Twitter

Cuando hablamos de ciberseguridad, dar el primer paso puede resultar algo complejo ya que seguramente serán varios los aspectos que se puedan y deban mejorar.

Entonces, ¿por dónde empezar? Si queremos llevar a buen puerto la ciberseguridad de nuestra organización, será necesario crear en primer lugar una hoja de ruta. Además, será muy importante no salirse de ella, ya que esta nos ayudará implementar las mejoras que realmente son importantes. A esta hoja de ruta se la conoce como Plan Director de Seguridad.

¿Qué es un Plan Director de Seguridad?

Aunque os hemos hablado de él en unas cuantas ocasiones, os recordamos que un Plan Director de Seguridad es una estrategia con la que abordar los aspectos técnicos, legales y organizativos que ayudarán a mejorar la ciberseguridad de la organización. Para empezar con este plan será imprescindible contar con el compromiso de la dirección e identificar las prioridades, responsables y recursos que se destinarán.

¿Por dónde comienzo?

La primera etapa de un Plan Director de Seguridad consistirá en recolectar información con la que determinar cómo está la situación actual en la empresa y dónde se quiere llegar en materia de ciberseguridad, marcando siempre unos objetivos razonables y sobre todo, realistas. Puesto que las organizaciones pueden ser muy diferentes, cada una contará con unos activos, procesos de negocio, así como responsables de los mismos, ya que no existe una fórmula magistral que sirva para todas las empresas.

Para realizar una valoración inicial sobre la ciberseguridad de la organización se suele utilizar como referencia el estándar internacional ISO/IEC 27002:2017, el cuál reúne un Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. Desde INCIBE, hemos desarrollado una herramienta de autodiagnóstico para ayudar a las pymes a realizar esta tarea de evaluación sobre la ciberseguridad de la organización. Mediante un sencillo y breve cuestionario se determinará el estado actual de la seguridad de la información, indicando los riesgos existentes y los aspectos a mejorar.

Una vez realizada la valoración inicial en base al estándar ISO se ha de crear un nuevo documento denominado «Declaración de Aplicabilidad» o «SOA - Statement of Applicability» que recogerá los controles o medidas de seguridad que se deberán aplicar. En este documento también se deberá incluir su grado de madurez, es decir, si están implantados y en su caso, en qué nivel se encuentran.

Mantener reuniones con el personal de la organización será imprescindible, ya que el punto de vista de las personas que realizan las tareas diarias puede ser muy esclarecedor sobre el tipo de información que se gestiona, cómo es tratada y que medidas de seguridad sería recomendable aplicar para protegerla.

Una vez se cuenta con la información sobre las deficiencias detectadas se han de analizar y establecer una escala de madurez, por ejemplo estableciendo un valor numérico como de 0 a 5, siendo el primero la ausencia total de control y el segundo valor, la optimización total del control.

También habrá que realizar un análisis de riesgos donde se identifiquen las principales amenazas que afectan a la organización y el riesgo asociado a cada una de ellas, en función de la probabilidad y el impacto que tengan de materializarse. Desde INCIBE facilitamos una plantilla ejemplo para esta tarea.

El último paso dentro de esta fase inicial será determinar cuáles son los objetivos a cumplir en materia de seguridad, siempre en base a la estrategia marcada por la organización, para mitigar los riesgos a los que están expuestos los activos críticos.

Determinar los objetivos y puesta en marcha

En la medida de lo posible, deberemos estimar el coste de las iniciativas propuestas en términos temporales y económicos, contemplando los recursos materiales y humanos, tanto a nivel interno como externo. Una vez identificadas hemos de clasificarlas y priorizarlas. Puede darse el caso que las acciones a tomar sean de índole variada, por lo que ante esta situación, es recomendable realizar grupos que homogeneicen el conjunto de proyectos definidos.

Para realizar esta clasificación, se pueden considerar varios criterios, pero con independencia de ellos, será conveniente agrupar los proyectos atendiendo al esfuerzo que requieren, tanto a nivel humano como económico y en función de su coste temporal. De este modo, se establecerán proyectos a corto, medio y largo plazo.

Una vez se haya elaborado el Plan Director de Seguridad, tendrá que ser revisado y aprobado por la dirección de la organización. Superado este trámite, llega el momento de poner en marcha todas las medidas tomadas en consideración, siendo recomendable realizar una presentación ante los miembros de la organización que se verán afectados por las mismas. También es recomendable asignar responsables y coordinadores de proyecto y establecer la periodicidad con la que se llevará a cabo las acciones de seguimiento por medio de hitos.

Siempre debemos tener presente que un Plan Director de Seguridad, se basa en la mejora continua. Por tanto, cuando hayamos finalizado el plan actual debemos comenzar de nuevo el ciclo, ya siempre existe margen de mejora.

Un Plan Director de Seguridad es una estrategia fundamental que toda organización debe tener presente, ya que la supervivencia de la misma puede depender de las acciones que se hayan llevado a cabo o no. Ponte manos a la obra y comienza con tu Plan Director de Seguridad.

Fuente: Incibe