¿Qué es un Plan Director de Seguridad y cómo lo pongo en marcha?
Plan director de seguridad
El plan director de seguridad consiste en un conjunto de proyectos que se elaboran con el fin de manejar y garantizar la seguridad de la información de la organización, mediante la reducción de los riesgos a los que se encuentran expuestos los sistemas informáticos, hasta conseguir un nivel aceptable.
El plan director de seguridad tiene que partir de un análisis de la situación inicial de la organización en materia de seguridad informática y debe, además, estar alineado con los objetivos estratégicos de la empresa.
El plan director de seguridad de la información, además, se incluye una definición de su alcance, así como las obligaciones y buenas prácticas de seguridad que tiene que cumplir tanto los trabajadores de la organización como los colaboradores externos.
Objetivos generales del plan director de seguridad
Los principales objetivos generales de este tipo de planes se pueden agrupar en tres puntos clave:
- Evaluar la situación inicial y el entorno, para identificar los riesgos sobre la seguridad de la información.
- Identificar las áreas de la organización que se encuentran más expuestas a estos riesgos, en función de la gravedad del impacto y la probabilidad de que suceda.
- Adoptar las medidas necesarias para minimizar los posibles estos riesgos.
¿Qué beneficios consigue la empresa que tiene el plan director de seguridad?
Elaborar y adoptar un plan director de seguridad informática puede aportar una serie de beneficios a las organizaciones. El primero es conocer las áreas de la empresa que se encuentra más expuestas a posibles ataques, filtraciones de seguridad o situaciones imprevistas.
Conocer los riesgos a los que los sistemas informáticos de la empresa se encuentran expuestos, se facilita la creación e implantación de las medidas de seguridad que se necesitan para prevenirlos e incluso evitar algunos de ellos. Así como tener preparados planes y medidas de contingencia en caso de que sucedan problemas relacionados con estos riesgos.
El plan director de seguridad se convierte así en una guía para las organizaciones, en la que se marcan los tiempos para implantar las medidas de seguridad necesarias para minimizar los riesgos. Y, además, sirve para calcular los costes que se deriva de la implementación de las medidas y elaborar así un prepuesto ajustado.
¿Por qué es importante contar con un plan director de seguridad?
Hasta ahora hemos hablado de riesgos para la seguridad de la información de manera muy abstracta. Es el momento de concretar el tipo de situaciones que se pueden dar en la organización que justifiquen la elaboración de un plan director de seguridad:
- Sufrir los efectos de un virus en los equipos o la red de la empresa.
- Perder datos o incapacidad de recuperar la información, porque no tenemos copias de seguridad.
- Perder unidades externas de almacenamiento que contienen información sensible.
- Un ataque de denegación de servicios en nuestra página web.
- Caída de servidores que impida la conexión a internet o el uso de algún otro servicio en línea.
- Preguntarnos si sabemos los riesgos a los que se expone la organización ante algún tipo de ataque informático o fallo del sistema.
- Es necesario gestionar la información de la organización mediante los dispositivos móviles suministrados a los empleados.
- La plantilla desempeña su labor en la modalidad de teletrabajo y los riesgos que entrañan a la seguridad de la información.
- Establecer si el soporte informático tiene que ser interno o realizado mediante un servicio externo.
Pasos fundamentales para implementar un plan director de seguridad en una organización
Ahora que ya sabemos lo que es un plan director de seguridad y por qué es importante contar con él, vamos a ver cómo implementarlo.
Pero antes, no podemos perder de vista los siguientes elementos:
- El tamaño de la empresa
- Su madurez en el ámbito tecnológico
- El sector al que pertenece
- La legislación que regule su actividad
- El tipo de información que trata
- El alcance del proyecto
- Otros elementos de la organización
Para elaborar e implementar el plan director de seguridad se siguen 6 fases, que son cíclicas, puesto que, como nos indica el INCIBE, este plan se basa en la mejora continua, por lo que, al completar las fases, volveremos al principio. Esto no quiere decir tengamos que elaborar un plan director de seguridad todos los años, ya que lo normal es que tengan una vigencia de 2 a 4 años, dependiendo del tipo de organización, la información que maneja, los sistemas, el sector al que pertenece y si se producen cambios significativos durante este tiempo.
Software para la seguridad de la información
Hay numerosas herramientas para la determinación de los riesgos de activos de la información, pero, independientemente de la metodología o la herramienta que se utilice, el resultado debería conformar una lista de los riesgos correspondientes a los posibles impactos.
Esto permite categorizar los riesgos e identificar cuáles deberían ser tratados exhaustivamente. Se debe escoger, en base a los resultados obtenidos, cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y por encima no lo será y se tomará alguna decisión al respecto.
La Plataforma Tecnológica ISOTools está elaborada para ser capaz de desarrollar cada una de estas indicaciones en la implantación de un SGSI de ISO27001, y llevar a cabo una gestión eficaz y eficiente del mismo.