Fases de implementación de un Plan Director de Seguridad

Un blog editado por ISOTools Excellence

Seguridad de la Información

Blog especializado en Seguridad de la
Información y Ciberseguridad

cerrojo

Fases de implementación de un Plan Director de Seguridad

Fases de implementación de un Plan Director de Seguridad

Plan Director de Seguridad

Plan Director de Seguridad

Las fases de implementación de un Plan Director de Seguridad pueden variar en función de factores como el tamaño de la organización o el sector al que pertenece la empresa, entre otros.

Estos factores pueden llegar a determinar la complejidad del Plan Director de Seguridad, sin embargo, para la puesta en marcha del mismo se seguirán 6 fases diferenciadas:

  1. Conocer la situación actual.
  2. Conocer la estrategia de la organización.
  3. Definir proyectos e iniciativas.
  4. Clasificación y priorización.
  5. Aprobación por la dirección.
  6. Implantación del Plan Director de Seguridad.

 

1. Conocimiento del estado de la compañía

La primera fase consiste en conocer en qué situación se encuentra la empresa en el momento actual en materia de ciberseguridad. En este sentido se llevarán a cabo diferentes análisis relativos a aspectos técnicos, organizativos, regulatorios y normativos, entre otros.

Esta es la fase más importante y compleja en lo que respecta a la elaboración e implementación del Plan Director de Seguridad. La participación de diferentes personas en este proceso se une a la importancia que tiene que la información de la organización que hace falta para poder conocer y evaluar la situación en que se encuentra.

La mencionada información deberá ser tanto fiable como completa y actualizada. En la fase dedicada a conocer la situación actual de la organización es vital contar con el apoyo de la Alta Dirección.

De esta forma es posible asegurar que la implementación del Plan Director de Seguridad tendrá éxito. La Dirección será fundamental en la medida en que respalda el suficiente abastecimiento de recursos, así como que el enfoque del proyecto estará alineado con la filosofía y la estrategia de la organización.

 

2. Conocer la estrategia de la organización

La segunda fase de cara a la implementación de un Plan Director de Seguridad es la de conocer la estrategia de la organización. Para ello habrá que considerar los proyectos que se encuentren en curso y los futuros, las distintas previsiones de crecimiento o cualquier otro tipo de cambio que pueda darse en el interior de la organización.

También habrá que valorar si se opta por una estrategia basada en la centralización de servicios, por la externalización de los servicios TIC, si se encuentra dentro de un grupo empresarial mayor o si se prevé iniciar la actividad en algún otro sector diferente del actual que precise requisitos legales adicionales. Es por ello que estos factores pueden afectar a la orientación de las medidas tomadas en la organización, así como al peso que tengan.

Es cierto que esta segunda fase precisa de menos esfuerzos y costes que el resto, no obstante, su importancia es vital al permitir implantar medidas de seguridad acordes con la naturaleza de la organización en cuestión. Además, al tener claro la estrategia de seguridad de la organización, se puede alinear con la estrategia TIC y con la estrategia general de negocio de la compañía.

En pro del correcto desarrollo de la segunda fase es recomendable analizar la estrategia con todos los responsables de los departamentos implicados, así como con la Alta Dirección. De esta forma se les hará partícipes del proyecto y se conseguirá una visión objetiva y global de toda la estrategia de negocio.

 

3. Definir proyectos e iniciativas

En base a la información recabada se procederá a definir las diferentes acciones, iniciativas y proyectos que sean necesarios para alcanzar el nivel de seguridad requerido. El análisis incluye diferentes ámbitos como Recursos Humanos, Dirección o Mantenimiento, entre otros.

Con ello las iniciativas puestas en marcha para subsanar las deficiencias que se pudieran detectar igualmente serán de distinta índole:

  • Mejora de las formas de trabajo actuales, incluyendo los controles establecidos tanto por el marco normativo como por el regulatorio.
  • Acciones relacionadas con controles técnicos y físicos en base a las ausencias detectadas.
  • Definición de la estrategia y los proyectos para la gestión de los riesgos que se encuentren por encima del riesgo aceptable.

Siempre que sea posible se hará una estimación del coste de las iniciativas que se propongan, tanto en términos temporales como económicos. También habrá que contemplar los recursos materiales y los recursos humanos necesarios, a nivel interno y externo.

A la hora de definir qué iniciativas se van a implantar habrá que tener en cuenta la estrategia de la organización.

 

4. Clasificación y priorización de los proyectos a realizar

Cuando se identifiquen las acciones, las iniciativas y los proyectos habrá que clasificarlos y darles prioridad a unos frente a otros. Será positivo agrupar las diferentes iniciativas, dando homogeneidad a los proyectos que se hayan definido.

Para proceder a la clasificación de las iniciativas se podrá usar como criterio el origen o el tipo de acción, entre otros elementos. No obstante, es recomendable organizar los proyectos en función del esfuerzo y el coste temporal, divididos en proyectos a corto, medio y largo plazo. También es posible diferenciar un grupo de proyectos que requieran poco esfuerzo, pero con mejoras importantes en seguridad.

 

5. Aprobación por la dirección del Plan Director de Seguridad

La quinta fase constituye la revisión y aprobación del Plan Director de Seguridad por la Alta Dirección. Es posible que en este punto se modifiquen algunos elementos como el alcance, la duración o la prioridad de algunos proyectos.

También es posible llevar a cabo la revisión de manera periódica hasta alcanzar una versión final aprobada por la Dirección. Tras ello, habrá que hacérselo saber a todos los empleados y empleadas la organización. Será de importancia que todo el mundo colabore en la implantación del Plan Director de Seguridad.

 

6. Implantación y puesta en marcha del Plan Director de Seguridad

Cuando se apruebe, el Plan Director de Seguridad marca el camino para conseguir un buen nivel de seguridad en la compañía. Existen algunos aspectos que favorecerán el éxito del proyecto y la consecución de los objetivos establecidos como son: una presentación general del proyecto a las personas implicadas al inicio del proyecto; la asignación de responsables; el establecimiento de un seguimiento periódico; y la detección de deficiencias para subsanarlas.

 

Software ISO 27001

La norma ISO 27001:2013, junto con el resto de estándares internacionales que componen su familia, establece los requisitos necesarios para poder implementar un SGSI de forma rápida y sencilla. Por su parte, el Software ISOTools Excellence para la ISO 27001 da solución a todas las cuestiones que se plantean a la hora de implementar este tipo de Sistema de Gestión en una empresa.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...