¿Conoces alguna empresa que no sea dependiente de los sistemas informáticos y de la información que guardan en ellos? La respuesta muy probablemente sea negativa. Y es que empresas de todos los tamaños y en todos los sectores emplean las nuevas tecnologías.
En algunos casos, a través de estas herramientas se gestiona información y procesos vitales para la compañía. Es decir, si dejaran de funcionar la actividad de la organización se paralizaría parcial o totalmente. Por ejemplo, si fallara la aplicación que controla el stock de una tienda probablemente no sería necesario que ese día cerrase sus puertas al público, pero complicaría enormemente el trabajo a sus dependientes al tener que comprobar manualmente la disponibilidad de cada producto. No obstante, si un día se cayera por completo el sistema informático que da soporte a la red de metro de una ciudad, probablemente desencadenaría un caos circulatorio que se extendería más allá de la red del suburbano.
Así pues, en estos y muchos otros casos es necesario implementar un Plan Director de Seguridad (PDS), que es, a grandes rasgos, un estudio del riesgo al que está expuesta la organización dada su dependencia de las nuevas tecnologías en base al cual se desarrolla un plan para reducir ese riesgo.
¿Cómo se desarrolla un Plan Director de Seguridad?
El Instituto Nacional de Ciberseguridad de España (INCIBE) ha editado una guía en el marco de la colección “Protege tu empresa” en la que ofrece una serie de pautas para desarrollar un PDS y que pueden resumirse en lo siguiente:
Fase 1. Conocer la situación actual
En esta fase se acota y establece el alcance, es decir, la magnitud del proyecto en cuestión. También hay que definir quién o quiénes son los responsables de la gestión cada uno de los activos de la organización y realizar una valoración preliminar de la situación actual en este ámbito. Por último, el INCIBE recomienda celebrar una reunión con los distintos departamentos para analizar el cumplimiento de los controles de seguridad implantados y establecer los objetivos en materia de ciberseguridad.
Fase 2. Conocer la estrategia corporativa de la organización
Conocer todos los elementos de la estrategia empresarial como los proyectos en los que está actualmente trabajando o en los que prevé trabajar, sus previsiones crecimiento o sus planes de reorganización permite alinear la estrategia de seguridad con la estrategia corporativa de la organización.
Fase 3. Definir proyectos e iniciativas
En base a toda la información recabada hasta ese momento, se deben definir proyectos e iniciativas encaminados a alcanzar el nivel de seguridad óptimo para la organización.
Fase 4. Clasificación y priorización de acciones, iniciativas y proyectos.
En esta etapa es esencial decidir qué proyectos deben realizarse a corto, medio y largo plazo.
Fase 5. Aprobación por la dirección.
El director o directora de la organización debe revisar el PDS y aprobar una versión definitiva, que se debe trasladar a todos los empleados.
Fase 6. Puesta en marcha/Implantación del PDS
De acuerdo a la metodología de gestión de proyectos que cada empresa emplee o considere más oportuna.
Fuente: Plan Director de Seguridad – Incibe
Tal y como muestra la infografía elaborada por el INCIBE, se trata de un proceso iterativo en el que una vez que se alcance la última fase debe comenzarse de nuevo para mejorar continuamente.
Laura Juan Vindel, Asistente de Marketing en Áudea Seguridad de la Información.
Últimos posts de El Blog de IMF Smart Education (ver todo)
- ¿Vale la pena formarse en un MBA? - 18/01/2023
- Integración, procesos de planificación y certificación PMI - 19/05/2022
- Todo sobre un Consultor de Gestión de Proyectos - 10/05/2022