Fases

En la elaboración del Plan Director de nuestra organización, hemos decidido clasificarlo en seis fases:

  • 1.Análisis previo
  • 2.Objetivos del Plan
  • 3.Análisis de Riesgos
  • 4.Definir proyectos e iniciativas
  • 5.Aprobación del Plan Director
  • 6.Puesta en marcha

Análisis previo

Para realizar el Plan Director de Seguridad (PDS) es necesario realizar un análisis previo, que debe estar basado en un análisis de riesgos donde se identifiquen las principales amenazas que afectan a la organización y el riesgo asociado a cada una de ellas, en función de la probabilidad y el impacto que tengan de materializarse.

En consecuencia, para mitigar el riesgo de estas amenazas, se deben establecer unos puntos de acción, concretados en proyectos y actividades que serán parte del plan director de seguridad o PDS.

Objetivos del PDS. Compliance, información, Riesgos, RGPD

Objetivos del Plan

Adicionalmente a lo anterior, es necesario entender las necesidades del negocio y mantener conversaciones con los responsables de las diferentes áreas de la organización, incluido el máximo nivel, para entender qué se espera de la función de seguridad y su aportación al negocio.

En efecto, esto nos ayudará a establecer los objetivos de seguridad de la información en la empresa.

Claro que en la identificación de los proyectos y actividades, es importante diferenciar entre los proyectos a largo plazo y los de corto plazo.

Es decir, que los proyectos a corto plazo nos ayudarán a obtener “quick wins”, que son muy buenos para mostrar a la Dirección de la organización la validez y el progreso del Plan Director de Seguridad o PDS.

Definición, coste y responsables

También es clave para el éxito del Plan Director o PDS definir el detalle de cada uno de los proyectos a realizar, indicando el coste asociado y la persona o departamento responsable de su consecución.

En caso contrario, será un documento a muy alto nivel que se olvidará con el tiempo.

Aprobación del Plan Director de Seguridad.

Aprobación del Plan Director

Después de haber concretado detalles, proseguiremos con la aprobación del plan. El Plan Director o PDS debe ser aprobado por al máximo nivel posible dentro de la organización, como puede ser el Comité de Dirección o Consejo de Administración.

Por consiguiente, la aprobación del plan será fundamental para dotarlo, tanto de dotación presupuestaria, como de autoridad, una cosa tan importante como la otra.

Métricas y control

Una vez identificados los objetivos, así como los proyectos y actividades que ayuden a conseguirlo, es necesario establecer unas métricas o indicadores para poder medir con el tiempo la buena marcha y la ejecución del Plan Director de Seguridad de la Información o PDS.

Existen indicadores de consecución de objetivos (KGI=Key Goal Indicator) e indicadores de rendimiento (KPI=Key Performance Indicator).

Por cada indicador es necesario detallar cómo se mide, quien lo mide, cada cuanto se mide y una meta asociada.

Los KPIs son habilitadores o te dan una idea de cómo bien o mal se está haciendo para conseguir alcanzar la meta del KGI.

Por ejemplo, un KGI puede ser “número de incidentes de seguridad por malware” (cuya meta debe ser 0) y un KPI podría ser “porcentaje de PCs con antivirus” (cuya meta debe ser 100%).

En la medida que el KPI anterior se aproxime a su meta, el KGI también lo hará.

PDS: PLANIFICAR, HACER, VERIFICAR, ACTUAR

Resultados

Por lo tanto, el resultado del Plan Director será:

  • Un conjunto de objetivos alineados con la estrategia de la empresa. A cada objetivo se le puede asociar un conjunto de indicadores, preferentemente KGIs, que nos den una idea del cumplimiento del objetivo.
  • Un análisis de riesgos previo que justifique las necesidades que se van a cubrir con los proyectos identificados en el plan de acción.
  • Un conjunto de proyectos y actividades a poner en marcha para la consecución de los objetivos anteriores. A cada proyecto se le puede asociar un conjunto de indicadores, preferentemente KPIs
  • El detalle de cada uno de los proyectos anteriores, especificando las fases, las tareas, las fechas de compromiso, el responsable de cada actividad o tarea y el coste asociado.

Con todo lo anterior, el Plan Director de Seguridad de la Información será nuestra guía y herramienta estratégica a 2 o 3 años para fundamentar las acciones e inversiones realizadas en seguridad de la información.