¿Qué es?
Un Plan Director de Seguridad es un documento que recoge la planificación de los proyectos técnicos, de contenido legal, organizativos, etc. que una organización va a llevar a cabo con el objetivo de mejorar su seguridad, y por tanto su nivel de protección frente a las ciberamenazas.
Esta planificación debe estar alineada con las estrategias de negocio de la organización y debe contar con el compromiso de la dirección, además de contemplar prioridades, responsabilidades, recursos que se van a asignar, etc.
¿Qué ocurriría si nuestra organización se enfrentase a alguna de estas situaciones?
- Infección por virus.
- Pérdida de información relevante para el negocio como nóminas, albaranes, facturas, información de clientes, etc.
- Brecha de seguridad que derive en la exfiltración de datos privados de nuestros clientes.
- Robo o pérdida de algún dispositivo como portátiles o teléfonos móviles.
- Caídas de servicio.
Objetivos
Los objetivos de un Plan Director de Seguridad se pueden resumir en los siguientes puntos:
- Evaluar la situación inicial y el entorno, para identificar los riesgos y amenazas sobre la seguridad de la información.
- Identificar qué áreas de la empresa son las más expuestas a estos riesgos, en función de la gravedad del impacto y la probabilidad de que ocurra.
- Adoptar las medidas necesarias para reducir al mínimo posible estos riesgos.
Beneficios de tenerlo
- Poder disponer de una estrategia a corto, medio y largo plazo que contribuya a la protección y continuidad del negocio.
- Conocer cuál es la información más importante para el negocio de la organización: diseños, planos, especificaciones técnicas, clientes, etc.
- Identificar cuáles son las amenazas que pueden tener un impacto significativo en nuestra actividad.
- Determinar los riesgos y poder realizar una gestión adecuada de los mismos.
- Definir planes y medidas de contingencia para limitar el impacto de nuestra organización a imprevistos como incidentes de ciberseguridad.
- Controlar los costes derivados de la implantación de medidas de seguridad y ser más eficientes a la hora de hacerlo.
- Poner en valor que la organización tiene una estrategia clara de seguridad y que ello supone una ventaja competitiva a la hora de contratar sus servicios.
Factores a tener en cuenta a la hora de diseñar un Plan Director de Seguridad
- El tamaño de la organización.
- El nivel de madurez en tecnología.
- El sector al que pertenece la empresa.
- El contexto legal que regula las actividades de la misma.
- La naturaleza de la información que manejamos.
- El alcance del proyecto.
- Otros aspectos organizativos.
Fases del Plan Director de Seguridad
Fase 1. Conocer la situación actual de la organización
Debe implicar a todos los departamentos o miembros de la organización y contar con el apoyo de la dirección para garantizar que los proyectos se alinean con los objetivos de la empresa y se cuenta con los recursos necesarios para llevarlos a cabo.
Incluye un análisis técnico de seguridad, análisis de riesgos y todas las actuaciones previas requeridas.
Fase 2. Conocimiento de la estrategia de la Organización
Implica considerar los proyectos en curso y futuros, previsiones de crecimiento,
cambios en la organización debido a reorganizaciones, etc. También es importante
tener en cuenta si la organización opta por una estrategia de centralización de
servicios TIC, por la externalización de estos o si va a iniciar la actividad en algún sector distinto del actual que pueda generar requisitos legales adicionales.
Fase 3. Definir los proyectos e iniciativas
Se trata de, a partir de la información recabada en las fases previas, definir las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad deseado.
Fase 4. Clasificar y priorizar los proyectos a realizar
Es importante establecer un orden y una clasificación de los proyectos de mejora de la seguridad que se incluirán en el plan, evaluando su coste temporal y económico, así como determinar qué proyectos son a corto, medio y largo plazo.
Fase 5. Aprobar el Plan Director de Seguridad
Una vez que se dispone de una versión preliminar del plan, éste debe ser revisado y aprobado por la Dirección. Tras realizar los cambios oportunos y la aprobación final, la Dirección deberá darlo a conocer a todos los empleados.
Fase 6. Puesta en marcha
Finalmente, se inicia la aplicación del plan contribuyendo de este modo a que nuestra organización sea más resiliente.
¿Dónde recibir asesoramiento o contratar la elaboración de un Plan Director de Seguridad?
Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.
El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.