Plan Director de Seguridad ¿Cómo implantarlo en tu empresa?

En esta era de la digitalización y el mundo conectado, la seguridad de la información se ha vuelto un elemento clave y estratégico para muchas empresas. Proteger los sistemas informáticos que usan para desarrollar la actividad diaria de la empresa no solo es una forma de asegurar la continuidad del negocio y reducir posibles pérdidas, también es una forma más de cumplir con las exigencias legales de la normativa de protección de datos. Por todo esto, cualquier empresa debería considerar la elaboración e implantación de un Plan Director de Seguridad; en esta entrada os explicamos todo cuanto necesitáis saber sobre ello.

¿Qué es el Plan Director de Seguridad?

Empecemos por saber qué es un Plan Director de Seguridad (PDS); se trata de la planificación de actividades enfocadas a implantar o mejorar las medidas de ciberseguridad de una empresa, marcando las prioridades a corto, medio y largo plazo, eligiendo a los responsables de su implantación y seguimiento y determinando los recursos que serán necesarios para conseguirlo.

El Plan Director de Seguridad informática es, pues, una serie de proyectos tanto técnicos como de contenido legal y organizativo, que se planifican tras la realización de una evaluación y análisis previo de la situación de la empresa en materia de seguridad de la información.

Además, cualquier Plan Director de Seguridad debe estar alineado con los objetivos estratégicos de la empresa, contar con el compromiso de la dirección y ser comunicado a los empleados, par asegurarnos de que todo el personal comprende los riesgos y amenazas digitales a los que se enfrenta la empresa, las posibles consecuencias de los mismos y cómo se deben evitar.

Así, un Plan Director de Seguridad incluye desde la contratación de servicios o productos destinados a mejoras la seguridad, proyectos destinados a cumplir con la normativa de privacidad y protección de datos, hasta la formación de empleados y la creación de políticas internas en materia de seguridad de la información.

Objetivos generales de un Plan Director de Seguridad

Puesto que cada empresa debe afrontar diferentes niveles de riesgos y amenazas digitales, el Plan Director de Seguridad nunca será igual para unas que para otras, ya que se debe considerar el sector de actividad, la información que se maneja, la cantidad de datos que se tratan, el tamaño de la compañía, etc. Sin embargo, sí podemos decir que existen una serie de objetivos generales comunes a cualquier tipo de empresa.

Así, los objetivos generales que cualquier Plan Director de Seguridad de la información debe contemplar son:

• La evolución inicial de la situación y el entorno, con la que se podrán identificar los riesgos para la seguridad digital de la compañía.
• La identificación de aquellas áreas de la empresa que más expuestas están a esos riegos, en base a la gravedad del impacto y la probabilidad de que ocurran.
• Crear e implantar las medidas de seguridad pertinentes que ayuden a reducir al mínimo aceptable o residual esos riesgos.
• Realizar un seguimiento de las medidas implementadas y los resultados obtenidos, ¿se ha mejorado la seguridad?, ¿se han evitado ataques y pérdidas de información?
• Realizar una mejora continua del Plan, volviendo a evaluar y analizar la situación y mejorar las medidas adoptadas o aplicar nuevas.

Cómo implantar un Plan Director de Seguridad en una empresa. Pasos a seguir

Ahora que ya que sabemos en qué consiste un Plan Director de Seguridad y qué objetivos se buscan conseguir con un elaboración e implantación, veamos qué pasos debemos seguir para implementarlo en nuestra empresa, sin perder de vista que se trata de un proceso cíclico, es decir, que se debe evaluar de forma anual para comprobar sus resultados y su efectividad, si bien es cierto que la duración de estos planes está entre los 2 y los 4 años (siempre que no haya cambios sustanciales en la empresa que puedan tener un impacto en la ciberseguridad de la misma).

Definición de la política de seguridad de la empresa

El primer paso que debemos realizar a la hora de elaborar el Plan Director de Seguridad es definir la política de seguridad de la empresa, determinando el punto de partida de nuestro nivel de seguridad digital y fijando el objetivo al que queremos llegar. Debemos determinar qué se va a proteger, cómo llevaremos a cabo la prevención de los riesgos, los posibles incidentes o problemas que podemos sufrir, cómo los vamos afrontar, etc. Es decir, marcaremos tanto los objetivos que se quieren alcanzar como aquellos que se deben mejorar.

En esta fase también se debe fijar quién tiene la responsabilidad sobre la gestión de los activos de la empresa (equipos, instalaciones, servicios, personal…), si se llevará a cabo de manera interna o se contratará un servicio externo. En ese sentido, también habrá que establecer los perfiles del responsable de seguridad, del responsable de información y de los responsables de ámbito (según proceda o sea necesario).

Para poder llevar a cabo todo esto, es necesario realizar un análisis previo de la situación de la que parte la empresa, llevando a cabo tanto un análisis técnico de seguridad como un análisis de los riesgos existentes.

Una buena guía para desarrollar esta primera fase la encontramos en las directrices recogidas por la norma ISO/IEC 27002:2013 en materia de buenas prácticas de seguridad de la información.

Conocimiento de la estrategia de la empresa

Como señalábamos antes, el Plan Director de Seguridad debe estar en consonancia con los objetivos estratégicos de la empresa, por lo tanto, a la hora de elaborarlo se deben conocer los planes a corto, medio y largo plazo de la empresa, incluyendo la previsión de crecimiento, los cambios que se plantean llevar a cabo a lo largo del tiempo, las posibles reorganizaciones, etc. Igualmente, hay que tener en cuenta si la empresa forma parte de un grupo empresarial mayor, así como el sector al que se dedica su actividad, puesto que pueden existir requisitos legales adicionales.

En este punto también se debe saber ya qué tipo de estrategia de servicios TIC tenemos pensando implementar en la empresa; se dedicará un departamento interno a crear y mantener la infraestructura de los sistemas informáticos o contrataremos un servicio externo de cloud computing.

Todo lo referente a la estrategia de la empresa afectará al enfoque de las medidas de seguridad que se deban implantar, así como el peso e importancia de cada una de ellas. Por ello es importante que se implique ya no solo la dirección de la compañía, sino también a los responsables de aquellos departamentos implicados en la seguridad de la información.

En esta fase el objetivo es alinear la estrategia de seguridad con la estrategia TIC y la estrategia general de negocio de la compañía.

Definir los proyectos e iniciativas

En las fases anteriores habremos recabado información que en este siguiente paso usaremos para definir las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que hemos fijado para la empresa.

Hay que tener en cuenta que el Plan Director de Seguridad se realiza para todos los ámbitos o áreas que formen la empresa, por lo que las medias que se decidan implantar también serán diferentes en función de a qué área afecten.

Así que, primero definiremos las medidas dirigidas a mejorar los métodos de trabajo actuales, es decir, determinar aquellos controles necesarios para cumplir con las normativas y regulaciones vigentes.

Segundo, en base a las carencias detectadas en los análisis y evaluaciones de riesgos y situación, estableceremos aquellas medidas o acciones relacionadas con los controles técnicos y físicos que sea necesario poner en marcha.

Y tercero, definiremos tanto la estrategia de seguridad a seguir como los proyectos más adecuados para gestionar aquellos riesgos que están por encima del nivel de riesgo aceptable para la empresa.

En esta fase también se debe estimar el coste que supondrá la puesta en marcha de estas medidas y proyectos, tanto en términos económicos como temporales y ponerlo en relación con los recursos humanos y materiales que será necesario destinar a ello, tanto internos como externos.

A continuación os dejamos unas medidas o proyectos que figuran habitualmente en el Plan Director de Seguridad como ejemplo ilustrativo:

1. Desarrollar e implementar una política de seguridad:
   • Compromiso de la Dirección
   • Utilización del email e Internet
   • Utilización de dispositivos móviles
   • Aspectos de protección de datos
2. Desplegar un plan de concienciación en materia de seguridad de la información.
3. Mejora en la gestión de incidentes y atención al usuario.
4. Adecuación al RGPD.
5. Mejorar la coordinación entre el departamento de RRHH y el departamento TIC.
6. Desarrollar un plan de continuidad TIC.
7. Mejoras en la seguridad de la red corporativa.
8. Política de copias de seguridad.
9. Clasificación de la información (pública, privada y confidencial).
10. Regulación de los servicios TIC prestado por terceros.

Clasificar y priorizar los proyectos a realizar

Con una batería de proyectos e iniciativas listos para ponerse en marcha, llegamos al siguiente paso de creación e implantación del Plan Director de Seguridad, clasificarlos y priorizarlos, porque no todos los proyectos o medidas tendrán el mismo peso e importancia, ni el mismo coste.

La agrupación o clasificación de los proyectos puede llevarse a cabo en base a diferentes criterios, por ejemplo, pueden agruparse en base a su origen (cumplimiento normativo y regulatorio, análisis técnico o análisis de riesgo), o al tipo de acción a llevar a cabo.

Independientemente de cómo las agrupemos, siempre procurando que cada grupo de proyectos o medidas mantengan cierto nivel de homogeneidad, debemos priorizarlos en base al coste temporal y el esfuerzo requerido para implantarlos y ponerlos en marcha, de manera que estableceremos proyectos a corto, medio y largo plazo.

Se recomienda, además, crear un grupo que recoja los proyectos cuya implantación necesite un esfuerzo menor, pero cuyo resultado producirá mejoras importantes para la seguridad de la información en la empresa. Este tipo de proyectos reciben el nombre de «quick wins».

Aprobación

Con una primera versión del Plan Director de Seguridad «sobre la mesa», el siguiente paso es enviarlo a la dirección de la compañía para su aprobación.

La dirección revisará el plan en su conjunto y podrá modificar su alcance, duración o la prioridad de cada proyecto. Si es necesario hacer cambios, se volverán a dar los mismos pasos que hemos descrito hasta ahora (o aquellos que sea necesario en función de las partes del plan que necesiten ser revisadas), hasta lograr un Plan Director de Seguridad que cuente con la aprobación formal de la dirección

Esta aprobación y respaldo del Plan deberá hacerse llegar a todos los empleados de la compañía, bien a través de sus jefes de departamento o a través de circulares mediante correo electrónico. Así mismo, se deberá reforzar la idea de la importancia de que todos deben colaborar para la implantación del Plan.

Puesta en marcha del plan

Llegamos a la fase final del Plan Director de Seguridad, su puesta en marcha. Cada empresa podrá optar por gestionarlo como considere oportuno, pero no deberían perderse de vista los siguientes aspectos para asegurar la consecución de los objetivos marcados en cada proyecto del Plan y el éxito del mismo:

• Realizar una presentación general del Plan Director de Seguridad a aquellas personas que estarán implicadas en la realización de los diferentes proyectos, informándoles de los trabajos a realizar y los resultados que se desean obtener.
• Cada proyecto debe tener asignado un responsable o coordinador, así como tener los recursos humanos y materiales necesarios para llevarlo a cabo.
• Establecer un seguimiento individual de cada proyecto y uno general del Plan, algo que deberá hacerse con una periodicidad fija (cada mes, cada 6 meses, cada año…). Además, en caso de que se produzcan cambios significativos en la empresa que puedan modificar el enfoque estratégico, se deberá revisar el Plan para comprobar si todavía es válido y coincidente con la estrategia de la compañía.
• Cada vez que se alcance un objetivo previsto, se debe confirmar que las deficiencias o problemas que se identificaron en la evaluación y análisis previos, han sido realmente subsanados.

Ejemplos

A continuación os dejamos una infografía con un ejemplo de Plan de Seguridad (simplificado) de una editorial y librería electrónica, siguiendo los pasos que hemos indicado más arriba.