Español | English
rss facebook linkedin Twitter

¿Por qué un Plan Director de Seguridad?

Conceptualmente podríamos definir un Plan Director de Seguridad como la herramienta que permite a una organización definir sus actividades en Seguridad de los Sistemas de Información a corto, medio y largo plazo. De alguna forma es un traje a medida para la organización.

Los Planes Directores de Seguridad pretenden analizar y dar a “conocer” a las compañías su grado de seguridad, y proponer las medidas correctoras planificadas en el tiempo para garantizar el nivel de seguridad más adecuado a las necesidades del negocio.

A estas alturas de la película cualquier organización reconoce que el buen funcionamiento de los sistemas de información es crítico en el desarrollo de sus actividades y, al mismo tiempo, que dichos sistemas se encuentran en situación de riesgo tanto por la propia vulnerabilidad inherente a los sistemas como por una insuficiente implantación de mecanismo y controles de seguridad. Estas vulnerabilidades pueden producir perdidas de activos de la organización (BBDD, ficheros, documentación de sistemas, software de aplicación o de sistema, equipos de tratamiento informático, etc.) o incluso afectar a la continuidad del negocio. Por tanto, alguno de los motivos que justifican la necesidad de disponer de un Plan Director de Seguridad pueden ser los siguientes:

  • Importancia cada vez mayor de la seguridad de la información.
    Consideración de la seguridad con una visión integral (tecnológica, organizativa, legal, recursos humanos,...).
  • Evitar iniciativas de seguridad tomadas de forma aislada.
  • Heterogeneidad de sistemas e infraestructuras.
  • Diferentes requisitos de seguridad a lo largo de la Organización.
  • Necesidad de abordar la seguridad en un plan coherente y sistemático que marque las pautas y directrices a seguir.
El desarrollo de un Plan Director de Seguridad está basado en tres pilares fundamentales:

  • Punto de partida inicial: Análisis de la situación actual.
  • Objetivo marcado: Determinar estrategias y requisitos organizativos para llegar a una situación deseada.
  • Camino a recorrer entre ambos.
En el proceso de definición de un Plan Director de Seguridad es necesario identificar los objetivos y las necesidades en materia de Seguridad de la Información tales como los requisitos de seguridad en el negocio, la criticidad de la información, la legislación aplicable, los requisitos impuestos por dicha legislación, etc. El proceso para la elaboración de un Plan Director de Seguridad, de forma genérica, pasa por la ejecución de las siguientes fases principales:

  • Identificar los requisitos organizativos de la seguridad de los Sistemas de Información.
  • Identificar los activos y realizar una valoración de su importancia.
  • Análisis de riesgos: identificar amenazas reales y potenciales sobre los activos.
  • Alinear la seguridad con la estrategia de negocio: Determinar objetivos, estrategia y políticas.
  • Gestionar los riesgos: establecer los controles y las salvaguardas a implantar.
  • Seguimiento de la gestión de riesgos.

Tras la elaboración de un Plan Director de Seguridad los resultados obtenidos deberían contemplar, al menos, los siguientes aspectos:

  1. Las medidas de Seguridad actualmente existentes en la Organización y la identificación de puntos débiles: ¿Qué está bien?, ¿Qué está mal?, ¿Qué necesita mejorar?, ¿Se cumple con los objetivos?, ¿Cuáles los riesgos principales y a qué son debidos?, ¿Sobre qué procesos de negocio me impactan estos riesgos?, es decir, ¿en qué procesos existe un mayor riesgo?, ¿Qué procesos de negocio están afectados por las vulnerabilidades detectadas?....
  2. El nivel de seguridad que se desea alcanzar: Definir la situación objetivo ¿Hasta dónde queremos llegar?, ¿Dónde va a estar nuestro umbral de riesgo? ¿Cómo vamos a gestionar los riesgos (Evitándolos, Suprimiéndolos, Transfiriéndolos, Reduciéndolos)?.
  3. Las necesidades reales en materia de Seguridad para la Organización: Estas necesidades quedarán recogidas en forma de proyectos o acciones a realizar/ejecutar.
  4. La planificación de la implantación: Proyectos a Corto Plazo (a iniciar en los próximos 1 meses), Proyectos a Medio Plazo (a iniciar en el período comprendido entre los 12-24 meses desde la fecha actual), Proyectos a Largo Plazo (a iniciar en el período comprendido entre los 2-36 meses desde la fecha actual).
  5. Secuencia temporal y dependencia entre los proyectos: Una hoja de ruta que defina y establezca las relaciones de precedencia y dependencia entre las diferentes acciones identificadas, así como el marco temporal propuesto para su ejecución (Acciones predecesoras y vinculadas).
  6. La inversión a realizar: para cada una de las acciones o proyectos que se identifiquen.
  7. Cuantificación de recursos y costes: considerando la totalidad de los costes asociados en caso de apostar por soluciones de terceros (costes de adquisición, implementación, mantenimiento, formación a usuarios y operadores) y la dedicación de los recursos internos.


Joan Ayerbe.
Manager de Consultoría, CISM.

2 comentarios:

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Ion dijo...

Lo siento, no podemos permitir este tipo de comentarios.
Es un blog de opinión y no podemos utilizarlo como escaparate.
Espero que lo entiendas
gracias y saludos


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login