Es un proyecto que define y prioriza un conjunto de medidas en materia de seguridad de la información, con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial.
Un buen Plan Director de Seguridad debe estar alineado con el resto de planes de la empresa y con sus objetivos estratégicos sin desviarse de ellos para evitar posibles problemas posteriores. Esta alineación debe ir marcada por dejar claras las obligaciones y buenas prácticas de los empleados de la empresa en todo lo relacionado con la seguridad y sin dejar de lado a cualquier colaborador externo que pueda colaborar con ella.
Asimismo, el Plan Director de Seguridad contendrá los proyectos técnicos, legales y organizativos que se van a desarrollar en la organización. No sólo se consideran los proyectos de despliegue de dispositivos o herramientas sino que también se contará con los destinados a la formación y concienciación de los empleados en políticas o normativas internas de seguridad, cumplir con la legislación sobre privacidad o las leyes de comercio electrónico si tuvieran sentido.
Antes de sufrir un incidente de seguridad informática debemos conocer los riesgos a los que está expuesta nuestra empresa. Si las herramientas tecnológicas y la información que dan soporte a los servicios y procesos productivos de la organización son de gran valor para nuestra organización, debemos empezar a pensar en poner en práctica un Plan Director de Seguridad. Su elaboración y adopción aporta beneficios a las empresas. Por ejemplo, identificar filtraciones de seguridad, conocer la exposición de ciertas áreas de la compañía ante posibles ataques o incluso situaciones imprevistas (por ejemplo, la caída de la web corporativa debido a un ataque al servidor donde se aloja).
Conocer los riesgos a los que los sistemas informáticos de la compañía están expuestos facilitará la creación e implementación de las medidas de seguridad necesarias para prevenirlos e incluso evitar algunos de ellos. Así como tener preparados planes y medidas de contingencia en caso de que ocurran problemas relacionados con estos riesgos.
El Plan Director de Seguridad se convierte así en una guía para las empresas, en la que se marcan los tiempos para implementar las medidas de seguridad necesarias para reducir los riesgos (en orden en función de su gravedad e impacto para el funcionamiento de la empresa). Además sirve para calcular los costes derivados de la implantación de estas medidas y elaborar así un presupuesto ajustado.
Como cada empresa es un mundo, tendremos que calcular nuestro particular nivel de seguridad, que será nuestro punto de partida, y fijarnos un objetivo de dónde queremos estar. Este objetivo y los proyectos a aplicar siempre tendrán que estar alineados con las estrategias de negocio. Qué vamos a proteger, cómo haremos la prevención, qué incidentes podríamos tener, cómo nos preparamos para reaccionar, etc. Fijaremos el punto de partida evaluando el riesgo que nos afecta y el que podemos tolerar. Para el resto pondremos medidas a través de los proyectos, a nuestro ritmo, pero siempre midiendo el progreso en nuestro Plan Director.
