1. Propósito
Establecer requisitos para las comunicaciones internas y externas durante y después de incidentes de ciberseguridad para asegurar mensajes precisos, oportunos y coordinados.
2. Alcance
Esta política se aplica a todas las comunicaciones relacionadas con incidentes de ciberseguridad en [ORGANIZATION], incluyendo notificaciones internas, divulgaciones externas, notificaciones regulatorias y comunicaciones con medios de comunicación.
3. Política
3.1 Comunicaciones Internas
Las comunicaciones internas sobre incidentes deberán ser coordinadas por el Comandante de Incidentes y el Líder de Comunicaciones según lo definido en la Política de Respuesta a Incidentes.
La notificación a partes interesadas internas deberá seguir esta ruta de escalamiento: incidentes P1 (CEO, equipo ejecutivo, junta directiva según corresponda, todos dentro de [PERSONALIZAR: 1 hora] de la confirmación), incidentes P2 (CISO, CIO, jefes de departamento afectados dentro de [PERSONALIZAR: 4 horas]), incidentes P3/P4 (gerencia de seguridad dentro del flujo de trabajo estándar).
Todas las comunicaciones internas deberán utilizar plantillas preaprobadas cuando estén disponibles y deberán ser factuales sin especulaciones.
Las comunicaciones de incidentes deberán utilizar canales seguros (correo electrónico cifrado, mensajería segura) y no deberán incluir indicadores técnicos de compromiso que pudieran ayudar a un atacante.
3.2 Comunicaciones Externas
Todas las comunicaciones externas relacionadas con incidentes de seguridad deberán ser aprobadas por [PERSONALIZAR: Legal/CISO/CEO] antes de su publicación.
Solo los portavoces designados podrán comunicarse con los medios sobre incidentes de seguridad. Todas las consultas de medios deberán dirigirse a [PERSONALIZAR: equipo de Comunicaciones/Relaciones Públicas].
Las notificaciones a clientes deberán ser claras, accionables e incluir: descripción del incidente, datos o servicios afectados, medidas que [ORGANIZACION] está tomando, medidas que el cliente debe tomar e información de contacto para preguntas.
La notificación a las autoridades policiales deberá coordinarse por [PERSONALIZAR: Legal/CISO] cuando el incidente involucre actividad criminal.
3.3 Notificaciones Regulatorias
[ORGANIZACION] deberá mantener un registro de todos los requisitos de notificación de violaciones aplicables por jurisdicción y regulación.
Las notificaciones regulatorias deberán presentarse dentro de los plazos requeridos y deberán incluir toda la información requerida por la regulación aplicable.
Las copias de todas las notificaciones regulatorias deberán ser retenidas por [PERSONALIZAR: Departamento Legal] durante al menos [PERSONALIZAR: 7 años].
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos