29 May 2019 · Ciberseguridad · Actualizada el 18 Nov 2021

La seguridad de nuestra información necesita una planificación estratégica de la compañía

Objetivo del Plan Director de seguridad

Planificar de forma estratégica, es un proceso que ayuda a las Compañías a establecer metas y objetivos para lograr la consecución de los objetivos de negocio establecidos.

Paralelamente, la planificación estratégica, ayuda también a identificar los diversos recursos necesarios para alcanzar las metas y los objetivos.

Hoy por hoy, dentro de cualquier sector, la tecnología es una de las palancas más importantes para poder llegar a controlar muchos de los procesos de una organización.

Es una realidad, que cualquier fuga de información puede acarrear grandes pérdidas económicas y reputacionales a una compañía.
Desde este punto de vista, los ciberataques pueden llegar a cifrar un servidor y provocar la pérdida de toda la información, ya no solo de gestión, sino de la capa productiva de la organización, con afectación clara al ritmo productivo y al flujo comercial entre proveedor/cliente y cliente proveedor.

Es por esto que, una buena gestión de los posibles riesgos inherentes a la seguridad de cualquier compañía comienza con la elaboración de un Plan Director de seguridad.

Dentro del marco estratégico de una Compañía, disponer de un Plan Director de Seguridad, aporta a la misma, la visión de ¿cómo? de importante resulta la seguridad, tener claras funciones, responsables y responsabilidades derivadas de su cumplimento, y cómo en todo este proceso, ha de estar involucrada toda la compañía, para asegurar el cumplimiento y éxito de este.

Sin olvidar que paralelamente, una estrategia entorno a la Seguridad de la Información y un Plan Director de Seguridad ayudarán a la Compañía a identificar y mitigar los diversos riesgos a los que se enfrentan los diferentes y variados activos de información que posee la compañía consiguiendo garantizar la confidencialidad, integridad y disponibilidad de mismos.

Objetivo del Plan Director de seguridad: administración de riesgos de seguridad efectiva y su evolución.

Como todo plan, el Director de Seguridad no resulta diferente, así es que se precisa una fase previa de auditoria, en ella, se conseguirá:

  • Evaluar el entorno, identificando los riesgos actuales.
  • Identificar las áreas de alto riesgo de la Compañía, según la gravedad del impacto y la probabilidad de que ocurra (incluido el examen de los recursos técnicos, tales como los sistemas de seguridad electrónicos).

Tras el proceso de consultoría, no hemos de perder el foco en que nuestro objetivo final, es el de diseñar y elaborar un plan que permita aportar una batería de acciones, en las que establecer prioridades, estimar costes de cara a la generación de presupuestos para finalmente proceder a implementar medidas de mitigación de riesgos que puedan adaptarse a las necesidades de la organización recogidas en el Plan Director de Seguridad.

Los cuatro componentes principales para desarrollar un Plan Director de seguridad incluyen:

  1. Definición de activo:
    Dentro de esta definición, se establecerán prioridades en los mismos; puesto que resulta materialmente imposible proteger todos contra todo; así es que el nivel de protección irá aparejado a la clasificación por criterios de importancia que la Compañía aplique a cada uno de los activos.
  2. Evaluación de amenazas:
    Incluyendo en este apartado la identificación y el análisis de amenazas potenciales contra la Compañía; así como la clasificación de los posibles ataques o fallos la cual, generalmente responde a criminales, naturales o accidentales.
  3. Análisis de las debilidades
    Apartado en el que se procede establecer una relación entre activos y amenazas para posteriormente proponer el método o los métodos de compromiso de estos.
    Se procede al análisis del programa de seguridad existente para identificar cualquier debilidad física, operativa y de procedimiento que pueda existir en el mismo, para seguidamente identificar posibles contramedidas que podrían implementarse para minimizar la probabilidad de incidente.
    En este punto, hemos de ser capaces de desarrollar un perfil que defina las amenazas generales que pueden afectar a la Compañía; así como un perfil que categorice las amenazas como altamente probables, posibles o improbables.
  4. Medidas de seguridad
    Seleccionar las idóneas para su implementación; mediante un proceso destinado a canalizar recursos para proteger los activos más vitales contra las amenazas más probables.
    Las medidas de seguridad para un Plan Director de seguridad integral generalmente tratan lo siguientes aspectos: 

    • Los elementos de una infraestructura
    • Elementos operacionales
    • Sistemas de seguridad electrónica
    • Políticas, procedimientos y certificaciones

Fases para desarrollar un Plan Director de seguridad

Contando con un Plan Director de Seguridad toda Compañía, debiera tener capacidad de elaborar una guía corporativa para la implantación coordinada de las medidas de seguridad asociadas a la reducción y mitigación de los riesgos asociados.

Además de disponer de un catálogo de proyectos para programar y ejecutar, con un coste definido, el cual permitirá realizar unos presupuestos adaptados a los mismos.

La programación y ejecución de la batería de proyectos proporcionarán a la Compañía, un inmediato retorno a través de la optimización y el aumento de los parámetros de seguridad, generando confianza ya no solo antes los propios empleados; sino también ante los clientes.

Con el trabajo sobre estas 4 líneas y después del análisis y evaluación de los riesgos y el grado de madurez tecnológica de la compañía, seremos capaces de identificar medidas de seguridad y aspectos relativos a las mismas existentes y aplicadas en las compañías.

Seguidamente seremos capaces de establecer y definir una batería de proyectos de mejora en base a las debilidades detectadas, priorizando los mismos de cara a su ejecución, estableciendo una matriz de coste frente a prioridad.

Infografia plan directos de seguridad

Conclusión

Las Compañías, han de entender que, dentro de sus planes estratégicos, es prioritario para ellas invertir tiempo en la elaboración y definición de un Plan Director de Seguridad, asegurándose a través del mismo.

Las organizaciones deben invertir una cantidad adecuada de tiempo en la construcción de un Plan Director de Seguridad el cual ha de asegurar una escalabilidad futura de la Compañía tanto en servicios, como en infraestructuras, garantizando la confidencialidad, integridad, disponibilidad y confiabilidad de sus activos considerando las amenazas internas emergentes y las amenazas externas existentes y futuras.

Para asegurarnos el éxito ya no solo en la elaboración; sino también en la ejecución del plan, es imprescindible que la Compañía establezca el mismo nivel de importancia a todos los elementos que han de intervenir en el proceso, los cuales podríamos lista como personas, procesos y tecnología.

Más artículos relacionados

La digitalización y la protección de datos, los retos para las empresas

27 Ene 2023 · Blog

Principales desafíos de las empresas de software en relación con la protección de datos personales

El cumplimiento del Reglamento General de Protección de Datos (RGPD) busca asegurar la privacidad de los datos personales (los que identifican o pueden identificar a una persona física).  En la “Resolución sobre la Privacidad por Diseño” (AEPD, 2019) se reconoce a la privacidad desde el diseño como un componente esencial...
Leer más
Uso en CIC de Microsoft Teams, la herramienta por excelencia que nos mantiene conectados mientras trabajamos en remoto.

25 Mar 2020 · Blog

¿Quieres saber cómo puedes potenciar la colaboración de tu equipo en un entorno de teletrabajo?

En estos momentos tan difíciles es cuando más necesitamos relacionarnos con otras personas y en el entorno empresarial ha ocurrido lo mismo. La distancia social que se ha impuesto para frenar la curva y luchar contra el Coronavirus ha hecho necesario que la mayoría de las empresas tengan que realizar...
Leer más
El Coronavirus está cambiando la forma en la que trabajamos. El teletrabajo se impone en la mayoría de las empresas - CIC Consulting Informático

20 Mar 2020 · Blog

El teletrabajo y la ciberseguridad

Muchas empresas han sabido responder con rapidez a esta situación de emergencia, pero a otras les ha llegado por sorpresa y están teniendo dificultades para poder desarrollar sus trabajos desde casa. El coronavirus va a ser la prueba de oro para demostrar que se puede trabajar sin estar presente de...
Leer más