¿QUE ES?
Un Plan Director de Seguridad es una herramienta que permite establecer una guía corporativa para la implantación coordinada de las medidas de seguridad asociadas a la reducción de riesgos.
Por lo tanto, el Plan Director de Seguridad suele ser realizado una vez concluido el análisis de riesgos.
En primer lugar es necesario identificar los activos y definir cómo se deben proteger, de manera que, en caso necesario, se permita la continuidad de la empresa.
Seguidamente, se deben identificar las amenazas, los problemas de seguridad y evaluar su impacto caso de llegar a producirse.

Posteriormente hay que evaluar los riesgos:
- se debe calcular la probabilidad de que pueda ocurrir un suceso
- determinar qué potencial tiene para causar un daño
- los costes, que pueden ir desde la pérdida de datos, la pérdida de clientes o la pérdida de confianza de los inversores.
Para finalizar se debe seleccionar un equipo que ayude a identificar las amenazas en todas las áreas de la empresa.

El equipo debe ser multidisciplinar y deben integrarlo miembros de:
- El área de TIC
- Recursos Humanos
- Dirección de la empresa
En consecuencia, estos serán los responsables de crear una Política de Seguridad Informática que identifique los documentos asociados, normas, responsabilidades y una estructura organizativa.
¿PARA QUE SIRVE?
La evolución de las tecnologías de la información y comunicación nos ha permitido automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra organización.
Además, los recientes ataques de seguridad informática han llevada a muchas empresas a desarrollar sistemas de seguridad reforzados que intentan blindar su seguridad.
Es decir, que un plan director de seguridad TI es un plan proactivo que indica cómo actuar frente a múltiples escenarios. Es la clave para preparar a las empresas frente a posibles amenazas que puedan plantearse en un futuro.
¿COMO SE HACE?
Para garantizar la seguridad de la información del negocio, se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad.

¿Qué ocurriría si nuestra empresa se encontrase en alguna de las siguientes situaciones?
- Sufrimos los efectos de un virus informático y no sabemos cómo reaccionar.
- Se produce una pérdida de datos y no tenemos copias de seguridad o no podemos recuperar la información.
- Perdemos o extraviamos un disco duro portátil con información sensible.
- Nuestra página de comercio electrónico es el objetivo de un ataque de denegación de servicio, dejándola inoperativa.
- Se nos estropea algún servidor o elemento de red, que nos impide el uso del correo electrónico, la conexión a Internet o el uso de una aplicación crítica.
Frente a escenarios como los anteriores, surgen muchas dudas:
- ¿Debería externalizar el soporte informático de mi empresa?
- ¿Es seguro gestionar información corporativa en dispositivos móviles? ¿Hemos proporcionado y utilizado los recursos necesarios para ello?
- ¿Sabemos si las copias de seguridad funcionan? ¿estamos realizando copias de toda la información crítica para nuestra organización?
- Si sufrimos un incidente de seguridad informática, ¿conocemos los riesgos a los que está expuesta nuestra empresa?
En resumen, si las herramientas tecnológicas y la información que dan soporte a los servicios y procesos productivos, son de gran valor para nuestra organización, debemos empezar a pensar en poner en práctica un Plan Director de Seguridad.
¿POR DÓNDE EMPEZAR?
Cuando decidimos abordar la ciberseguridad es importante tener una planificación de las actividades a realizar, que cuente con el compromiso de la dirección.
Sin duda, este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para mejorar nuestro nivel seguridad en el mundo digital.
A esta planificación la llamaremos Plan Director de Seguridad.
Contendrá los proyectos que vamos a abordar, tanto técnicos, como de contenido legal y organizativos.
Así, habrá proyectos:
- de instalación de productos o de contratación de servicios
- para cumplir con las leyes de privacidad y comercio electrónico
- formar a los empleados
- poner en marcha procedimientos y políticas internas.
Dado que cada empresa es un mundo, tendremos que calcular nuestro particular nivel de seguridad, que será nuestro punto de partida, y fijarnos un objetivo de dónde queremos estar.
Este objetivo y los proyectos a aplicar siempre tendrán que estar alineados con las estrategias de negocio.

¿QUÉ VAMOS A PROTEGER?
Tenemos que preguntarnos:
- cómo haremos la prevención
- qué incidentes podríamos tener
- cómo nos preparamos para reaccionar, etc.
Fijaremos el punto de partida evaluando el riesgo que nos afecta y el que podemos tolerar.
El próximo día veremos un ejemplo de cómo elaborar nuestro Plan Director de Seguridad.