¿Tienes alguna pregunta? Contacta con nosotros
91 737 46 83
info@ciberprotect.com

Todo sobre tu plan director de ciberseguridad (III): ¿qué iniciativas?

  • Comentarios: 0
  • Enviado por: CIBERPROTECT

En los últimos tiempos hemos venido publicando en nuestro blog una pequeña serie de tres episodios (aquí tienes el primero y el segundo) en la que explicamos de forma resumida en qué consiste un plan director de ciberseguridad y qué fases lo componen. Hoy ha llegado la hora de presentarte algunas de las iniciativas habituales que conforman el núcleo de cualquier PDS.

Esto no es del todo cierto, porque cada PDS (las iniciales de “plan director de seguridad”) es distinto a los demás dado que debe plantearse a la medida de cada organización. No obstante, y como indica este dossier del INCIBE (que nos servirá de guía para plantear las iniciativas “tipo”), los siguientes son proyectos habituales que suelen estar presentes en cualquier PDS.

plan director de ciberseguridad 1
Photo by Danyl Lysov on Pexels

Desarrollar e implementar una política de seguridad

Incluyendo como aspectos mínimos del mismo el compromiso de la Dirección con la seguridad de la información, la protección de datos y su tratamiento seguro, la política de uso de dispositivos móviles y la política de uso de Internet y correo electrónico.

Generar conciencia sobre seguridad de la información

Se refiere a realizar sesiones formativas y de concienciación sobre la materia tanto para los miembros de la organización (empleados, dirección, subcontratas, etc.) como para los colaboradores externos.

Mejorar la gestión de incidentes y el servicio al usuario

El conjunto de medidas orientada a optimizar la gestión de estos incidentes (y minimizar su impacto en el servicio al usuario) definiendo, implementando y documentando un proceso específico.

Alinearse con el RGPD

Cumplir con el Reglamento General de Protección de Datos de la Unión Europea (y con la legislación derivada, como la LOPD) no es opcional, y la organización debe tener un proyecto para adaptarse.

Coordinar los departamentos de RRHH y TIC

El objetivo es mejorar la capacidad de respuesta de la organización ante un incidente o contingencia, y la colaboración de estas áreas en comunicación, formación y organización es esencial.

Crear un plan de continuidad TIC

Consiste básicamente en implementar acciones técnicas para reforzar la seguridad, segmentando la red corporativa e implantando a continuación sistemas de detección de intrusos.

Mejorar la seguridad de la red corporativa

El objetivo es (de nuevo tomando medidas técnicas) mejorar la capacidad de respuesta y recuperación de la organización en caso de que se produzca un incidente o contingencia relativa a ciberseguridad.

Crear una política de copias de seguridad

Se trata de analizar pormenorizadamente la información corporativa que estimamos que debe copiarse y establecer una política específica de copiado, en la que destacan la periodicidad y el almacenaje.

Clasificar la información

Se establece un sistema de clasificación de la información en tres niveles (pública, privada, confidencial) que incluye instrucciones sobre su etiquetado, cifrado, acceso y destrucción, entre otras cuestiones.

Regular los servicios TIC de terceros

Hablamos de la revisión y homogeneización de los contratos con proveedores externos en materia de TIC, vigilando su adecuación a las necesidades de la empresa y prestando especial atención a los acuerdos de nivel de servicio en casos críticos.

Imagen de portada: cottonbro studio en Pexels