[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/10\/30\/plan-director-de-seguridad\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/10\/30\/plan-director-de-seguridad\/","headline":"Plan Director de Seguridad \u00bfC\u00f3mo implantarlo en tu empresa?","name":"Plan Director de Seguridad \u00bfC\u00f3mo implantarlo en tu empresa?","description":"Descubre qu\u00e9 es un Plan Director de Seguridad y por qu\u00e9 debes considerar implementarlo en tu empresa. Explicado paso a paso \u2705","datePublished":"2020-10-30","dateModified":"2020-10-30","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/10\/plan-director-seguridad-00.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/10\/plan-director-seguridad-00.jpg","height":1066,"width":1600},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/10\/30\/plan-director-de-seguridad\/","about":["CIBERSEGURIDAD"],"wordCount":2354,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              En esta era de la digitalizaci\u00f3n y el mundo conectado, la seguridad de la informaci\u00f3n se ha vuelto un elemento clave y estrat\u00e9gico para muchas empresas. Proteger los sistemas inform\u00e1ticos que usan para desarrollar la actividad diaria de la empresa no solo es una forma de asegurar la continuidad del negocio y reducir posibles p\u00e9rdidas, tambi\u00e9n es una forma m\u00e1s de cumplir con las exigencias legales de la normativa de protecci\u00f3n de datos. Por todo esto, cualquier empresa deber\u00eda considerar la elaboraci\u00f3n e implantaci\u00f3n de un Plan Director de Seguridad; en esta entrada os explicamos todo cuanto necesit\u00e1is saber sobre ello.\u00bfQu\u00e9 es el Plan Director de Seguridad?Objetivos generales de un Plan Director de SeguridadC\u00f3mo implantar un Plan Director de Seguridad en una empresa. Pasos a seguirDefinici\u00f3n de la pol\u00edtica de seguridad de la empresaConocimiento de la estrategia de la empresaDefinir los proyectos e iniciativasClasificar y priorizar los proyectos a realizarAprobaci\u00f3nPuesta en marcha del planEjemplos\u00bfQu\u00e9 es el Plan Director de Seguridad?Empecemos por saber qu\u00e9 es un Plan Director de Seguridad (PDS); se trata de la planificaci\u00f3n de actividades enfocadas a implantar o mejorar las medidas de ciberseguridad de una empresa, marcando las prioridades a corto, medio y largo plazo, eligiendo a los responsables de su implantaci\u00f3n y seguimiento y determinando los recursos que ser\u00e1n necesarios para conseguirlo.El Plan Director de Seguridad inform\u00e1tica es, pues, una serie de proyectos tanto t\u00e9cnicos como de contenido legal y organizativo, que se planifican tras la realizaci\u00f3n de una evaluaci\u00f3n y an\u00e1lisis previo de la situaci\u00f3n de la empresa en materia de seguridad de la informaci\u00f3n.Adem\u00e1s, cualquier Plan Director de Seguridad debe estar alineado con los objetivos estrat\u00e9gicos de la empresa, contar con el compromiso de la direcci\u00f3n y ser comunicado a los empleados, par asegurarnos de que todo el personal comprende los riesgos y amenazas digitales a los que se enfrenta la empresa, las posibles consecuencias de los mismos y c\u00f3mo se deben evitar.As\u00ed, un Plan Director de Seguridad incluye desde la contrataci\u00f3n de servicios o productos destinados a mejoras la seguridad, proyectos destinados a cumplir con la normativa de privacidad y protecci\u00f3n de datos, hasta la formaci\u00f3n de empleados y la creaci\u00f3n de pol\u00edticas internas en materia de seguridad de la informaci\u00f3n.Objetivos generales de un Plan Director de SeguridadPuesto que cada empresa debe afrontar diferentes niveles de riesgos y amenazas digitales, el Plan Director de Seguridad nunca ser\u00e1 igual para unas que para otras, ya que se debe considerar el sector de actividad, la informaci\u00f3n que se maneja, la cantidad de datos que se tratan, el tama\u00f1o de la compa\u00f1\u00eda, etc. Sin embargo, s\u00ed podemos decir que existen una serie de objetivos generales comunes a cualquier tipo de empresa.As\u00ed, los objetivos generales que cualquier Plan Director de Seguridad de la informaci\u00f3n debe contemplar son:La evoluci\u00f3n inicial de la situaci\u00f3n y el entorno, con la que se podr\u00e1n identificar los riesgos para la seguridad digital de la compa\u00f1\u00eda.La identificaci\u00f3n de aquellas \u00e1reas de la empresa que m\u00e1s expuestas est\u00e1n a esos riegos, en base a la gravedad del impacto y la probabilidad de que ocurran.Crear e implantar las medidas de seguridad pertinentes que ayuden a reducir al m\u00ednimo aceptable o residual esos riesgos.Realizar un seguimiento de las medidas implementadas y los resultados obtenidos, \u00bfse ha mejorado la seguridad?, \u00bfse han evitado ataques y p\u00e9rdidas de informaci\u00f3n?Realizar una mejora continua del Plan, volviendo a evaluar y analizar la situaci\u00f3n y mejorar las medidas adoptadas o aplicar nuevas.C\u00f3mo implantar un Plan Director de Seguridad en una empresa. Pasos a seguirAhora que ya que sabemos en qu\u00e9 consiste un Plan Director de Seguridad y qu\u00e9 objetivos se buscan conseguir con un elaboraci\u00f3n e implantaci\u00f3n, veamos qu\u00e9 pasos debemos seguir para implementarlo en nuestra empresa, sin perder de vista que se trata de un proceso c\u00edclico, es decir, que se debe evaluar de forma anual para comprobar sus resultados y su efectividad, si bien es cierto que la duraci\u00f3n de estos planes est\u00e1 entre los 2 y los 4 a\u00f1os (siempre que no haya cambios sustanciales en la empresa que puedan tener un impacto en la ciberseguridad de la misma).Definici\u00f3n de la pol\u00edtica de seguridad de la empresaEl primer paso que debemos realizar a la hora de elaborar el Plan Director de Seguridad es definir la pol\u00edtica de seguridad de la empresa, determinando el punto de partida de nuestro nivel de seguridad digital y fijando el objetivo al que queremos llegar. Debemos determinar qu\u00e9 se va a proteger, c\u00f3mo llevaremos a cabo la prevenci\u00f3n de los riesgos, los posibles incidentes o problemas que podemos sufrir, c\u00f3mo los vamos afrontar, etc. Es decir, marcaremos tanto los objetivos que se quieren alcanzar como aquellos que se deben mejorar.En esta fase tambi\u00e9n se debe fijar qui\u00e9n tiene la responsabilidad sobre la gesti\u00f3n de los activos de la empresa (equipos, instalaciones, servicios, personal\u2026), si se llevar\u00e1 a cabo de manera interna o se contratar\u00e1 un servicio externo. En ese sentido, tambi\u00e9n habr\u00e1 que establecer los perfiles del responsable de seguridad, del responsable de informaci\u00f3n y de los responsables de \u00e1mbito (seg\u00fan proceda o sea necesario).Para poder llevar a cabo todo esto, es necesario realizar un an\u00e1lisis previo de la situaci\u00f3n de la que parte la empresa, llevando a cabo tanto un an\u00e1lisis t\u00e9cnico de seguridad como un an\u00e1lisis de los riesgos existentes.Una buena gu\u00eda para desarrollar esta primera fase la encontramos en las directrices recogidas por la norma ISO\/IEC 27002:2013 en materia de buenas pr\u00e1cticas de seguridad de la informaci\u00f3n.Conocimiento de la estrategia de la empresaComo se\u00f1al\u00e1bamos antes, el Plan Director de Seguridad debe estar en consonancia con los objetivos estrat\u00e9gicos de la empresa, por lo tanto, a la hora de elaborarlo se deben conocer los planes a corto, medio y largo plazo de la empresa, incluyendo la previsi\u00f3n de crecimiento, los cambios que se plantean llevar a cabo a lo largo del tiempo, las posibles reorganizaciones, etc. Igualmente, hay que tener en cuenta si la empresa forma parte de un grupo empresarial mayor, as\u00ed como el sector al que se dedica su actividad, puesto que pueden existir requisitos legales adicionales.En este punto tambi\u00e9n se debe saber ya qu\u00e9 tipo de estrategia de servicios TIC tenemos pensando implementar en la empresa; se dedicar\u00e1 un departamento interno a crear y mantener la infraestructura de los sistemas inform\u00e1ticos o contrataremos un servicio externo de cloud computing.Todo lo referente a la estrategia de la empresa afectar\u00e1 al enfoque de las medidas de seguridad que se deban implantar, as\u00ed como el peso e importancia de cada una de ellas. Por ello es importante que se implique ya no solo la direcci\u00f3n de la compa\u00f1\u00eda, sino tambi\u00e9n a los responsables de aquellos departamentos implicados en la seguridad de la informaci\u00f3n.En esta fase el objetivo es alinear la estrategia de seguridad con la estrategia TIC y la estrategia general de negocio de la compa\u00f1\u00eda.Definir los proyectos e iniciativasEn las fases anteriores habremos recabado informaci\u00f3n que en este siguiente paso usaremos para definir las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que hemos fijado para la empresa.Hay que tener en cuenta que el Plan Director de Seguridad se realiza para todos los \u00e1mbitos o \u00e1reas que formen la empresa, por lo que las medias que se decidan implantar tambi\u00e9n ser\u00e1n diferentes en funci\u00f3n de a qu\u00e9 \u00e1rea afecten.As\u00ed que, primero definiremos las medidas dirigidas a mejorar los m\u00e9todos de trabajo actuales, es decir, determinar aquellos controles necesarios para cumplir con las normativas y regulaciones vigentes.Segundo, en base a las carencias detectadas en los an\u00e1lisis y evaluaciones de riesgos y situaci\u00f3n, estableceremos aquellas medidas o acciones relacionadas con los controles t\u00e9cnicos y f\u00edsicos que sea necesario poner en marcha.Y tercero, definiremos tanto la estrategia de seguridad a seguir como los proyectos m\u00e1s adecuados para gestionar aquellos riesgos que est\u00e1n por encima del nivel de riesgo aceptable para la empresa.En esta fase tambi\u00e9n se debe estimar el coste que supondr\u00e1 la puesta en marcha de estas medidas y proyectos, tanto en t\u00e9rminos econ\u00f3micos como temporales y ponerlo en relaci\u00f3n con los recursos humanos y materiales que ser\u00e1 necesario destinar a ello, tanto internos como externos.A continuaci\u00f3n os dejamos unas medidas o proyectos que figuran habitualmente en el Plan Director de Seguridad como ejemplo ilustrativo:Desarrollar e implementar una pol\u00edtica de seguridad:Compromiso de la Direcci\u00f3nUtilizaci\u00f3n del email e InternetUtilizaci\u00f3n de dispositivos m\u00f3vilesAspectos de protecci\u00f3n de datosDesplegar un plan de concienciaci\u00f3n en materia de seguridad de la informaci\u00f3n.Mejora en la gesti\u00f3n de incidentes y atenci\u00f3n al usuario.Adecuaci\u00f3n al RGPD.Mejorar la coordinaci\u00f3n entre el departamento de RRHH y el departamento TIC.Desarrollar un plan de continuidad TIC.Mejoras en la seguridad de la red corporativa.Pol\u00edtica de copias de seguridad.Clasificaci\u00f3n de la informaci\u00f3n (p\u00fablica, privada y confidencial).Regulaci\u00f3n de los servicios TIC prestado por terceros.Clasificar y priorizar los proyectos a realizarCon una bater\u00eda de proyectos e iniciativas listos para ponerse en marcha, llegamos al siguiente paso de creaci\u00f3n e implantaci\u00f3n del Plan Director de Seguridad, clasificarlos y priorizarlos, porque no todos los proyectos o medidas tendr\u00e1n el mismo peso e importancia, ni el mismo coste.La agrupaci\u00f3n o clasificaci\u00f3n de los proyectos puede llevarse a cabo en base a diferentes criterios, por ejemplo, pueden agruparse en base a su origen (cumplimiento normativo y regulatorio, an\u00e1lisis t\u00e9cnico o an\u00e1lisis de riesgo), o al tipo de acci\u00f3n a llevar a cabo.Independientemente de c\u00f3mo las agrupemos, siempre procurando que cada grupo de proyectos o medidas mantengan cierto nivel de homogeneidad, debemos priorizarlos en base al coste temporal y el esfuerzo requerido para implantarlos y ponerlos en marcha, de manera que estableceremos proyectos a corto, medio y largo plazo.Se recomienda, adem\u00e1s, crear un grupo que recoja los proyectos cuya implantaci\u00f3n necesite un esfuerzo menor, pero cuyo resultado producir\u00e1 mejoras importantes para la seguridad de la informaci\u00f3n en la empresa. Este tipo de proyectos reciben el nombre de \u00abquick wins\u00bb.Aprobaci\u00f3nCon una primera versi\u00f3n del Plan Director de Seguridad \u00absobre la mesa\u00bb, el siguiente paso es enviarlo a la direcci\u00f3n de la compa\u00f1\u00eda para su aprobaci\u00f3n.La direcci\u00f3n revisar\u00e1 el plan en su conjunto y podr\u00e1 modificar su alcance, duraci\u00f3n o la prioridad de cada proyecto. Si es necesario hacer cambios, se volver\u00e1n a dar los mismos pasos que hemos descrito hasta ahora (o aquellos que sea necesario en funci\u00f3n de las partes del plan que necesiten ser revisadas), hasta lograr un Plan Director de Seguridad que cuente con la aprobaci\u00f3n formal de la direcci\u00f3nEsta aprobaci\u00f3n y respaldo del Plan deber\u00e1 hacerse llegar a todos los empleados de la compa\u00f1\u00eda, bien a trav\u00e9s de sus jefes de departamento o a trav\u00e9s de circulares mediante correo electr\u00f3nico. As\u00ed mismo, se deber\u00e1 reforzar la idea de la importancia de que todos deben colaborar para la implantaci\u00f3n del Plan.Puesta en marcha del planLlegamos a la fase final del Plan Director de Seguridad, su puesta en marcha. Cada empresa podr\u00e1 optar por gestionarlo como considere oportuno, pero no deber\u00edan perderse de vista los siguientes aspectos para asegurar la consecuci\u00f3n de los objetivos marcados en cada proyecto del Plan y el \u00e9xito del mismo:Realizar una presentaci\u00f3n general del Plan Director de Seguridad a aquellas personas que estar\u00e1n implicadas en la realizaci\u00f3n de los diferentes proyectos, inform\u00e1ndoles de los trabajos a realizar y los resultados que se desean obtener.Cada proyecto debe tener asignado un responsable o coordinador, as\u00ed como tener los recursos humanos y materiales necesarios para llevarlo a cabo.Establecer un seguimiento individual de cada proyecto y uno general del Plan, algo que deber\u00e1 hacerse con una periodicidad fija (cada mes, cada 6 meses, cada a\u00f1o\u2026). Adem\u00e1s, en caso de que se produzcan cambios significativos en la empresa que puedan modificar el enfoque estrat\u00e9gico, se deber\u00e1 revisar el Plan para comprobar si todav\u00eda es v\u00e1lido y coincidente con la estrategia de la compa\u00f1\u00eda.Cada vez que se alcance un objetivo previsto, se debe confirmar que las deficiencias o problemas que se identificaron en la evaluaci\u00f3n y an\u00e1lisis previos, han sido realmente subsanados.EjemplosA continuaci\u00f3n os dejamos una infograf\u00eda con un ejemplo de Plan de Seguridad (simplificado) de una editorial y librer\u00eda electr\u00f3nica, siguiendo los pasos que hemos indicado m\u00e1s arriba."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/10\/30\/plan-director-de-seguridad\/#breadcrumbitem","name":"Plan Director de Seguridad \u00bfC\u00f3mo implantarlo en tu empresa?"}}]}]