación externa.
La mayoría de los ejemplos anteriores se refieren al Plan de Comunicación interno, pero también son plenamente aplicables al Plan de Comunicación externo. Es posible que tenga que comunicarse con el mundo externo: autoridades reguladoras, autoridades públicas, accionistas, clientes y socios para anunciar eventos Positivos (éxitos) o negativos (incidentes, accidentes y crisis). Aquí también necesitará un Plan de Comunicación que responda a las mismas preguntas que antes. Sin embargo, en este caso, tendrá que usar más precaución ya que no puede exponer o difundir información confidencial que empeore su situación.
Cómo documentar la Comunicación
Dependiendo del tamaño de la organización y de sus objetivos de seguridad, el Plan de Comunicación podría ser más o menos formal, estar plenamente documentado como documento separado o simplemente expresado en pocas frases dentro de otras políticas, procedimientos y planes. Los mensajes se pasan a aquellos que deben hacer lo mejor de ella, su solución se ajuste a sus necesidades y los recursos que puede dedicar a it.Why es un plan de comunicación importante? Para concluir, el plan de comunicación es una cuestión de crear y mantener la confianza y Confianza en 1) su preparación, 2) su capacidad para hacer frente a los eventos, y 3) su capacidad para recuperarse de las crisis.
El plan de comunicación es un elemento clave de un buen sistema de gestión de la seguridad de la información Tem Uno de los Retornos sobre la Inversión (Seguridad) de un buen Plan de Comunicación, como lo requiere la ISO 27001, es una imagen fuerte, tanto interna como externa. Perder la confianza interna (o de las partes interesadas) a veces es peor que perder su imagen pública. Arriesgas la implosión.[:en]
How to create a Communication Plan according to ISO 27001
Communicating is a key activity for any human being. This is also the case for an organization. It helps through exchanging the most correct information to the best audience and at the best moment. It is certainly important in security management, because you want people to react in the proper way.
Important also is that effective communication, in content, format and time, creates trust both from internal and external parties. It shows how prepared you are, and whether you are reactive or, better, proactive.
iso27001 addresses the communication issue three times, and organizations wanting to implement the ISMS have to look closely at these requirements.
What exactly is a Communication Plan?
Clause 7.4 requires a clear answer to a series of questions on security issues: Who should communicate? To whom? What messages? On what? When? And how?
Let’s look more closely at how to address these questions.
On what? (content) Organizations should clearly communicate on what is important to them: the need for information security and the need to conform to the requirements and policies.
It will address risk management issues, new or changed security objectives, and vulnerabilities, events or incidents to initiate the adequate answer of all, and especially the trained personnel who perform the planned reaction. Celebrating achievements and congratulating exceptional security behaviors has very positive effects.
Including security clauses and requirements in the contract is also a way to communicate your requirements to services and product providers. Hence, it could be considered a part of the Communication Plan.
What messages? (form & format) Messages should be clear in their form and content to produce the expected behavior. The type of communication medium is looked at here. You can use short stories, images, metaphors, or cartoons.
Messages should be short and focused on their real intent. You certainly remember the SMART criteria that you can use to make sure the message is complete.
Who? Organizations should clarify who is authorized to communicate, especially with external parties. Internally, top management and the CISO and the help desk are good examples. Big companies have their Public Relations Officer to communicate with the external parties.
The communicator should have the appropriate authority to make sure the message will be received with the necessary attention and will be followed by the expected action or reaction.
To whom? Not everybody should receive all messages. Messages should be aimed at a specific audience, depending on the classification of the information, the necessary technical knowledge, and the role in the organization. The Communication Plan should be effective and addressed only to those who will benefit from it or need to act based on it – e.g., different interested parties like users, partners, internal and external service providers, regulating bodies, shareholders, etc. See also this article: How to identify interested parties according to ISO 27001 and ISO 22301.
How? (process) The simplest and first way is the security policy and all the documents that describe what to do (and how) to meet the objectives of the policy. Messages should be prepared and approved, particularly in the case of incidents and crises.
Defined channels (and protocols) should be utilized to make sure the communication reaches the intended audience at the best moment and with the best possible effectiveness. Examples: emails, pop-up screens, screensavers, posters, audio messages, meetings, policies and directives, etc.
When? Communication should be both continuous and event-based (in reaction to events).
You should make sure the communicated message is continuously retransmitted, for example, to newcomers and at repeated intervals, to make sure it won’t get forgotten.
You also should be able to modify the messages or introduce new messages or formats and channels when the situation requires it. Communicating in normal conditions might be seriously different in comparison to during incidents or in crises.
Internal vs. External Communication Plan
It is important to recognize that the Communication Plan has both internal and external aspects. They will respond differently to the following questions.
Internal Communication Plan. Top management uses the internal Communication Plan to send messages on its objectives and commitment toward information security. Some examples are: The Information Security Policy, the security organization with the key roles and responsibilities, the Awareness plan, the general and specific requirements to respond to incidents.
However, the internal Communication Plan should not remain unidirectional. The channels (telephone and email, for example) should also be known and used to communicate “bottom-up” from the base (the users) to the management about events or some new vulnerability.
External Communication Plan. Most of the examples given above relate to the internal Communication Plan, but are also fully applicable to the external Communication Plan.
You may need to communicate to the external world: regulatory authorities, public authorities, shareholders, clients and partners, to announce events either positive (successes) or negative (incidents, accidents and crises). Here also you will need a Communication Plan answering the same questions as above.
However, in this case, you’ll have to use more caution as you may not expose or disseminate sensitive information that will make your situation worse.
How to document the Communication Plan?
Depending on the size of the organization and its security objectives, the Communication Plan could be more or less formal, fully documented as a separate document or simply stated in a few sentences within other policies, procedures and plans.
As long as the desired messages are passed to those who should make the best of it, your solution will fit your needs and the resources you can devote to it.
Why is a Communication Plan important?
To conclude, the Communication Plan is a question of creating and maintaining trust and confidence in 1) your preparedness, 2) your capability to face events, and 3) your ability to recover from crises.
The Communication Plan is a key element of a good Information Security Management System. One of the Returns On (Security) Investment of a good Communication Plan, as required by ISO 27001, is a strong image, both internal and external. Losing internal (or stakeholders’) trust is sometimes worse than losing your public image. You risk implosion.