Toma las riendas de la ciberseguridad con un Plan Director de Seguridad

Fecha de publicación 28/06/2018
Autor
INCIBE (INCIBE)
Toma las riendas de la ciberseguridad con un Plan Director de Seguridad

Nos encontramos inmersos en una evolución tecnológica que nos permite cada día automatizar y optimizar un gran número de actividades tanto en el ámbito cotidiano, como en el seno de una organización. La tecnología ha ido desempeñando un papel cada vez más importante en cualquier proceso de negocio y la información se ha convertido en el principal activo a proteger en el ámbito empresarial que además, está basado en sistemas de información cuyo soporte es mayoritariamente tecnológico (ordenadores, tablets, portátiles, páginas web, etc.).

Por lo tanto, proteger esos sistemas de información es proteger el negocio, y para ello, se necesita llevar a cabo una gestión planificada de actuaciones en materia de seguridad. Así en caso de sufrir un incidente de seguridad informática, conoceremos los riesgos a los que se podría encontrar expuesta nuestra organización. Para lograrlo pondremos en marcha lo que se conoce como Plan Director de Seguridad. 

Pero, ¿qué es un Plan Director de Seguridad?

Un Plan Director de Seguridad (PDS) consiste en definir y priorizar una serie de proyectos o actuaciones en materia de seguridad de la información con el único objetivo de reducir los riesgos a los que podría estar expuesta una organización ante un eventual incidente de seguridad, hasta unos límites que consideremos aceptables. 

Por lo tanto, será inevitable partir de un buen análisis de riesgos de la situación actual de nuestra empresa u organización. Este plan deberá estar completamente alineado con nuestros intereses estratégicos e incluir obligaciones y buenas prácticas que tendrán que conocer y cumplir todos los empleados y colaboradores externos. 

Fases para poner en marcha el PDS

  1. Analizar la situación actual de la empresa: a través de un equipo de trabajo se realizará un análisis pormenorizado del estado inicial en materia de ciberseguridad:
  • Actividades previas: determinar qué procesos, departamentos o sistemas son el principal objetivo del plan, definir responsables de seguridad, de información, etc., realizar reuniones, revisiones e inspecciones para valorar el cumplimento de los controles de seguridad o seleccionar e identificar los aspectos fundamentales donde se deberán centrar los esfuerzos.  
  • Análisis técnico de seguridad, valorar el grado de implantación de los controles de seguridad en los sistemas de información, como disponibilidad de antivirus, segmentación de la red, control de accesos, etc. 
  • Análisis de riesgos: identificar activos susceptibles de recibir amenazas, valorar activos críticos, analizar amenazas, medir las consecuencias de una infección sobre un activo, verificar las medidas existentes a fin de mitigar el impacto, etc. 
  1. Alinear el PDS con la estrategia de la empresa: para ello se deberán tener en cuenta las previsiones de crecimiento, posibles cambios o reorganizaciones, etc. 
  2. Definir los proyectos a ejecutar, es decir, qué acciones concretas se deberán ejecutar para alcanzar el nivel de seguridad acordado, mejorar los métodos de trabajo existentes, corregir una posible ausencia de controles físicos o técnicos o a través de una gestión de riesgos. 
  3. Clasificación y priorización de proyectos: una vez que tenemos identificadas las acciones a llevar a cabo, podremos agruparlas teniendo en cuenta criterios como su origen, tipo de acción, etc. También aquellas que requieran poco esfuerzo y cuyo resultado produzcan mejoras sustanciales en la seguridad.
  4. Aprobar el PDS: una vez se cuente con la versión preliminar, el plan deberá ser revisado y aprobado por la dirección de la empresa, tras la cual, se comunicará a todos los empleados. 
  5. Ejecución del PDS: para esta, se recomienda realizar una presentación general del plan así como el personal implicado, asignar responsabilidades para cada proyecto y dotarlos de recursos, establecer la periodicidad de revisión por cada proyecto o en la medida que se vayan superando hitos, comprobar que las deficiencias fueron subsanadas convenientemente. 
  6. Certificación en seguridad: una vez ejecutado el PDS se puede valorar la posibilidad de obtener una certificación que acredite la gestión de seguridad de la información como por ejemplo la ISO 27001.

Contar con un Plan Director de Seguridad implica tener marcado el camino para alcanzar el nivel de seguridad que nuestra organización requiere o necesita. Deberá considerarse como un proyecto más y tendrá como principal objetivo la planificación de las medidas que queremos llevar a cabo para garantizar la protección de la información en nuestra empresa, que es su principal activo y siempre alineado con los intereses estratégicos de la misma. El PDS debe estar en constante actualización ya que siempre existirá algún aspecto en materia de seguridad de la información que sea susceptible de mejora. Si aún no lo has considerado, ponte en marcha y desarrolla tu Plan Director de Seguridad.