¿QUE ES?

Un  Plan Director de Seguridad es una herramienta que permite establecer una guía corporativa para la implantación coordinada de las medidas de seguridad asociadas a la reducción de riesgos.

Por lo tanto, el Plan Director de Seguridad suele ser realizado una vez concluido el análisis de riesgos.

En primer lugar es necesario identificar los activos y definir cómo se deben proteger, de manera que, en caso necesario, se permita la continuidad de la empresa.

Seguidamente, se deben identificar las amenazas, los problemas de seguridad y evaluar su impacto caso de llegar a producirse.

Seguridad de la Red
Posteriormente hay que evaluar los riesgos:
  • se debe calcular la probabilidad de que pueda ocurrir un suceso
  • determinar qué potencial tiene para causar un daño
  • los costes, que pueden ir desde la pérdida de datos, la pérdida de clientes o la pérdida de confianza de los inversores.

Para finalizar se debe seleccionar un equipo que ayude a identificar las amenazas en todas las áreas de la empresa. 

bandido detrás de ordenador
El equipo debe ser multidisciplinar y deben integrarlo miembros de:
  • El área de TIC
  • Recursos Humanos
  • Dirección de la empresa

En consecuencia, estos serán los responsables de crear una Política de Seguridad Informática que identifique los documentos asociados, normas, responsabilidades y una estructura organizativa.

¿PARA QUE SIRVE?

La evolución de las tecnologías de la información y comunicación nos ha permitido automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra organización.

Además, los recientes ataques de seguridad informática han llevada a muchas empresas a desarrollar sistemas de seguridad reforzados que intentan blindar su seguridad.

Es decir, que un plan director de seguridad TI es un plan proactivo que indica cómo actuar frente a múltiples escenarios. Es la clave para preparar a las empresas frente a posibles amenazas que puedan plantearse en un futuro.

¿COMO SE HACE?

Para garantizar la seguridad de la información del negocio, se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad.

Fases de un plan director de seguridad.
¿Qué ocurriría si nuestra empresa se encontrase en alguna de las siguientes situaciones?
  • Sufrimos los efectos de un virus informático y no sabemos cómo reaccionar.
  • Se produce una pérdida de datos y no tenemos copias de seguridad o no podemos recuperar la información.
  • Perdemos o extraviamos un disco duro portátil con información sensible.
  • Nuestra página de comercio electrónico es el objetivo de un ataque de denegación de servicio, dejándola inoperativa.
  • Se nos estropea algún servidor o elemento de red, que nos impide el uso del correo electrónico, la conexión a Internet o el uso de una aplicación crítica.
Frente a escenarios como los anteriores, surgen muchas dudas:
  • ¿Debería externalizar el soporte informático de mi empresa?
  • ¿Es seguro gestionar información corporativa en dispositivos móviles? ¿Hemos proporcionado y utilizado los recursos necesarios para ello?
  • ¿Sabemos si las copias de seguridad funcionan? ¿estamos realizando copias de toda la información crítica para nuestra organización?
  • Si sufrimos un incidente de seguridad informática, ¿conocemos los riesgos a los que está expuesta nuestra empresa?

En resumen, si las herramientas tecnológicas y la información que dan soporte a los servicios y procesos productivos, son de gran valor para nuestra organización, debemos empezar a pensar en poner en práctica un Plan Director de Seguridad.

¿POR DÓNDE EMPEZAR?

Cuando decidimos abordar la ciberseguridad es importante tener una planificación de las actividades a realizar, que cuente con el compromiso de la dirección.

Sin duda, este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para mejorar nuestro nivel seguridad en el mundo digital.

A esta planificación la llamaremos Plan Director de Seguridad.

Contendrá los proyectos que vamos a abordar, tanto técnicos, como de contenido legal y organizativos.

Así, habrá proyectos:
  • de instalación de productos o de contratación de servicios
  • para cumplir con las leyes de privacidad y comercio electrónico
  • formar a los empleados
  • poner en marcha procedimientos y políticas internas.

Dado que cada empresa es un mundo, tendremos que calcular nuestro particular nivel de seguridad, que será nuestro punto de partida, y fijarnos un objetivo de dónde queremos estar.

Este objetivo y los proyectos a aplicar siempre tendrán que estar alineados con las estrategias de negocio.

imagen de un hombre enmarcado en un escudo todo en blanco sobre fondo negro

¿QUÉ VAMOS A PROTEGER?

Tenemos que preguntarnos:

  • cómo haremos la prevención
  • qué incidentes podríamos tener
  • cómo nos preparamos para reaccionar, etc.

Fijaremos el punto de partida evaluando el riesgo que nos afecta y el que podemos tolerar.

El próximo día veremos un ejemplo de cómo elaborar nuestro Plan Director de Seguridad.