29 May 2019 · Cybersecurity · Actualizada el 05 Jul 2019
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas

La seguridad de nuestra información necesita una planificación estratégica de la compañía

Objetivo del Plan Director de seguridad

Planificar de forma estratégica, es un proceso que ayuda a las Compañías a establecer metas y objetivos para lograr la consecución de los objetivos de negocio establecidos.

Paralelamente, la planificación estratégica, ayuda también a identificar los diversos recursos necesarios para alcanzar las metas y los objetivos.

Hoy por hoy, dentro de cualquier sector, la tecnología es una de las palancas más importantes para poder llegar a controlar muchos de los procesos de una organización.

Es una realidad, que cualquier fuga de información puede acarrear grandes pérdidas económicas y reputacionales a una compañía.
Desde este punto de vista, los ciberataques pueden llegar a cifrar un servidor y provocar la pérdida de toda la información, ya no solo de gestión, sino de la capa productiva de la organización, con afectación clara al ritmo productivo y al flujo comercial entre proveedor/cliente y cliente proveedor.

Es por esto que, una buena gestión de los posibles riesgos inherentes a la seguridad de cualquier compañía comienza con la elaboración de un Plan Director de seguridad.

Dentro del marco estratégico de una Compañía, disponer de un Plan Director de Seguridad, aporta a la misma, la visión de ¿cómo? de importante resulta la seguridad, tener claras funciones, responsables y responsabilidades derivadas de su cumplimento, y cómo en todo este proceso, ha de estar involucrada toda la compañía, para asegurar el cumplimiento y éxito de este.

Sin olvidar que paralelamente, una estrategia entorno a la Seguridad de la Información y un Plan Director de Seguridad ayudarán a la Compañía a identificar y mitigar los diversos riesgos a los que se enfrentan los diferentes y variados activos de información que posee la compañía consiguiendo garantizar la confidencialidad, integridad y disponibilidad de mismos.

Objetivo del Plan Director de seguridad: administración de riesgos de seguridad efectiva y su evolución.

Como todo plan, el Director de Seguridad no resulta diferente, así es que se precisa una fase previa de auditoria, en ella, se conseguirá:

  • Evaluar el entorno, identificando los riesgos actuales.
  • Identificar las áreas de alto riesgo de la Compañía, según la gravedad del impacto y la probabilidad de que ocurra (incluido el examen de los recursos técnicos, tales como los sistemas de seguridad electrónicos).

Tras el proceso de consultoría, no hemos de perder el foco en que nuestro objetivo final, es el de diseñar y elaborar un plan que permita aportar una batería de acciones, en las que establecer prioridades, estimar costes de cara a la generación de presupuestos para finalmente proceder a implementar medidas de mitigación de riesgos que puedan adaptarse a las necesidades de la organización recogidas en el Plan Director de Seguridad.

Los cuatro componentes principales para desarrollar un Plan Director de seguridad incluyen:

  1. Definición de activo:
    Dentro de esta definición, se establecerán prioridades en los mismos; puesto que resulta materialmente imposible proteger todos contra todo; así es que el nivel de protección irá aparejado a la clasificación por criterios de importancia que la Compañía aplique a cada uno de los activos.
  2. Evaluación de amenazas:
    Incluyendo en este apartado la identificación y el análisis de amenazas potenciales contra la Compañía; así como la clasificación de los posibles ataques o fallos la cual, generalmente responde a criminales, naturales o accidentales.
  3. Análisis de las debilidades
    Apartado en el que se procede establecer una relación entre activos y amenazas para posteriormente proponer el método o los métodos de compromiso de estos.
    Se procede al análisis del programa de seguridad existente para identificar cualquier debilidad física, operativa y de procedimiento que pueda existir en el mismo, para seguidamente identificar posibles contramedidas que podrían implementarse para minimizar la probabilidad de incidente.
    En este punto, hemos de ser capaces de desarrollar un perfil que defina las amenazas generales que pueden afectar a la Compañía; así como un perfil que categorice las amenazas como altamente probables, posibles o improbables.
  4. Medidas de seguridad
    Seleccionar las idóneas para su implementación; mediante un proceso destinado a canalizar recursos para proteger los activos más vitales contra las amenazas más probables.
    Las medidas de seguridad para un Plan Director de seguridad integral generalmente tratan lo siguientes aspectos:

    • Los elementos de una infraestructura
    • Elementos operacionales
    • Sistemas de seguridad electrónica
    • Políticas, procedimientos y certificaciones

Fases para desarrollar un Plan Director de seguridad

Contando con un Plan Director de Seguridad toda Compañía, debiera tener capacidad de elaborar una guía corporativa para la implantación coordinada de las medidas de seguridad asociadas a la reducción y mitigación de los riesgos asociados.

Además de disponer de un catálogo de proyectos para programar y ejecutar, con un coste definido, el cual permitirá realizar unos presupuestos adaptados a los mismos.

La programación y ejecución de la batería de proyectos proporcionarán a la Compañía, un inmediato retorno a través de la optimización y el aumento de los parámetros de seguridad, generando confianza ya no solo antes los propios empleados; sino también ante los clientes.

Con el trabajo sobre estas 4 líneas y después del análisis y evaluación de los riesgos y el grado de madurez tecnológica de la compañía, seremos capaces de identificar medidas de seguridad y aspectos relativos a las mismas existentes y aplicadas en las compañías.

Seguidamente seremos capaces de establecer y definir una batería de proyectos de mejora en base a las debilidades detectadas, priorizando los mismos de cara a su ejecución, estableciendo una matriz de coste frente a prioridad.

Infografia plan directos de seguridad

Conclusión

Las Compañías, han de entender que, dentro de sus planes estratégicos, es prioritario para ellas invertir tiempo en la elaboración y definición de un Plan Director de Seguridad, asegurándose a través del mismo.

Las organizaciones deben invertir una cantidad adecuada de tiempo en la construcción de un Plan Director de Seguridad el cual ha de asegurar una escalabilidad futura de la Compañía tanto en servicios, como en infraestructuras, garantizando la confidencialidad, integridad, disponibilidad y confiabilidad de sus activos considerando las amenazas internas emergentes y las amenazas externas existentes y futuras.

Para asegurarnos el éxito ya no solo en la elaboración; sino también en la ejecución del plan, es imprescindible que la Compañía establezca el mismo nivel de importancia a todos los elementos que han de intervenir en el proceso, los cuales podríamos lista como personas, procesos y tecnología.

Más artículos relacionados

Tendencias y herramientas de Ciberseguridad

11 Feb 2019 · Cybersecurity

¿Por qué las herramientas de ciberseguridad son importantes en las organizaciones?

Los fraudes informáticos han aumentado cerca de un 47% desde el 2011 al 2018 y son ya el séptimo delito más común. Las herramientas de ciberseguridad ayudan a las organizaciones a llevar un control y una seguridad de todos los datos de la compañía. Es algo que todas las empresas...
Leer más
sistema de gestión de eventos e información de seguridad

02 Oct 2018 · Cybersecurity

¿Qué es un sistema de gestión de eventos e información de seguridad (SIEM)?

Es una realidad, que la ciberdelincuencia está en auge, los ataques que sufren empresas de todo tipo a nivel mundial cada vez son más numerosos y de mayor sofisticación si cabe, lo cual hace casi imposible poder combatirlos y minimizar su impacto en la sociedad. Ataques que hace no muchos...
Leer más
Cómo afectará la nueva ley de protección de datos

05 Mar 2018 · Blog

GDPR o RGPD: Cómo afectará la nueva ley de protección de datos

Jornada GDPR en CIC sobre la nueva ley de protección de datos Desde CIC nos complace comunicar que junto a Tech Data y Microsoft estamos volcados en la organización de una jornada divulgativa relacionada con el GDPR y que se celebrará en nuestras instalaciones el próximo 15 de marzo. Para conocer más...
Leer más