Conoce Atico34 - Solicita presupuesto
Ciberseguridad

¿Qué es y cómo implantar un Plan Director de Seguridad en una empresa?

Actualmente, todas las empresas dependen en alguna medida de los sistemas informáticos; la mayoría los emplea para almacenar información, para que los trabajadores desempeñen sus funciones laborales e incluso para su gestión comercial y administrativa. Por ello, la seguridad de dichos sistemas informáticos es fundamental, tanto para pequeñas empresas como para grandes compañías, sean estas privadas o públicas. A través de un Plan Director de Seguridad, estas empresas pueden mejorar y reforzar la seguridad de sus sistemas, adelantarse a problemas futuros, prevenirlos y hasta evitarlos.

En esta entrada explicaremos qué es un Plan Director de Seguridad y cómo implantar en tu empresa.

¿Qué es el Plan Director de Seguridad?

El Plan Director de Seguridad consiste en un conjunto de proyectos elaborados con el objetivo de mejorar y garantizar la seguridad de la información de la empresa, a través de la reducción de los riesgos a los que están expuestos los sistemas informáticos, hasta alcanzar un nivel aceptable.

El Plan Director de Seguridad debe partir siempre del análisis de la situación inicial de la empresa en materia de seguridad informática y debe, además, estar alineado con los objetivos estratégicos de la compañía.

Este Plan Director de Seguridad de la información, además, incluirá una definición de su alcance, así como las obligaciones y buenas prácticas de seguridad que deberán cumplir tanto los trabajadores de la empresa como sus colaboradores externos.

Objetivos generales de estos planes

Los principales objetivos generales de este tipo de planes se pueden agrupar en tres puntos clave:

  • Evaluar la situación inicial y el entorno, para identificar los riesgos sobre la seguridad de la información.
  • Identificar qué áreas de la empresa son las más expuestas a estos riesgos, en función de la gravedad del impacto y la probabilidad de que ocurra.
  • Adoptar las medidas necesarias para reducir al mínimo posible estos riesgos.

¿Qué beneficios obtienen las empresas que lo tienen?

La elaboración y adopción de un Plan Director de Seguridad informática puede aportar una serie de beneficios a las empresas. El primero de ellos es conocer qué áreas de la compañía están más expuestas a posibles ataques, filtraciones de seguridad o situaciones imprevistas (por ejemplo, una caída del servidor en el que está alojada la web de empresa).

Conocer los riesgos a los que los sistemas informáticos de tu compañía están expuestos, facilitará la creación e implementación de las medidas de seguridad necesarias para prevenirlos e incluso evitar algunos de ellos. Así como tener preparados planes y medidas de contingencia en caso de que ocurran problemas relacionados con estos riesgos.

El Plan Director de Seguridad se convierte así en una guía para las empresas, en la que se marcan los tiempos para implementar las medidas de seguridad necesarias para reducir los riesgos (en orden en función de su gravedad e impacto para el funcionamiento de la empresa). Y además sirve para calcular los costes derivados de la implantación de estas medidas y elaborar así un presupuesto ajustado.

¿Qué situaciones se pueden dar en la empresa, en las que contar con un Plan Director de Seguridad tiene sentido?

Hasta ahora hemos hablado de riesgos para la seguridad de la información de forma muy abstracta. Es el momento de concretar qué tipo de situaciones pueden producirse en la empresa que justifiquen la elaboración de un Plan Director de Seguridad:

  • Sufrir los efectos de un virus informático en los equipos y la red de la empresa.
  • Posibles pérdidas de datos o incapacidad de recuperar la información, porque no tenemos copias de seguridad.
  • Pérdidas de unidades externas de almacenamiento (como memorias USB o discos duros portátiles) que contienen información sensible.
  • Si tenemos página web, sufrir un ataque de denegación de servicio.
  • Caída de servidores que impidan la conexión a Internet o el uso de algún otro servicio en línea (como el acceso al correo electrónico).
  • Preguntarnos si sabemos los riesgos a los que se expone la empresa ante algún tipo de ataque informático o fallo del sistema.
  • En caso de que gestionemos información de la empresa a través de dispositivos móviles suministrados a los empleados.
  • Si parte de la plantilla desempeña su labor en la modalidad de teletrabajo y los riesgos para la seguridad de la información que entraña.
  • Determinar si el soporte informático debe ser interno o a través de un servicio externo.

Pasos fundamentales para implantar un Plan Director de Seguridad en una empresa

Ahora que ya sabemos qué es un Plan Director de Seguridad y por qué es interesante contar con uno, vamos a ver cómo implantarlo.

Pero antes, no podemos perder de vista los siguientes elementos:

  • El tamaño de la empresa
  • Su madurez en el ámbito tecnológico
  • El sector al que pertenece
  • La legislación que regule su actividad
  • El tipo de información que trata
  • El alcance del proyecto
  • Otros elementos de la organización

Para elaborar e implantar el Plan Director de Seguridad se siguen 6 fases, que además serán cíclicas, puesto que, como nos indica el INCIBE, este plan se basa en una mejora continúa, por lo que al completar las fases, volveremos al principio. Esto no quiere decir que debamos elaborar un Plan Director de Seguridad todos los años, puesto que lo normal es que tengan una vigencia de entre 2 y 4 años, dependiendo del tipo de empresa, la información que maneja, sus sistemas, el sector al que pertenece y si se producen cambios significativos durante ese tiempo.

Infografia fases Portada plan director de seguridad

1.- Conocer la situación actual: Esta primera fase es la más importante, porque debe implicar a todos los departamentos o miembros de la empresas involucrados en la elaboración del plan, incluyendo el apoyo de la dirección, para garantizar que los proyectos que compondrán el Plan Director de Seguridad se alinean con los objetivos de la empresa y se cuenta con los recursos para llevarlos a cabo. En esta fase se llevarán a cabo:

  • Actuaciones previas:
    • Delimita el alcance del plan
    • Definen los responsables de la gestión de activos
    • Se hace una valoración inicial de la situación actual de la empresa, para establecer los controles y requisitos que se deben aplicar. Es muy recomendable seguir las directrices de la ISO/IEC 27002:2013 en materia de buenas prácticas de seguridad de la información.
    • Análisis del cumplimiento
    • Establecer objetivos
  • Análisis técnico de seguridad
  • Análisis de riesgos

2.- Conocimiento de la estrategia de la empresa: Debemos conocer los planes presentes y futuros de la empresa, su previsión de crecimiento, los cambios llevados a cabo y los que están planeados. Igualmente, debemos determinar si el soporte técnico e informático se va a externalizar o será un departamento más de la empresa.

3.- Definir los proyectos e iniciativas para alcanzar el nivel de seguridad deseado.

4.- Clasificar y priorizar los proyectos a realizar: Es importante establecer un orden y una clasificación de los proyectos de mejora de la seguridad que se incluirán en el plan, evaluando su coste temporal y económico, así como determinar qué proyectos son a corto, medio y largo plazo.

5.- Aprobar el Plan Director de Seguridad: Esta función recaerá en la dirección de la empresa, que deberá revisar el plan, realizar los cambios que crea oportunos y aprobarlo.

6.- Puesta en marcha

En los siguientes puntos vamos a desgranar algunos de los elementos clave de estas fases en más profundidad.

Definición de la política de seguridad de la empresa

La definición de la política de seguridad de la empresa corresponde a la primera fase de implantación del Plan Director de Seguridad, a través de ella podremos delimitar el alcance el plan y en qué áreas, departamentos o servicios debemos poner el foco principal.

Así mimo, la empresa debe definir la responsabilidad sobre la gestión de los activos, es decir, sobre los equipos, las instalaciones, los servicios, aplicaciones, personal y procedimientos relacionados con el manejo y gestión de la información. Además, se deberían establecer los perfiles del responsable de seguridad, el responsable de información (cuando se maneje información específica) y los responsables de ámbito (cuando se realizan actuaciones en diferentes ámbitos de la compañía).

La política de la empresa también debe definir los controles que se establecerán para reducir los riesgos sobre la seguridad de la información. Entendemos aquí los controles como las medidas organizativas, técnicas y legales.

Finalmente, también se deben definir los objetivos en materia de ciberseguridad que la empresa aspira a cumplir y aquellos en los que se debe mejorar.

Auditoria técnica de seguridad

Todavía en la primera fase, es necesario llevar a cabo una auditoría técnica de seguridad, es decir, realizar un análisis en el que se evalúen el grado de implantación y cumplimiento de los controles de seguridad en los sistemas informáticos de la empresa, en los que se almacena y gestiona la información.

Esta auditoria puede llevarse a cabo tanto de manera interna, si contamos con el personal adecuado para ello, como de manera externa, contratando los servicios de una compañía especializada.

Durante la auditoría se evaluarán los medios de seguridad con los que cuenta ya la empresa (antivirus, cortafuegos u otros sistemas de seguridad informática), la seguridad de la página web, si se dispone de una red adecuadamente segmentada para impedir que los servidores internos o los equipos de los trabajadores queden «a la vista», los protocolos de seguridad adoptados hasta la fecha, así como la existencia o no de control de acceso físico a las zonas en las que se almacena información sensible.

Al final la auditoría tendremos un informe en el que se detallará la eficacia de las medidas de seguridad ya adoptadas, las carencias existentes y dónde se debe reforzar la seguridad.

Análisis de riesgos

El análisis de riesgos servirá para determinar y detectar a qué amenazas está expuesta la empresa. Para realizar este análisis, se deben seguir los siguientes pasos:

  • Identificar los activos de información de la empresa, identificando sus vulnerabilidades y las posibles amenazas a las que están expuestos.
  • Determinar los riesgos asociados a cada activo de información.
  • Determinar la probabilidad de que un riesgo llegue a ocurrir y las consecuencias que tendría para la empresa.
  • Determinar qué riesgos no son aceptables y establecer los controles que se deben aplicar en esos casos.
  • Una vez establecidos los controles, determinar si todavía hay riesgo y en qué grado, y cómo serían en ese caso las consecuencias.
  • Determinar qué nivel de riesgo es aceptable, es decir, aquellos riesgos que podemos tratar y asumir.

Puesta en marcha del plan

La puesta en marcha del plan se corresponde a la última de las fases y la llevaremos a cabo primero presentando el Plan Director de Seguridad a los miembros de la empresa implicados en los proyectos de seguridad, informándoles de los trabajos que se deben realizar y los resultados que se quieren conseguir con ellos.

Es importante asignar responsables o coordinadores a cada uno de los proyectos del plan, además de dotarlos de los recursos humanos, económicos y técnicos para llevarlos a cabo.

Es necesario establecer los períodos de seguimiento de cada uno de los proyectos, así como del conjunto del plan, para comprobar si se están cumpliendo con las acciones previstas y alcanzado los objetivos propuestos. Además, en caso de que se produzcan cambios en la empresa o su entorno, se debe revisar el plan por si fuera necesario introducir cambios para que este siga siendo válido.

Con cada consecución de los objetivos planteados, habrá que confirmar que las carencias detectadas en la auditoría o el análisis de riesgos han sido eliminadas.

Ejemplo de plan director de seguridad

El INCIBE nos presenta en este vídeo un ejemplo de Plan Director de Seguridad de la información para un hotel, que podéis consultar para ver cómo se lleva a cabo este tipo de plan:

En conclusión, dado que por pequeña que sea tu empresa, en cierta medida dependes de algún sistema o medio informático, contar con un Plan Director de Seguridad puede ayudarte a prevenir y evitar riesgos y a saber cómo actuar cuando estos riesgos se materialicen.

Por ejemplo, el Plan Director de Seguridad (o una versión abreviada y básica del mismo) te servirá de ayuda incluso si para lo único que usas el ordenador es para almacenar facturas y presupuestos de clientes y comunicarte con ellos, puesto que podrías saber cómo proteger la información personal de tus clientes, la necesidad de tener una copia de seguridad de esos archivos o qué hacer en caso de ser el objetivo de un ciberataque. Y, como decimos, si eres una empresa pequeña, incluso podrías elaborar un sencillo Plan Director de Seguridad en un PDF, para usarlo a modo de guía y protocolo a seguir en ese tipo de circunstancias.