¿Tienes alguna pregunta? Contacta con nosotros
91 737 46 83
info@ciberprotect.com

Todo sobre tu plan director de ciberseguridad (II): ¿qué fases tiene?

  • 6 noviembre, 2023
  • Comentarios: 0
  • Enviado por: CIBERPROTECT

¿Cómo reaccionamos si nuestros sistemas son infectados por un virus informático? ¿Si sufrimos una pérdida de datos, o de algún soporte físico (como un disco duro)? ¿Si nuestra página web sufre un ciberataque? ¿Sabemos tratar información personal y corporativa? El plan director de ciberseguridad para empresas está para solventar todo esto.

Esta es la segunda parte (aquí, la primera) de nuestra guía resumida sobre el llamado plan director de ciberseguridad (o más comúnmente PDS). En ella te presentamos, siguiendo las directrices y la documentación del INCIBE y muy sintéticamente, las distintas fases para la elaboración del PDS de tu empresa.

plan director de ciberseguridad 4

Seguramente no haga falta decirlo, pero esto es importante tanto si es una pyme como si eres una megacorp. Si utilizas sistemas de información sobre soportes tecnológicos conectados, tu empresa está expuesta a riesgos de los que hay que saber protegernos.

1.      Analizar la situación inicial de la empresa

Hay un montón de trabajo que hacer para comenzar. En primer lugar están el análisis técnico de seguridad como punto de partida, y por otro lado el análisis de riesgos (que implica identificar los activos potencialmente bajo amenaza, valorarlos, establecer la gravedad y la probabilidad de los riesgos, y fijar un umbral aceptable).

Además, hay toda una serie de actividades previas como son acotar el alcance del PDS, establecer los responsables y sus perfiles, hacer una valoración inicial con el estándar ISO/IEC 27002:2017 como referencia, analizar el nivel de cumplimiento actual y estableciendo objetivos concretos.

2.      Alinear el PDS con la estrategia de la empresa

Un momento crucial al que no se suele prestar la suficiente atención. ¿Cuáles son las previsiones de crecimiento del proyecto empresarial? ¿Hay cambios importantes en perspectiva? ¿La externalización es una opción? En función de ello valoraremos si la estrategia de gestión de riesgos será la de eliminarlos, asumirlos o transferirlos.

3.      Definir los proyectos que componen el PDS

Esta es tal vez la fase más compleja, que podríamos dividir en dos subfases:

  • Definición de las iniciativas en tres líneas:
    • Mejora de métodos de trabajo actuales.
    • Controles técnicos y físicos ausentes o insuficientes.
    • Gestión de riesgos no aceptables (eliminar o transferir).
  • Clasificación y priorización: emprenderemos primero las iniciativas con menor coste y mejor impacto (quick-wins o estrategia low-hanging fruit).

4.      Aprobar el PDS

Esto es, de lejos, lo más fácil. Si externalizas tu ciberseguridad, casi toda la tarea se reduce a esto (y a seguir el plan, por supuesto).

5.      Ejecutar el PDS

Tras la aprobación por parte de la Dirección, es el momento de presentar el PDS a las personas implicadas (responsables, empleados, colaboradores, etc.), fijar responsabilidades y recursos, poner en marcha las iniciativas conforme a un cronograma y con informes de implantación (objeto, medidas, coste, incidencias), supervisar el proceso… ¡Establece una metodología!

6.      Evaluar el PDS y su impacto

Como cualquier otro proceso en mejora continua, el PDS debe ser auditado de forma periódica, comprobando su eficacia, su nivel de cumplimiento y su impacto en la seguridad; y lo que aprendamos debe tenerse en cuenta para hacer el PDS más eficiente.

Imagen de portada: cottonbro studio en Pexels

Copyright © 2023 CIBERPROTECT Aviso Legal    Política de Privacidad    Política de Cookies