Las últimas fases que debemos tratar al elaborar nuestro Plan Director de Seguridad son:

• 4.Definir proyectos e iniciativas
• 5.Aprobación del Plan Director
• 6.Puesta en marcha

4. Definición de proyectos e iniciativas.

A partir de la información recabada hasta este momento, debemos definir las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que nuestra organización requiere.

Dado que el análisis realizado incluye diferentes ámbitos como Recursos Humanos, Dirección, Mantenimiento, Jurídico, etc., las iniciativas para subsanar las deficiencias detectadas también serán de distinta índole:

• 1. En primer lugar, definiremos las iniciativas dirigidas a mejorar los métodos de trabajo actuales, para que contemplen los controles establecidos por el marco normativo y regulatorio.
• 2. En segundo lugar, pondremos en marcha un conjunto de acciones relacionadas con los controles técnicos y físicos cuya ausencia o insuficiencia hemos detectado.
• 3. En tercer lugar, definiremos la estrategia a seguir así como los proyectos más adecuados para gestionar los riesgos por encima de nuestro riesgo aceptable.

En la medida de lo posible, debemos estimar el coste de las iniciativas propuestas en términos temporales y económicos, contemplando los recursos materiales como humanos necesarios, tanto a nivel interno como externo.

Clasificar y priorizar los proyectos a realizar

Una  vez  identificadas  las  acciones,  iniciativas  y  proyectos,  debemos  clasificarlas  y priorizarlas. 

Es  recomendable  agrupar  las  iniciativas  o  dividir  las propuestas para homogeneizar el conjunto de proyectos que hemos definido.

A la hora de clasificar las iniciativas podemos considerar como criterio el origen de las mismas   (es   decir,   derivadas   de   la evaluación   del   cumplimiento   normativo   y regulatorio,   análisis   técnico   o   análisis   de   riesgos);   el   tipo   de   acción   (técnica, organizativa, regulatoria, etc.).

Sin embargo, con independencia de que consideremos estos criterios, es conveniente organizar los proyectos atendiendo al esfuerzo que requieren y a su coste temporal.

De este modo se establecen proyectos a corto, medio y largo plazo.

Adicionalmente,  es  muy  aconsejable  que  creemos  un  grupo  que  reúna  aquellos proyectos  cuya  consecución  requiere  poco  esfuerzo  pero  su  resultado  produce mejoras sustanciales en la seguridad. Tradicionalmente este tipo de iniciativas reciben el nombre de «quick wins»

5. Aprobar el Plan Director de Seguridad.

En  este  punto, ya dispondremos  de  una  versión  preliminar  del  Plan  Director  de Seguridad.

Este plan debe revisarlo y aprobarlo la Dirección

Es posible que al revisar el Plan Director de Seguridad haya que modificar su alcance, duración o la prioridad de algunos proyectos. Si fuera preciso, el proceso de revisión se  repetirá  cíclicamente  hasta  disponer  de  una  versión  final  aprobada  formalmente por la Dirección.

Una vez disponible la versión final aprobada por la Dirección, es conveniente que ésta traslade a todos los empleados de la organización (mediante reunión del director con todos  los  empleados  o  mediante  correo  electrónico)  el  respaldo  al  Plan  Director  de Seguridad,  y  la  importancia  del  deber  de  colaborar  de  toda  la  organización  en  la implantación del mismo.

6. Puesta en marcha.

Una vez aprobado por la Dirección, el Plan Director de Seguridad marca el camino a seguir para alcanzar el nivel de seguridad que nuestra organización necesita. Como si de un proyecto más se tratara, cada organización puede emplear la metodología de gestión de proyectos que considere oportuno para llevarlo a cabo.

A continuación se indican una serie de aspectos cuya consideración favorecerá el éxito del proyecto y la consecución de los objetivos establecidos:

• Al  inicio  del  proyecto,  debemos  llevar  a  cabo  una presentación  general del proyecto  a  las  personas  implicadas,  haciéndoles  partícipes  del  mismo  e informándoles de cuáles son los trabajos y los resultados que se persiguen.
• Asignar   Responsables  / coordinadores de  proyecto  a   cada  uno  de   los proyectos establecidos y dotarlo de los recursos necesarios. Dependiendo de la envergadura del proyecto, puede ser necesario formar un Comité de Gestión que se encargue de la supervisión del mismo.
• Establecer  la periodicidad con  la  que  se  debe  llevar  a  cabo  el seguimiento individual de los proyectos así como el seguimiento conjunto del Plan Director de   Seguridad.   Al   respecto,   cabe   señalar   que   aquellos   cambios   en   la organización  o  en  el  entorno  de  la  misma  que  puedan  modificar  el  enfoque estratégico,   requerirán   que   revisemos   igualmente   el   Plan Director   de Seguridad,  a  fin  de  confirmar  que  sigue  siendo  válido  y  consecuente  con  la estrategia general de la organización.
• A medida que vayamos alcanzado los hitos previstos, debemos confirmar que las  deficiencias  identificadas  en  las  auditorías  o  en  el análisis  de  riesgos  han sido subsanadas.

Siempre debemos tener presente que un Plan Director de Seguridad, se basa en la mejora continua. Por tanto cuando hayamos finalizado debemos comenzar de nuevo el ciclo.

La entrada ELABORAR UN PDS. FASES 4, 5 y 6 se publicó primero en Gestiona Abogados.

Análisis de riesgos

Paralelamente al desarrollo de los trabajos de auditoría, es necesario que realicemos un análisis de riesgos a los que está expuesta nuestra organización.

El proceso para realizar un análisis de riesgos consta de los siguientes pasos:

1.Identificar los activos de información de nuestra organización, cada uno de los cuales estará expuesto a unas amenazas determinadas y tendrá unas vulnerabilidades asociadas.

Un servidor web puede estar expuesto a una denegación de servicio y tener como vulnerabilidad poca tolerancia a una carga de tráfico excesiva.

2. Del paso anterior, que nos describe el estado del activo, obtenemos el riesgo intrínseco. Es decir, el riesgo al que está expuesto el activo «por defecto» antes de la aplicación de los controles específicos.

3. En el paso siguiente, determinamos la probabilidad de materialización de un riesgo intrínseco, que dará como resultado un impacto, es decir, las consecuencias que tiene para nuestra organización la materialización de la amenaza.

4. A continuación, debemos identificar aquellos riesgos que, por su probabilidad, impacto o ambos, no son aceptables para nuestra organización. Esta decisión debemos tomarla de acuerdo a nuestra estrategia corporativa y en función de los riesgos que estemos dispuestos a asumir.

Para aquellos riesgos que no sean aceptables, debemos proponer diferentes iniciativas para la implantación de controles o salvaguardas, que tendrán un coste asociado.

En algunos casos, este coste es determinante para escoger controles menos eficaces pero con un menor coste o para asumir el riesgo debido al alto coste del control mitigante.

5. Como resultado de la aplicación de los controles, obtendremos el riesgo residual del activo, que nos indicará el grado de exposición del activo a las amenazas después de haber implantado los controles seleccionados así como las consecuencias de la materialización de la amenaza.

Tendremos en cuenta que los elementos y valores anteriores son dinámicos y podrán cambiar a medida que nuestra infraestructura evolucione, se añadan nuevos activos, ofrezcamos nuevos servicios, surjan nuevas amenazas o apliquemos unos controles determinados.

La sustitución de un sistema de copias tradicional, por un sistema de replicación de datos en diferido, puede eliminar riesgos de disponibilidad pero incrementar los riesgos de disponibilidad e integridad de los datos, al propagarse éstos en la réplica de manera automática.

También podemos crear nuestra propia metodología específica a partir de las existentes. En este sentido, puede resultar interesante adaptar diversas metodologías para obtener una que se adapte a la naturaleza de nuestra organización.

Nivel de riesgo aceptable

Tras la identificación de los riesgos, debemos establecer y documentar el nivel de riesgo aceptable: el valor umbral que determina los riesgos que deben ser tratados y los riesgos que son asumibles.

¿Cómo podemos tratar un riesgo?

A través de cuatro posibles estrategias:

•  Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro.
•  Eliminar el riesgo. Eliminando un proceso que ya no es necesario.
•  Asumir el riesgo, siempre justificadamente. El coste de instalar un grupo electrógeno o disponer de un centro de respaldo en caso de interrupción del suministro eléctrico puede ser demasiado alto y por tanto, puede ser necesario asumir el riesgo durante varias horas, a pesar de su impacto.
•  Implantar medidas para mitigarlo. Instalando un sistema de alimentación ininterrumpida o SAI para hacer frente a los cortes de electricidad más breves, o tener algún tipo de acuerdo recíproco con otra compañía para en caso de que se produzca un incidente grave poder usar sus servidores o instalaciones.

En resumen, el análisis de riesgos desarrollado en el contexto del Plan Director de Seguridad está enfocado principalmente a identificar aquellos riesgos que exceden unos límites aceptables para la organización.

Todos los trabajos desarrollados hasta el momento están fuertemente relacionados y en todos los casos requieren de la intervención de múltiples personas que conozcan la organización.

En este sentido, nuevamente destacamos la importancia de contar con el apoyo de la Dirección para garantizar el éxito del proyecto.

En nuestro próximo post finalizaremos nuestro Plan Director de Seguridad con las últimas fases del mismo:

• 4.Definir los proyectos e iniciativas
• 5.La Aprobación del Plan Director
• 6.Puesta en marcha del mismo.

La entrada ELABORAR UN PDS. FASE 3 se publicó primero en Gestiona Abogados.

OBJETIVOS DEL PLAN DIRECTOR.

Establecer los objetivos

Establecer cuáles son nuestros objetivos a cumplir, nos permitirá determinar los ámbitos a mejorar e identificar los aspectos en los que debemos focalizar nuestros esfuerzos.

En relación a los estándares relevantes que debemos tener en cuenta, deberíamos considerar:

• Reglamento General de Protección de Datos (RGPD) en general.
• ePCI-DSS si gestionamos datos de tarjetas de crédito
• COBIT si queremos optar por guías de buenas prácticas alternativas a la norma ISO 27002
• Esquema Nacional de Seguridad, si trabajamos habitualmente con información de la Administración Pública o les proporcionamos servicios.

Análisis técnico de seguridad

El análisis técnico de la seguridad queda cubierto mediante la valoración del grado de implantación y madurez de los controles más relacionados con los sistemas de información empleados por la organización para almacenar y gestionar su información.

Además de temas de gestión y de evaluación de controles en base a entrevistas y percepciones, la realidad del estado de seguridad de una organización se evidencia mediante la comprobación y valoración de aspecto tales como:

•  Si disponemos de antivirus y cortafuegos.
•  Si nuestra página web es segura.
•  Si la red está correctamente segmentada, que impida por ejemplo que desde Internet sean visibles los equipos de los usuarios o los servidores internos.
•  Si existen controles de acceso físicos a las áreas con información sensible: salas de servidores, despachos, área de Recursos Humanos, etc.

Sin duda, estas pruebas nos permiten identificar deficiencias en la seguridad técnica de la organización, y a través de ellas, comprobamos la eficacia de los controles de seguridad lógica existentes en la organización: cortafuegos, antivirus, sistemas de detección de intrusos, niveles de parcheado, política de contraseñas, etc.

El alcance y modalidad de esta auditoría puede variar en función de la estrategia de negocio, el ámbito de nuestra empresa y nuestros antecedentes.

Así, una empresa de comercio electrónico puede estar interesada en la seguridad de su página web, mientras que una empresa con otros riesgos diferentes en cuanto a fuga de información puede estar más interesada en mejorar el proceso de alta y baja de empleados, políticas de buenas prácticas del uso del correo corporativo, cultura en seguridad o los controles de acceso, entre otros.

Debido a que se trata de un trabajo especializado, es habitual que la organización opte por externalizar el análisis técnico de la seguridad.

En estos casos debemos prestar especial atención a la coordinación del equipo externo con el personal propio de nuestra organización, para establecer el tipo de pruebas a realizar y el método de trabajo que se utilizará.

Por norma general, debemos requerir que no se lleven a cabo pruebas «agresivas», en cuanto a carga de trabajo de sistemas o redes, que pudieran afectar a la disponibilidad de los servicios TIC.

Por contra, si optamos por llevar a cabo estas pruebas de forma interna, es fundamental acotar el periodo de realización y que el personal TIC prepare, previamente, procedimientos de recuperación sobre los entornos que serán evaluados, con el fin de minimizar el impacto en el negocio.

Es recomendable que se lleven a cabo auditorías técnicas tanto desde el exterior de la organización como desde el interior.

De este modo podremos ponernos en el papel tanto de un atacante interno, por ejemplo un empleado malintencionado, como en el de un atacante externo, por ejemplo un ciberdelincuente.

El próximo día continuaremos con la elaboración del Plan Director de Seguridad en la tercera fase: Análisis de Riesgos.

La entrada ELABORAR UN PDS. FASE 2 se publicó primero en Gestiona Abogados.

ANÁLISIS PREVIO

Para la realización de un buen Plan Director de Seguridad, en adelante PDS, que se alinee con los objetivos estratégicos de la empresa, es fundamental que éste incluya una definición del alcance, e incorpore las obligaciones y buenas prácticas de seguridad, que deberán cumplir tanto los trabajadores de la organización, como los terceros que colaboren con ella.

Por eso, los proyectos que componen el Plan Director de Seguridad varían en función de diversos factores:

• Tamaño de la organización
• Nivel de madurez en tecnología
• Sector al que pertenece la empresa
• Contexto legal que regula las actividades de la misma
• Naturaleza de la información que manejamos
• Alcance del proyecto
• Otros aspectos organizativos

En consecuencia, estos factores determinarán la magnitud y complejidad del Plan Director de Seguridad resultante.

Conocer la situación actual de la organización.

La primera fase consiste en conocer la situación actual de nuestra empresa.

Para ello debemos llevar a cabo distintos análisis considerando aspectos técnicos, organizativos, regulatorios y normativos, entre otros.

Esta es la fase más importante y compleja de la elaboración del Plan Director de Seguridad, debido a la participación de diferentes personas y a la importancia que tiene que la información de la organización necesaria para conocer y evaluar su situación actual, sea fiable, completa y actualizada.

En esta fase es fundamental contar con el apoyo de la Dirección. Éste es un aspecto esencial para  garantizar el éxito del Plan Director de Seguridad, dado que este respaldo garantizará, no sólo que disponemos de suficientes recursos, sino que el enfoque del proyecto está alineado con la filosofía y estrategia de la empresa.

Actividades previas

Antes de comenzar con el primer paso del análisis, debemos realizar varias actividades previas:

1.Acotar y establecer el alcance

Es esencial definir claramente el alcance sobre el que vamos a desarrollar el PDS. Este alcance determinará la magnitud de los trabajos y también cuál será el foco principal de la mejora tras la aplicación del PDS.

En relación con los posibles alcances que podemos escoger, pueden estar: un único departamento (habitualmente el de TIC), un conjunto de procesos críticos, o unos sistemas específicos.

Claro que lo recomendable es determinar aquellos activos y procesos de negocio críticos, aquellos sin los que la empresa no puede subsistir, y utilizar éstos como alcance del PDS.

De esta manera, la ejecución del PDS tendrá un impacto más positivo sobre la seguridad de la información de la organización.

Sin duda, si el proceso más crítico de nuestra empresa está relacionado con el proceso de facturación, podemos limitar el alcance a éste: sistemas y equipos implicados, personal, aplicaciones necesarias, riesgos específicos, etc.

De todos modos, aunque las mejoras serán específicas dentro de este proceso, nos permitirá profundizar en el resultado y partir de un punto para extenderlo a otros departamentos o procesos.

2.Responsables de la gestión de los activos

Los activos de la organización es todo aquello que tiene valor para ella.

Resulta que los activos de información son todos los procesos, personas, equipos, instalaciones, software o ficheros de todo tipo que la contienen, procesan o manejan de alguna forma.

Por eso es importante definir las responsabilidades sobre los activos de la organización: equipos informáticos, dispositivos móviles, aplicaciones, instalaciones (CPD), servicios e información.

Esto nos facilitará hacer un seguimiento de la ejecución de las iniciativas implantadas, así como del análisis y recogida de la información.

Dichas responsabilidades deben estar asociadas a perfiles específicos, ya sea una persona o un comité formado por varias personas.

De todos modos, en el caso de empresas de pequeño tamaño, varios de estos roles pueden ser asumidos por la misma persona (el propietario del activo en cuestión).

No obstante, al menos, se deben definir los siguientes perfiles de responsables:

• De Seguridad, con la finalidad de hacer un seguimiento y coordinar todas las iniciativas puestas en marcha por la organización en materia de Seguridad de la Información.
• De Información, especialmente cuando tratamos con información específica que es gestionada a través de diferentes entornos.
• De ámbito, en el caso de que pongamos en marcha iniciativas en el ámbito lógico, físico, legal y organizativo.

Los controles de seguridad física pueden ser responsabilidad del responsable del área de Mantenimiento o Servicios Generales, mientras que los aspectos legales serán responsabilidad del responsable del área Jurídica.

Sin embargo, todos estos responsables deberán ser coordinados por el Responsable de Seguridad, garantizando su correcta ejecución.

3.Valoración inicial.

a) Controles

Un buen comienzo implica realizar una valoración preliminar de la situación actual de la organización para determinar los controles y requisitos que son de aplicación.

En la jerga de Gestión de la Seguridad se llaman controles a las medidas de todo tipo (técnico, legal u organizativo) que se implementan para contrarrestar los riesgos de seguridad.

Por norma general, la evaluación de los aspectos normativos y regulatorios la realizaremos tomando como referencia el estándar internacional ISO/IEC 27002:2013, el cuál reúne un Código de Buenas Prácticas para la Gestión de la Seguridad de la Información.

Esta norma propone controles de seguridad que abarcan cuestiones técnicas, legales y organizativas.

Los controles relacionados con la gestión de copias de seguridad, requerimientos legales como cumplir con el RGPD, instalación de cortafuegos o la definición de un plan de continuidad del negocio.

El conocimiento de esta norma es imprescindible para el desarrollo adecuado de un Plan Director de Seguridad.

No es necesaria la implementación de todos los controles que se indican en la norma 27002:2013, sino sólo aquellos que sean de aplicación a nuestra empresa.

• Si no desarrollas aplicaciones, no tendremos que valorar aquellos controles de esta norma que hagan referencia al desarrollo seguro de aplicaciones.
• Si no proporcionas un servicio de comercio electrónico, no será necesario que apliquemos los controles relacionados con la transacción de datos personales en la compra-venta online.
• Por el contrario sí será necesario aplicar medidas o controles relacionados con las copias de seguridad o el proceso de altas y bajas de personal, ya que éstos serán de aplicación en cualquier organización.

b) Grado de madurez

Después de analizar los controles según la norma, elaboraremos un documento con los controles o medidas de seguridad que se aplican en la organización y su grado de madurez, es decir, si están implantados y en qué estado están.

A este documento lo llamaremos «Documento de Selección de Controles». En la norma se refieren al mismo como «Declaración de Aplicabilidad» o «SOA» por sus siglas del inglés Statement of Aplicability».

A modo orientativo, podemos partir de una escala de madurez de cinco niveles:

1. Inexistente. No se lleva a cabo el control de seguridad en los sistemas de información.

Aplicándolo a la realización de copias de seguridad en la organización, en este nivel de madurez no se realizarían.

2.Inicial. Las salvaguardas existen, pero no se gestionan, no existe un proceso formal para realizarlas. Su éxito depende de la buena suerte y de tener personal de alta calidad.

Aplicándolo al ejemplo de las copias de seguridad, en este nivel de madurez se realizan sin procedimiento y sin planificación.

3.Repetible. La medida de seguridad se realiza de un modo totalmente informal (con procedimientos propios, informales). La responsabilidad es individual. No hay formación.

En nuestro caso de copias de seguridad, las copias sí se realizan con procedimientos y planificación ad-hoc.

4.Definido. El control se aplica conforme a un procedimiento documentado, pero no ha sido aprobado ni por el Responsable de Seguridad ni el Comité de Dirección.

5.Administrado. El control se lleva a cabo de acuerdo a un procedimiento documentado, aprobado y formalizado.

6. Optimizado. El control se aplica de acuerdo a un procedimiento documentado, aprobado y formalizado, y su eficacia se mide periódicamente mediante indicadores.

ANÁLISIS DE CUMPLIMIENTO

Para llevar a cabo el análisis de cumplimiento y situación debemos:

1.Realizar reuniones con el personal de los distintos departamentos de la organización para evaluar el cumplimiento de los controles de seguridad implantados.

Aunque la mayor parte de los controles corresponden al departamento TIC, también es necesario analizar procesos de otras áreas.

Habitualmente se incluyen los departamentos de Personal, Jurídico, Administración, Servicios Generales y, en caso de existir, el departamento de Calidad.

Para poder desempeñar adecuadamente las tareas de recopilación de información, es vital que la Dirección traslade a cada una de las áreas y sus responsables la importancia del proyecto, los beneficios derivados de su implantación así como la implicación que se espera de ellos en todas las fases del proyecto.

2. Los estándares y normas internacionales en materia de seguridad de la información incluyen requisitos para implantar medidas de control de acceso físico y seguridad medioambiental.

Por lo tanto, también será necesario llevar a cabo una inspección in-situ de las instalaciones.

3. Registrar todos los problemas y evidencias que vayamos detectando, en relación a los requisitos de seguridad de aplicación y que están prefijados, en documentos que luego podamos contrastar y consultar.

Por norma general, es muy útil emplear formularios y listas de verificación (checklists) que incluyen los aspectos a revisar y comprobar.

4. Una vez dispongamos de toda la información, debemos analizar los resultados y situar el cumplimiento de cada control en una escala, por ejemplo entre el 0 al 5, según el modelo de madurez, donde 0 es la ausencia total del control, y el 5 la aplicación optimizada del control.

Por ejemplo, trasladando la escala a las copias de seguridad: el nivel 0 sería la ausencia de copias de seguridad, y el nivel 5 la realización de copias, existencia de procedimientos, pruebas de recuperaciones periódicas, análisis periódico de incidencias, etc.

Esta escala nos permitirá conocer la evolución en el tiempo del grado de seguridad de la organización.

El próximo día analizaremos la segunda fase del Plan Director de Seguridad: Los Objetivos del Plan.

Gestiona Abogados

La entrada ELABORAR UN PDS. FASE 1 se publicó primero en Gestiona Abogados.

En la elaboración del Plan Director de nuestra organización, hemos decidido clasificarlo en seis fases:

• 1.Análisis previo
• 2.Objetivos del Plan
• 3.Análisis de Riesgos
• 4.Definir proyectos e iniciativas
• 5.Aprobación del Plan Director
• 6.Puesta en marcha

Análisis previo

Para realizar el Plan Director de Seguridad (PDS) es necesario realizar un análisis previo, que debe estar basado en un análisis de riesgos donde se identifiquen las principales amenazas que afectan a la organización y el riesgo asociado a cada una de ellas, en función de la probabilidad y el impacto que tengan de materializarse.

En consecuencia, para mitigar el riesgo de estas amenazas, se deben establecer unos puntos de acción, concretados en proyectos y actividades que serán parte del plan director de seguridad o PDS.

Objetivos del Plan

Adicionalmente a lo anterior, es necesario entender las necesidades del negocio y mantener conversaciones con los responsables de las diferentes áreas de la organización, incluido el máximo nivel, para entender qué se espera de la función de seguridad y su aportación al negocio.

En efecto, esto nos ayudará a establecer los objetivos de seguridad de la información en la empresa.

Claro que en la identificación de los proyectos y actividades, es importante diferenciar entre los proyectos a largo plazo y los de corto plazo.

Es decir, que los proyectos a corto plazo nos ayudarán a obtener “quick wins”, que son muy buenos para mostrar a la Dirección de la organización la validez y el progreso del Plan Director de Seguridad o PDS.

Definición, coste y responsables

También es clave para el éxito del Plan Director o PDS definir el detalle de cada uno de los proyectos a realizar, indicando el coste asociado y la persona o departamento responsable de su consecución.

En caso contrario, será un documento a muy alto nivel que se olvidará con el tiempo.

Aprobación del Plan Director

Después de haber concretado detalles, proseguiremos con la aprobación del plan. El Plan Director o PDS debe ser aprobado por al máximo nivel posible dentro de la organización, como puede ser el Comité de Dirección o Consejo de Administración.

Por consiguiente, la aprobación del plan será fundamental para dotarlo, tanto de dotación presupuestaria, como de autoridad, una cosa tan importante como la otra.

Métricas y control

Una vez identificados los objetivos, así como los proyectos y actividades que ayuden a conseguirlo, es necesario establecer unas métricas o indicadores para poder medir con el tiempo la buena marcha y la ejecución del Plan Director de Seguridad de la Información o PDS.

Existen indicadores de consecución de objetivos (KGI=Key Goal Indicator) e indicadores de rendimiento (KPI=Key Performance Indicator).

Por cada indicador es necesario detallar cómo se mide, quien lo mide, cada cuanto se mide y una meta asociada.

Los KPIs son habilitadores o te dan una idea de cómo bien o mal se está haciendo para conseguir alcanzar la meta del KGI.

Por ejemplo, un KGI puede ser “número de incidentes de seguridad por malware” (cuya meta debe ser 0) y un KPI podría ser “porcentaje de PCs con antivirus” (cuya meta debe ser 100%).

En la medida que el KPI anterior se aproxime a su meta, el KGI también lo hará.

Resultados

Por lo tanto, el resultado del Plan Director será:

• Un conjunto de objetivos alineados con la estrategia de la empresa. A cada objetivo se le puede asociar un conjunto de indicadores, preferentemente KGIs, que nos den una idea del cumplimiento del objetivo.
• Un análisis de riesgos previo que justifique las necesidades que se van a cubrir con los proyectos identificados en el plan de acción.
• Un conjunto de proyectos y actividades a poner en marcha para la consecución de los objetivos anteriores. A cada proyecto se le puede asociar un conjunto de indicadores, preferentemente KPIs
• El detalle de cada uno de los proyectos anteriores, especificando las fases, las tareas, las fechas de compromiso, el responsable de cada actividad o tarea y el coste asociado.

Con todo lo anterior, el Plan Director de Seguridad de la Información será nuestra guía y herramienta estratégica a 2 o 3 años para fundamentar las acciones e inversiones realizadas en seguridad de la información.

La entrada ELABORAR UN PLAN DIRECTOR DE SEGURIDAD (PDS) se publicó primero en Gestiona Abogados.

Un  Plan Director de Seguridad es una herramienta que permite establecer una guía corporativa para la implantación coordinada de las medidas de seguridad asociadas a la reducción de riesgos.

Por lo tanto, el Plan Director de Seguridad suele ser realizado una vez concluido el análisis de riesgos.

En primer lugar es necesario identificar los activos y definir cómo se deben proteger, de manera que, en caso necesario, se permita la continuidad de la empresa.

Seguidamente, se deben identificar las amenazas, los problemas de seguridad y evaluar su impacto caso de llegar a producirse.

Posteriormente hay que evaluar los riesgos:

• se debe calcular la probabilidad de que pueda ocurrir un suceso
• determinar qué potencial tiene para causar un daño
• los costes, que pueden ir desde la pérdida de datos, la pérdida de clientes o la pérdida de confianza de los inversores.

Para finalizar se debe seleccionar un equipo que ayude a identificar las amenazas en todas las áreas de la empresa. 

El equipo debe ser multidisciplinar y deben integrarlo miembros de:

• El área de TIC
• Recursos Humanos
• Dirección de la empresa

En consecuencia, estos serán los responsables de crear una Política de Seguridad Informática que identifique los documentos asociados, normas, responsabilidades y una estructura organizativa.

¿PARA QUE SIRVE?

La evolución de las tecnologías de la información y comunicación nos ha permitido automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra organización.

Además, los recientes ataques de seguridad informática han llevada a muchas empresas a desarrollar sistemas de seguridad reforzados que intentan blindar su seguridad.

Es decir, que un plan director de seguridad TI es un plan proactivo que indica cómo actuar frente a múltiples escenarios. Es la clave para preparar a las empresas frente a posibles amenazas que puedan plantearse en un futuro.

¿COMO SE HACE?

Para garantizar la seguridad de la información del negocio, se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad.

¿Qué ocurriría si nuestra empresa se encontrase en alguna de las siguientes situaciones?

• Sufrimos los efectos de un virus informático y no sabemos cómo reaccionar.
• Se produce una pérdida de datos y no tenemos copias de seguridad o no podemos recuperar la información.
• Perdemos o extraviamos un disco duro portátil con información sensible.
• Nuestra página de comercio electrónico es el objetivo de un ataque de denegación de servicio, dejándola inoperativa.
• Se nos estropea algún servidor o elemento de red, que nos impide el uso del correo electrónico, la conexión a Internet o el uso de una aplicación crítica.

Frente a escenarios como los anteriores, surgen muchas dudas:

• ¿Debería externalizar el soporte informático de mi empresa?
• ¿Es seguro gestionar información corporativa en dispositivos móviles? ¿Hemos proporcionado y utilizado los recursos necesarios para ello?
• ¿Sabemos si las copias de seguridad funcionan? ¿estamos realizando copias de toda la información crítica para nuestra organización?
• Si sufrimos un incidente de seguridad informática, ¿conocemos los riesgos a los que está expuesta nuestra empresa?

En resumen, si las herramientas tecnológicas y la información que dan soporte a los servicios y procesos productivos, son de gran valor para nuestra organización, debemos empezar a pensar en poner en práctica un Plan Director de Seguridad.

¿POR DÓNDE EMPEZAR?

Cuando decidimos abordar la ciberseguridad es importante tener una planificación de las actividades a realizar, que cuente con el compromiso de la dirección.

Sin duda, este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para mejorar nuestro nivel seguridad en el mundo digital.

A esta planificación la llamaremos Plan Director de Seguridad.

Contendrá los proyectos que vamos a abordar, tanto técnicos, como de contenido legal y organizativos.

Así, habrá proyectos:

• de instalación de productos o de contratación de servicios
• para cumplir con las leyes de privacidad y comercio electrónico
• formar a los empleados
• poner en marcha procedimientos y políticas internas.

Dado que cada empresa es un mundo, tendremos que calcular nuestro particular nivel de seguridad, que será nuestro punto de partida, y fijarnos un objetivo de dónde queremos estar.

Este objetivo y los proyectos a aplicar siempre tendrán que estar alineados con las estrategias de negocio.

¿QUÉ VAMOS A PROTEGER?

Tenemos que preguntarnos:

• cómo haremos la prevención
• qué incidentes podríamos tener
• cómo nos preparamos para reaccionar, etc.

Fijaremos el punto de partida evaluando el riesgo que nos afecta y el que podemos tolerar.

El próximo día veremos un ejemplo de cómo elaborar nuestro Plan Director de Seguridad.

La entrada PLAN DIRECTOR DE SEGURIDAD PDS se publicó primero en Gestiona Abogados.