Hoy en día, con la evolución de las tecnologías de la información y comunicaciones, podemos automatizar la mayoría de las tareas realizadas en nuestra empresa. Y tienen tanta importancia que muchas de esas tareas sería imposible realizarlas sin ellas.
Las empresas manejan una gran cantidad de información: bases de datos de clientes, facturas, pedidos, etc. Y este es su principal activo.
Además, la mayoría de esa información está almacenada en soportes digitales por lo que proteger esos sistemas informáticos es proteger el negocio.
Es necesario que las empresas planifiquen la gestión de las actuaciones en materia de ciberseguridad para garantizar la seguridad de la información.
Y para garantizar esa seguridad de la información surge el Plan Director de Seguridad o Plan de Ciberseguridad.
Aquí te explico en qué consiste el Plan Director de Seguridad y las actuaciones necesarias para implantarlo en la empresa.
Indice
Qué es un Plan de Ciberseguridad
Un Plan de Ciberseguridad es un conjunto de proyectos establecidos para garantizar la seguridad de la información mediante la disminución de los riesgos que pueden producirse en la empresa hasta conseguir un nivel aceptable. A la hora de establecer esos proyectos debe realizarse un análisis de la situación actual de la empresa.
Es importante tener en cuenta los objetivos estratégicos de la empresa para que el Plan Director de Seguridad sea eficaz. En él debe incluirse el alcance y las obligaciones en materia de seguridad para los empleados y terceros que colaboren con la empresa.
Cómo implantar un Plan de Ciberseguridad
A la hora de establecer las actuaciones que componen el Plan Director de Seguridad debemos tener en cuenta diversos aspectos como:
- Tamaño de la empresa
- Madurez en el ámbito tecnológico
- Sector al que pertenece
- Legislación a la que está sometida su actividad
- Tipo de información que trata
- Alcance del proyecto
- Otros elementos de la organización
Todos esos factores afectarán a la complejidad y la amplitud de este Plan. El Plan Director de Seguridad está basado en una mejora continua por lo que este debe actualizarse constantemente.
Las fases a la hora de elaborar y aplicar un Plan Director de Seguridad son las siguientes:
- Conocimiento de la situación actual
- Conocimiento de la estrategia de la empresa
- Definición de proyectos e iniciativas
- Clasificación y priorización
- Aprobación por la dirección
- Implantación
A continuación analizamos cada una de estas fases.
1. Conocimiento de la situación actual de la empresa
Debemos ser conscientes de la situación en la que se encuentra la empresa en materia de ciberseguridad. Para ello tenemos que realizar analisis referidos a los aspectos organizativos, técnicos, normativos y regulatorios.
Esta fase es la más complicada e importante a la hora de elaborar el Plan Director de Seguridad. Por eso es importante la implicación de todos los participantes y que se proporcione una información completa, veraz y actualizada para entender la situación actual de la empresa.
Para asegurar el éxito de este Plan es esencial disponer del apoyo de la Dirección. De esa forma garantizaremos la alineación del proyecto con los objetivos de la empresa y los recursos necesarios para ponerlo en marcha.
Actuaciones previas
Antes de comenzar con la elaboración del Plan Director de Seguridad debemos realizar una serie de actuaciones:
Delimitar el alcance
Es muy importante establecer el alcance que va a tener este Plan Director de Seguridad ya que, de esa forma, podremos determinar los trabajos a realizar y el principal foco de mejora.
Dentro de los alcances se puede elegir un solo departamento, unos sistemas específicos o unos servicios críticos.
Lo aconsejable es elegir como alcance los procesos y activos críticos del negocio. Así, la aplicación del Plan tendrá unos efectos más positivos para la seguridad de la información en la empresa.
Definir los responsables de la gestión de activos
Dentro de los activos de información se incluyen todos los equipos, personas, procedimientos, software e instalaciones que contienen o tratan información. Es todo aquello que tiene valor para la empresa.
Deben definirse las responsabilidades sobre los distintos activos: dispositivos móviles, instalaciones, equipos informáticos, servicios y aplicaciones. Con ello será más fácil realizar un seguimiento del cumplimiento de los objetivos previstos y de la recopilación y análisis de la información.
Deben establecerse al menos los siguientes perfiles:
- Responsable de Seguridad, será el responsable de hacer un seguimiento y coordinar todas las actuaciones implantadas por la empresa en
materia de Seguridad de la Información. - Responsable de Información, en el caso de manejar información específica que es gestionada a través de diferentes entornos.
- Responsables de ámbito, en el caso de realizar actuaciones en el ámbito lógico, físico, legal y organizativo.
Valoración inicial
Previamente a la elaboración del plan debemos determinar la situación actual de la empresa para así establecer los controles y requisitos que debemos aplicar. Los controles son las medidas organizativas, técnicas o legales que se aplican para reducir los riesgos de seguridad.
A la hora de evaluar los aspectos legales y regulatorios debemos tener en cuenta el estándar internacional ISO/IEC 27002:2013. En él se indican buenas prácticas en materia de seguridad de la información. Por ejemplo, la realización de copias de seguridad, el cumplimiento del RGPD o el establecimiento de un plan de continuidad de negocio.
Para elaborar un eficaz Plan Director de Seguridad es muy importante conocer esta norma 27002:2013.
Una vez analizados los controles establecidos por esa norma tendremos que redactar un documento con aquellos controles que sean aplicables a nuestra empresa. El documento se denomina «Documento de Selección de Controles». Ahí debemos especificar si esos controles ya están aplicados en la empresa y el estado en el que se encuentran.
Análisis de cumplimiento
Para realizar ese análisis de cumplimiento debemos:
- Llevar a cabo reuniones con el personal de los diferentes departamentos de la empresa para evaluar si se cumplen los controles de seguridad aplicados.
- Inspeccionar in situ las instalaciones para verificar el cumplimiento de los controles de acceso físico y seguridad medioambiental.
- Registrar todos los fallos y problemas que se vayan detectando respecto al cumplimiento de esas medidas de seguridad. Es recomendable usar listas de verificación y formularios donde se indiquen los elementos a revisar.
- Analizar todos los resultados obtenidos, valorando el nivel de cumplimiento en una escala del 0 al 5.
Establecer los objetivos
Para finalizar esta fase debemos determinar cuáles son los objetivos en materia de ciberseguridad que debe cumplir la empresa y los aspectos que se deben mejorar.
Análisis técnico de seguridad
Este análisis consiste en la evaluación del grado de implantación y cumplimiento de los controles de seguridad en los sistemas de la empresa que almacenan y gestionan información.
Para ello, además de las inspecciones y entrevistas, debemos valorar los siguientes aspectos:
- Si la empresa tiene instalados antivirus y cortafuegos
- Si la página web es segura
- La existencia de una red adecuadamente segmentada para impedir la visibilidad en Internet de los servidores internos o los equipos de los usuarios.
- Existencia de controles de acceso físico a las zonas donde se almacene información sensible.
A través de este análisis podemos comprobar la eficacia de los controles de seguridad implantados y las deficiencias existentes.
El alcance de esta auditoría será diferente según el ámbito de la empresa y la estrategia de negocio. Por ejemplo, una empresa dedicada al comercio electrónico puede estar interesada en la seguridad de su página web, mientras que una empresa con otros riesgos diferentes en cuanto a fuga de
información puede estar más interesada en mejorar el proceso de alta y baja de empleados, políticas de buenas prácticas del uso del correo corporativo o los controles de acceso.
Análisis de riesgos
A través del análisis de riesgos es posible detectar las amenazas a las que está expuesta la empresa.
Los pasos para realizar un análisis de riesgos son los siguientes:
- Identificar los activos de información de la empresa con sus vulnerabilidades y las amenazas a las que está expuesto.
- Determinar los riesgos asociados a cada activo de información antes de aplicar los controles adecuados.
- Establecer la probabilidad de que un riesgo se materialice y las consecuencias que esa materialización tiene para la empresa.
- Determinar los riesgos que no son aceptables para la empresa y establecer los controles a aplicar en esos casos.
- Obtención del riesgo residual que determina el grado de exposición del activo a esas amenazas una vez implantados los controles y las consecuencias de que esas amenazas se produzcan.
- Establecer el nivel de riesgo aceptable, es decir, los riesgos que debemos tratar y los que podemos asumir. Existen cuatro maneras de tratar los riesgos:
- Transferirlos a un tercero
- Eliminarlos
- Asumirlos
- Aplicar medidas para reducirlos
2. Conocimiento de la estrategia de la empresa
Es necesario conocer los proyectos presentes y futuros de la empresa, sus previsiones de crecimiento, los cambios producidos, etc. También si la empresa tiene externalizados los servicios TIC o si va a comenzar a desarrollar su actividad en otros sectores.
Esto nos ayudará a aplicar medidas de seguridad adecuadas a la naturaleza de la empresa.
Es aconsejable analizar esta estrategia junto a los responsables de todos los departamentos afectados y con la dirección.
3. Definir los proyectos e iniciativas
Debemos establecer los proyectos e iniciativas necesarios para conseguir el nivel de seguridad requerido por la empresa.
Los pasos a seguir son los siguientes:
- Definir iniciativas que mejoren los procesos de trabajo actuales teniendo en cuenta los controles establecidos por las leyes.
- Aplicar las acciones relacionadas con los controles físicos y técnicos que faltan en la empresa.
- Determinar los proyectos más adecuados para gestionar los riesgos por encima de nuestro riesgo aceptable.
Debemos tener en cuenta el coste temporal y económico de las iniciativas propuestas.
4. Clasificar y priorizar los proyectos a realizar
Debemos clasificar y priorizar las iniciativas y proyectos previstos. Las acciones a realizar pueden ser muy variadas por lo que es aconsejable dividir las propuestas o agrupar las iniciativas para homogeneizar los proyectos establecidos.
Las iniciativas pueden clasificarse según su origen o por el tipo de acción. Y es muy importante organizar los proyectos según su coste temporal y el esfuerzo que requieren. Así, estableceremos proyectos a corto, medio y largo plazo.
Además, es recomendable establecer un grupo que reúna aquellos proyectos cuya consecución requiere poco esfuerzo pero su resultado produce
mejoras sustanciales en la seguridad.
5. Aprobar el Plan Director de Seguridad
La Dirección de la empresa es la encargada de revisar y aprobar el Plan Director de Seguridad. Al realizar la revisión es posible que haya que modificar el alcance, la prioridad de algún proyecto o la duración del plan.
Una vez aprobada la versión final debe comunicarse a todos los empleados la necesidad de su apoyo a este plan y de su colaboración para aplicarlo.
6. Puesta en marcha
Con el Plan de Ciberseguridad aprobado conseguiremos el nivel de seguridad que la empresa necesita.
Existen una serie de aspectos que facilitarán el éxito del proyecto y que se consigan los objetivos propuestos:
- Al comienzo del proyecto, debemos realizar una presentación general del mismo a las personas implicadas, haciéndoles partícipes e
informándoles de cuáles son los trabajos y los resultados que se persiguen. - Asignar Responsables / coordinadores de proyecto a cada uno de los proyectos establecidos y dotarlo de los recursos necesarios. Dependiendo de la envergadura del proyecto, puede ser necesario formar un Comité de Gestión que se encargue de la supervisión del mismo.
- Establecer la periodicidad con la que se debe realizar el seguimiento individual de los proyectos así como el seguimiento conjunto del Plan Director de Seguridad. Si se producen cambios en la empresa o en el entorno de la misma que puedan modificar su estrategia, será necesario revisar el Plan Director de Seguridad, para verificar que sigue siendo válido y adecuado a la estrategia general de la organización.
- Según se vayan logrando los objetivos previstos, debemos confirmar que las deficiencias identificadas en las auditorías o en el análisis de riesgos han sido subsanadas.
Ejemplo
El INCIBE ha puesto a disposición de las empresas un modelo de Plan Director de Seguridad que nos puede servir de ejemplo para elaborar nuestro propio plan en la empresa.