phone 915 752 750 email aec@aec.es

    Mejorar la seguridad con una planificación estratégica

    Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Mejorar la seguridad con una planificación estratégica

    Mejorar la seguridad con una planificación estratégica

    1 julio, 2021 | Blog AEC GOVERTIS | GDPR Legal

    La seguridad de la información y su gestión desempeñan una función especialmente relevante y estratégica para muchas organizaciones. La transformación de las tecnologías y el avance con las comunicaciones ha permitido automatizar y mejorar las actividades de negocio convirtiéndose en unos de los ejes centrales que lo sustentan.

    Debido a la situación de pandemia, podemos destacar diferentes aspectos relevantes desde una posición tecnológica, por un lado, la aceleración de la transformación digital de las empresas para poder instaurar el teletrabajo, abordar la continuidad de negocio y continuar con la prestación de los servicios y, por otro lado, el aumento exponencial de ciberataques aprovechando la débil estrategia de seguridad de las organizaciones.

    Es una realidad, que las compañías destinan menos recursos de los que deberían en impulsar la ciberseguridad de manera proactiva. Extraña paradoja, considerando que España es el noveno país más atacado del mundo analizando los datos proporcionados por el mapa en tiempo real de ciberamenazas de Kaspersky y que constantemente, aparecen publicaciones de empresas que sufren fuertes ciberataques de gran impacto porque el cibercrimen es un negocio muy lucrativo, con una tendencia creciente en los últimos años debido a que obtienen muchos beneficios, con lo que consiguen evolucionar los ataques a medida y consiguen nuevos “modus operandi” más agresivos.

    Sin embargo, se sigue reduciendo el coste destinado a la mejora de seguridad quizás porque el campo de inversión es tan amplio que se pierde el foco de que aspectos concretos en seguridad se deben mejorar. Una posible manera de identificar las potenciales deficiencias de los sistemas de seguridad, sería invertir en la ejecución de un Plan Director de Seguridad, en adelante PDS.

    Los PDS tienen como objetivo analizar el estado de la seguridad y su correspondiente nivel de madurez de las medidas de seguridad implantadas para detectar las deficiencias y proponer una planificación estratégica de seguridad en el tiempo, teniendo en cuenta los objetivos de la empresa a través de proyectos para garantizar un nivel de seguridad más adecuado a las necesidades del negocio y con ello, reducir los riesgos a los que está expuesta la organización. Este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para realizar una mejora de la seguridad.

    Se destacan las siete fases principales para abordar el plan:

    • Identificar el alcance y los objetivos estratégicos de la empresa. El alcance determinará la magnitud de los trabajos y también cuál será el foco principal de la mejora tras la aplicación del PDS. En esta fase será necesario el apoyo de la Dirección para que el proyecto esté alineado con estrategia de la empresa y se pueda disponer de suficientes recursos para poder garantizar el éxito del PDS.
    • Identificar la situación actual mediante un análisis diferencial tomando como referencia un marco normativo de referencia, por ejemplo, para empresas privadas es muy recomendable seguir el estándar internacional ISO/IEC 27002 y para empresa pública en Esquema Nacional de Seguridad. La elección del marco de referencia será una decisión de Dirección sin verse influido los resultados del PDS. En esta evaluación inicial, se evaluarán aspectos técnicos, organizativos, regulatorios y normativos, entre otros y se identificará que controles o medidas de seguridad están implantados y el grado de madurez de estos.
    • Realizar un análisis de riesgos mediante una metodología conocida como puede ser la marcada por la norma ISO/IEC 27005. Este análisis nos mostrará los riesgos más relevantes de la entidad y se buscará un plan de tratamiento acorde a los resultados obtenidos.
    • Definir proyectos de Mejora de la Seguridad según los resultados que se hayan obtenido de los puntos anteriores, incluyendo para ello las tareas o acciones a realizar, que subsanen los hallazgos y riesgos detectados.
    • Clasificar y priorizar los proyectos. Una vez identificadas las acciones, iniciativas y proyectos, se deben clasificar y priorizar estableciendo propósitos a corto, medio y largo plazo.
    • Aprobar el plan director de seguridad. Este plan debe ser comprobado con los distintos departamentos que intervienen en los diferentes proyectos, de cara a comprobar si son viables las implementaciones, comprobar la mejor planificación para ellos, y también debe de ser revisado y aprobarlo por la Dirección de la organización.
    • Implantar los proyectos en el tiempo marcado.

    Siguiendo estas fases se obtiene el PDS, el cual marcará el camino personalizado a seguir para alcanzar el nivel de seguridad que la organización necesita, centrando los recursos y los esfuerzos en aquellos aspectos relevantes que han sido identificados a lo largo de las fases y que realmente necesitan una mejora de la seguridad.

    Amparo Romero

    Equipo Govertis

    [1] Plan Director de Seguridad

    [2] Ciberamenazas mapa en tiempo real

     

    Tags: