Plan Director de Seguridad

¿Qué es Plan Director de Seguridad? 

Cuando queremos abordar la ciberseguridad de nuestra empresa es importante una planificación previa y constante de las actividades a realizar que cuente, por supuesto, del compromiso de toda la compañía y empezando por la dirección.

Esta planificación es la que marca las prioridades, el problema y los responsables y recursos que se van a necesitar para llevar a cabo una estrategia de seguridad a nivel digital.

Esto no es nuevo. De hecho, tiene un nombre: Plan Director de Seguridad. Este es el documento oficial en el que toda organización empresarial refleja sus intenciones con el futuro de la compañía en el largo plazo y suele tener un periodo límite de cinco años.

El documento siempre es cualitativo, ya que especifica las futuras cualidades de una organización, así como su estructura y misión ante la sociedad; con unas proyecciones objetivas, debido a que indica el fin por el que lucha la compañía y, por último, es atemporal, ya que no establece intervalos de tiempo que rijan las prioridades a llevar a cabo en el día a día.

¿Por qué un Plan Director de Seguridad?

Este plan permite establecer un marco de seguridad donde se establecerá el nivel de riesgo que se asume desde la compañía, un plan de tratamiento de riesgo, lo cual nos permite establecer puntos en común entre la situación actual de nuestra empresa y dónde se quiere llegar con respecto a la seguridad de la información de ésta.

El Plan Director contiene los proyectos que se van a abordar, tanto técnicos como de contenido legal y organizativos. Así, habrá proyectos, por ejemplo, de instalación de productos o de contratación de servicios. En cambio, otros de los proyectos que se deben abordar son todos aquellos relacionados con cumplir leyes de privacidad, formar a los empleados o para poner en marcha procedimientos y políticas internas en la compañía.

¿Cómo empezar a elaborar un Plan Director de Seguridad?

Cada empresa es un mundo, por tanto es necesario, como punto de partida, calcular nuestro nivel particular de seguridad para fijarnos el objetivo de dónde queremos estar.

Para ello, antes de empezar, es primordial iniciar la Fase 0: Preguntarse lo siguiente:

¿Cómo podemos prepararnos?

¿Cómo reaccionar ante un ciberataque?
¿Qué es lo que vamos a proteger?
¿Cómo haremos la prevención?
¿Qué incidentes podríamos tener?
¿Cómo nos podemos adelantar?

Y, únicamente con estas preguntas comienza la Fase 1: Reconocerse.

Este es el momento en el que nos damos realmente cuenta de cuál es el problema que queremos atajar para poder protegernos ante un ciberataque.

Para realizar el Plan Director es necesario realizar un análisis previo, que debe estar basado en un análisis de riesgos donde se identifiquen las principales amenazas que afectan a la organización y el riesgo asociado a cada una de ellas, en función de la probabilidad y el impacto que tengan de materializarse.

Para mitigar el riesgo de estas amenazas se deben establecer unos puntos de acción concretados en proyectos y actividades que serán parte del plan director.

Plan Director paso a paso

Marcar objetivos

Es sencillo, lo primero que tenemos que hacer es marcar los objetivos del mismo. Es necesario, como bien hemos dicho antes, entender las necesidades del negocio y mantener las conversaciones con los responsables de las diferentes áreas de la organización para entender exactamente qué se espera de la seguridad y su aportación al negocio.

Definición, coste y responsables

Es clave para el éxito del Plan Director definir con exactitud el detalle de cada uno de los proyectos a realizar, indicando el coste asociado para después poder dar responsabilidades a la persona o el departamento oportuno.

Aprobación

¡Ya hemos concretado todos los detalles! El Plan debe ser aprobado por el mayor nivel posible dentro de la organización (Comité de Dirección o Consejo de Administración). Si no hay aprobación, tampoco habrá dotación presupuestaria ni de autoridad, por tanto, todo quedará en ganas.

Métricas

Es necesario establecer unas métricas o indicadores para poder medir con el tiempo la buena marcha y la ejecución del Plan Director de Seguridad de la Información. Por cada uno de los indicadores, tanto de objetivo como de rendimiento (KGI: Key Goal Indicator o KPI: Key Performance Indicator) es necesario detallar cómo, quién, cada cuánto se mide y cuál es nuestra meta.

Medición de los resultados

No se puede llegar a una meta si no se establecen unos objetivos y se lucha cada día por llegar a ellos. En cambio, también hay una parte que consiste en poner el freno de mano, quitar el automático y ver hasta dónde y de qué forma se ha llegado. En eso consiste medir esos resultados, no importa volver a dar marcha atrás, lo que importa es que el resultado final sea espléndido y, para ello, tenemos que dar nuestro 100% cada día para conseguir una buena estrategia en la seguridad digital de nuestra empresa.

¿Cuál es el resultado del Plan Director de Seguridad?

Todo esfuerzo tiene su recompensa y, aunque en el ámbito de la ciberseguridad la mayoría seamos principalmente novatos, nos dirigimos hacia la necesidad de provocar un impacto en relación con la seguridad.

Estamos acostumbrados a un mundo donde la basura siempre huele en casa ajena, en cambio, ¿quién está dispuesto a barrer hacia dentro de ella? Aquí comienza el cambio: en el darnos cuenta de que para cambiar algo hacia fuera, se tiene que empezar hacia dentro.  Y, por tanto, este será el resultado:

Un conjunto de objetivos establecidos y alineados con la estrategia corporativa

Un análisis de riesgos previo que justifique las necesidades a cubrir en el plan de acción.
Un conjunto de proyectos y actividades a poner en marcha para lograr los objetivos
El detalle de cada uno de los proyectos anteriores, especificando el alcance

El resultado final marca sin duda los beneficios: por qué se hace y cómo se hace para obtener el mejor ‘certificado de seguridad’ dentro de una empresa. ¿Cuáles son nuestros beneficios?:

Definición del nivel de seguridad que se desea alcanzar

Establecer las necesidades reales en materia de seguridad para la organización

Planificación de la implantación

Secuencia temporal y dependencia entre proyectos

Establecer las necesidades reales en materia de seguridad para la organización

Cuantificación de recursos y costes

No espere más, elabore su Plan Director de Seguridad

Acepto el envío de comunicaciones comerciales