Cláusula 7.4: Comunicación

La organización dispone de todos los elementos de apoyo necesarios para garantizar la eficacia del SGSI: asigna recursos adecuados y oportunos, asegura la competencia y la toma de conciencia del personal, mantiene canales de comunicación internos y externos claros y seguros, y controla rigurosamente la información documentada. Estos mecanismos de apoyo se revisan y mejoran de forma continua, permitiendo que cada proceso de seguridad de la información funcione con solvencia y alineación plena con los objetivos estratégicos de la organización.

ISO 27001: Sistema de Gestión de Seguridad de la Información

Comunicación

La organización establece, implementa y controla canales eficaces de comunicación interna y externa para garantizar que la información de seguridad llegue a las partes correctas, en el momento oportuno y con el nivel de detalle adecuado.

Acciones implementadas:

Matriz de comunicación

Se mantiene una matriz de comunicación que define qué se comunica, quién lo comunica, a quién y cuándo, cubriendo situaciones rutinarias y de emergencia.

Canales formales internos y externos

Se han habilitado canales formales (intranet, correo corporativo, reuniones operativas) y canales externos (proveedores, clientes, autoridades) con protocolos claros de aprobación y seguimiento.

Notificación estandarizada de incidentes

Todo incidente de seguridad sigue un flujo de notificación estandarizado, asegurando la transmisión rápida y precisa de la información crítica.

Medición de eficacia

La eficacia de los canales se mide y revisa mediante indicadores de tiempo de respuesta, alcance y comprensión del mensaje.

Registro de comunicaciones

Los registros de comunicación se conservan para evidenciar el cumplimiento y servir de insumo en la mejora continua del SGSI.

Documentos relacionados:

PRO 007 – Comunicación Interna y Externa - Proceso que define la matriz de comunicación, los canales autorizados y los responsables.
PRO 013 – Procedimiento para la Comunicación de Incidentes de Seguridad - Detalla los pasos, tiempos y formatos para notificar incidentes a partes internas y externas.
POL 012 – Política de transferencia de información - Asegura que cualquier información compartida externamente cumpla requisitos de confidencialidad, integridad y disponibilidad.
FOR 019 – Registro de Comunicaciones - Evidencia cada comunicación relevante, indicando fecha, remitente, destinatario y medio utilizado.
DOC 007 – Análisis de Partes Interesadas - Identifica a los destinatarios clave y sus necesidades de información.

Controles del Anexo A que respaldan 7.4:

Consideraciones Adicionales

La comunicación efectiva es esencial para el éxito del SGSI. Una comunicación clara, oportuna y dirigida a los destinatarios adecuados garantiza que toda la organización esté alineada en materia de seguridad de la información y pueda responder adecuadamente a cualquier situación.

Cómo cumplimos

Mediante la implementación de una matriz de comunicación, establecimiento de canales formales internos y externos, protocolos estandarizados para notificación de incidentes y medición continua de la efectividad de las comunicaciones.

Responsables

El responsable del SGSI coordina el proceso de comunicación, mientras que los jefes de área son responsables de asegurar que la información fluya adecuadamente dentro de sus equipos. La alta dirección aprueba los protocolos de comunicación críticos.