Imagina que tu empresa es víctima de un ataque por un virus informático o sufre una pérdida de datos y no dispone de una copia de seguridad, o se avería algún servidor que impide el uso de la principal aplicación corporativa o el acceso a los datos de pedidos y ventas durante días.
Si sucede cualquiera de estos casos, tu empresa podría paralizar su actividad, con la consecuente pérdida de dinero, clientes y reputación pero ¿sabes cuánto tiempo necesitaría para reanudar su actividad con normalidad? ¿conocemos los riesgos a los que se expone? ¿Y en definitiva tiene tu empresa un plan?
Se necesita un plan
Cada vez más, las empresas tienen una mayor dependencia de la tecnología para la gestión de sus procesos productivos y funciones clave. Por ello, es necesario que dispongan de un plan que les permita tener una guía para implantar de forma coordinada y continua medidas de seguridad y procedimientos que permitan eliminar o mitigar estos riesgos, en definitiva, disponer de un plan director de seguridad.
¿Qué es un Plan Director de Seguridad?
Consiste en la definición y priorización de un plan en materia de seguridad de la información. Se realiza a partir de un exhaustivo análisis de la situación inicial, y tiene como objetivo, reducir los riesgos a los que se expone la empresa hasta alcanzar unos niveles de riesgos aceptables para su dirección.
Fases de elaboración y puesta en marcha de un Plan Director de Seguridad
Plan director de seguridad
1. Conocer la situación actual
En esta fase inicial ,se analiza y se realiza la toma de datos en todas las áreas de la compañía desde el punto de vista tecnológico, organizativo, regulatorio y normativo, entre otros, para poder conocer la situación y punto de partida.
¿Qué aspectos se determinan en esta fase?
- Los activos y procesos de negocio críticos
- Las personas que tienen responsabilidad sobre esos activos y procesos
- Evalúa el grado de cumplimiento referente a aspectos normativos y regulatorios del sector
- Analiza y define la madurez tecnológica de la empresa completándolo con un análisis técnico de seguridad
- Se establece los objetivos para cumplir en materia de Ciberseguridad
2. Conocer la estrategia de la empresa
En segundo lugar, es importante tener conocimiento de los proyectos planificados por la compañía a corto o a medio plazo. Por ejemplo, externalizar algún área o posibles cambios en la estructura de la organización, pueden afectar a las posibles medidas incluidas en el plan y peso de estas.
Por esta razón, no se puede olvidar que es fundamental, trabajar con los diferentes departamentos para conseguir una visión global de la estrategia y reducir su nivel de impacto en la implementación.
3. Realizar un análisis de riesgos
Paralelamente a los trabajos anteriores, es necesario realizar un análisis de riesgos a los que está expuesta la empresa.
Pasos para confeccionar un análisis de riesgos
- Identifica los activos expuestos y sus posibles amenazas determinando el nivel de riesgo al que está expuesto cada activo
- Estudia la probabilidad y las consecuencias que tiene para la empresa que una posible amenaza ocurra
- Determina los riesgos que no son aceptables para la empresa y medidas a implantar en estos casos
- Una vez establecidas las medidas, determina si cuando se aplican, continua el riesgo y en qué grado, definiendo el nivel de riesgo aceptable, es decir, los riesgos que podemos tratar y asumir
4. Definir los proyectos e iniciativas
En esta fase, se definen los proyectos e iniciativas que se necesitan llevar a cabo para conseguir el nivel de seguridad requerido por la empresa.
- Se determinan las acciones que mejoren los procesos ya existentes
- Se aplican acciones relacionadas con los controles físicos y técnicos que son necesarios
- Determinan los proyectos más adecuados para gestionar los riesgos no aceptados por la empresa
Recuerda: es necesario contemplar coste económico y las horas requeridas para llevar a cabo las acciones propuestas
5.Clasificar y priorizar los proyectos a realizar
Todas estas iniciativas y proyectos definidos en la fase anterior deben de ser clasificados y priorizados por diferentes criterios.
Por ejemplo, un criterio podría ser organizar los proyectos según su coste y el esfuerzo que requieren. Así, estableceremos proyectos a corto, medio y largo plazo.
6. Aprobar el Plan Director de Seguridad
La Dirección, es la responsable de revisar y aprobar el Plan Director de Seguridad, además de realizar la asignación de los recursos necesarios para llevar las iniciativas y planes a cabo.
Importante, una vez aprobado el plan, la dirección debe de comunicar el plan a todos los empleados para conseguir su apoyo y colaboración para su aplicación.
7. Puesta en marcha
Finamente en esta última fase, se debe de contemplar una serie de aspectos que facilitarán el éxito del proyecto:
- Al comienzo del proyecto, realiza una presentación general del mismo a las personas implicadas, haciéndoles partícipes de cuáles son los trabajos y los objetivos que se persiguen.
- Asigna responsables de cada proyecto a cada uno de los proyectos establecidos y dotarlo de los recursos necesarios.
- Establece la periodicidad con la que se debe realizar el seguimiento individual de los proyectos y el Plan Director de Seguridad.
- Según se vayan logrando los objetivos previstos, confirma que las deficiencias identificadas en las auditorías o en el análisis de riesgos han sido subsanadas.
En Mr. Houston sabemos de la importancia que tiene para las empresas trabajar con un partner técnico especializado que diseñe y ejecute un plan a su medida.
¿Necesitas que te asesoremos para realizar tu plan?
Rellena este formulario y nos pondremos en contacto contigo. Estamos encantados de atenderte
Si tienes alguna duda sobre nuestros servicios, por favor escríbenos a soluciones@mrhouston.net
———————————————————-
No olvides seguirnos en nuestras redes sociales Twitter y LinkedIn para mantenerte informado sobre la actualidad tecnológica y la ciberseguridad.
