Ciberseguridad
Plan Director de Seguridad
Plan Director de Seguridad, definición:
Según el INCIBE un Plan Director de Seguridad, (en adelante PDS) consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial. Es fundamental para la realización de un buen PDS que se analice con los objetivos estratégicos de la empresa, incluya una definición del alcance e incorpore las obligaciones y buenas prácticas de seguridad que deberán cumplir los trabajadores de la organización, así como terceros que colaboren con esta.
PDS OBJETIVOS
¿Cuáles son los objetivos que se persiguen con el PDS?.
1
La evolución inicial de la situación y el entorno, con la que se podrán identificar los riesgos para la seguridad digital de la compañía.
2
La identificación de aquellas áreas de la empresa que más expuestas están a esos riegos, en base a la gravedad del impacto y la probabilidad de que ocurran.
3
Crear e implantar las medidas de seguridad pertinentes que ayuden a reducir al mínimo aceptable o residual esos riesgos.
4
Realizar un seguimiento de las medidas implementadas y los resultados obtenidos, ¿se ha mejorado la seguridad?, ¿se han evitado ataques y pérdidas de información?
5
Realizar una mejora continua del Plan, volviendo a evaluar y analizar la situación y mejorar las medidas adoptadas o aplicar nuevas.
¿Qué pasos conlleva la un PDS?.
Lo primero que debemos tener presente es que se trata de un proceso dinámico y, por tanto, cíclico en cualquier organización, por lo que debe ser objeto de atención, supervisión y revisión constante para verificar la efectividad y eficiencia del mismo. Los pasos se podrían catalogar en los siguientes seis:
Definición de la política de seguridad
Lo que permitirá establecer el punto de partida del nivel de seguridad de la organización y establecer los objetivos a lograr con el PDS. Se hace necesario fijar qué se debe proteger, cómo se gestionaran los riesgos, qué objetivos que se quieren alcanzar y cuáles deben ser objeto de mejora. Esta política deberá ser comunicada a todas las partes involucradas, tanto internas como externas. También será necesario definir los roles y responsabilidades dentro de la organización para alcanzar esos objetivos.
Conocimiento de la estrategia corporativa
El PDS debe servir como herramienta para la consecución de los objetivos estratégicos del negocio, por tanto, requiere que se incorpore al mismo aquellos objetivos de negocio a corto, medio y largo plazo que se quieren alcanzar. Esto servirá para orientar correctamente los objetivos del PDS y que los mismos estén correctamente alineados.
Definir proyectos e iniciativas corporativas
Como hemos expuestos, el PDS debe ser el medio para la consecución de los objetivos de negocio y, estos últimos, afectan a todas las actividades, departamentos y funciones del propio negocio. Esto motiva que lo primero que deberá ser tenido en cuenta tiene que ver con aquellas líneas de actuación que vendrán impuestas por normativas, leyes u obligaciones contractuales, por lo que estarán encaminadas a ayudar a la organización a CUMPLIR. Un segundo paso a realizar, estará encaminado a suplir las carencias detectadas en los análisis previos efectuados y dotar a la organización de controles efectivos compensatorios que equilibre el nivel de riesgo, mitigando los mismos hasta el nivel aceptado y definido en el apetito del riesgo. Y como tercer y último paso, tocará definir la estrategia como los proyectos más adecuados para gestionar los riesgos.
Complete Worflow For Any SEO Professional
Clasificar y priorizar los proyectos. No todos los proyectos tienen el mismo nivel de prioridad de ahí la necesidad de establecer un criterio de clasificación y de priorización, por tanto, se hace necesario contar con un criterio de clasificación. Algunos ejemplos podrían ser:
Aprobación del PDS
Una vez redactado el borrador del PDS tocará darle traslado a la dirección de la empresa. La dirección deberá revisar el contenido del mismo (alcance, duración, clasificación, prioridad, etc.) y realizar propuestas para la mejora hasta concretar el PDS definitivo que debe ser aprobado y comunicado.
Puesta en marca e implementación del PDS
Siguiendo las instrucciones de la dirección establecidas en el PDS, los distintos roles realizaran las tareas encomendadas contando con los recursos dispuestos por la dirección.
¿Quieres saber más sobre Ciberseguridad?
Revisa el siguiente paso para saber que es la política de seguridad.
