Controles | Nivel 1 - CO.6-1: la comunicación externa de las situaciones de crisis o incidentes mayores es llevada a cabo exclusivamente por la Dirección o por quien ésta haya determinado.
- CO.6-2: las áreas técnicas pueden realizar comunicaciones externas sólo si cuentan con autorización expresa de la Dirección o por quien ésta haya determinado.
Nivel 2 - CO.6-3: se ha comunicado quién es el vocero designado y a través de qué canales debe ser contactado.
Nivel 3 - CO.6-4: se ha definido y documentado un plan y/o procedimiento de comunicaciones ante crisis que cubre la evaluación del evento, las notificaciones, nivel de comunicación requerido, mensajes, audiencia, interesados y monitoreo de las comunicaciones.
- CO.6-5: el plan y/o el procedimiento han sido difundidos entre todos los actores involucrados en la gestión de crisis y continuidad operativa.
Nivel 4 - CO.6-6: se realizan ensayos periódicos que incluyen la ejecución del plan y procedimiento de comunicación ante crisis, de forma coordinada con los ejercicios de continuidad y recuperación.
- CO.6-7: se realizan auditorías internas para verificar el cumplimiento del plan y procedimiento de comunicaciones ante crisis.
- CO.6-8: los resultados de las revisiones y ensayos son documentados y utilizados para ajustar, actualizar y mejorar continuamente el plan y procedimiento de comunicaciones.
- CO.6-9: la Dirección participa activamente en las actualizaciones del plan, en especial, en la aprobación y modo de difusión de los mensajes.
|
Guía de implementación | Plan de comunicaciones Con motivo de informar a las partes interesadas (población en general, clientes, proveedores, prensa, etc.) sobre situaciones de crisis o incidentes que afectan la ciberseguridad, la planificación de las comunicaciones hacia el exterior de una organización implica definir un proceso detallado, así como los responsables de realizar las comunicaciones. Se debe definir un plan de comunicaciones y procedimientos asociados, además de contar con un equipo de comunicaciones ante crisis con responsabilidades asignadas, que se encargará de definir el plan de acción según la situación y seleccionar el vocero principal. El personal debe conocer quién es el vocero autorizado y la vía para contactarlo. - Dentro de la planificación de las comunicaciones, se deben abordar ciertos aspectos como:
- Evaluación del evento o del incidente (qué ocurrió, cuándo, dónde, qué acciones se están tomando, etc.)
- Notificación (al vocero del equipo de comunicaciones).
- Determinar el nivel de comunicación requerido (alto, medio, bajo, por ejemplo) y elaborar los mensajes necesarios.
- Aprobar y difundir los mensajes (por la Dirección o área competente que se determine).
- Monitoreo de las comunicaciones (revisar la cobertura que los medios de comunicación han realizado con la información proporcionada sobre la crisis).
- Se considera componer la reputación de la organización luego de un evento disruptivo que provoque daños a la imagen organización.
Pruebas al plan de comunicaciones El plan de comunicaciones debe probarse periódicamente en escenarios en conjunto con el plan de contingencia y recuperación. Equipo de comunicaciones La definición del equipo de comunicaciones debe figurar o referenciarse en el plan de contingencia y recuperación. |