Saltar al contenido

El Plan Director de Seguridad

Compartir en:

El Plan Director de Seguridad es una herramienta fundamental para garantizar la protección de la información y los activos de una organización.

En este artículo me he apoyado aparte de mi experiencia en la EXCELENTE guía de incibe sobre los PDS que todo el mundo (de este mundillo :) ) debería conocer.

En el proceso de la elaboración del plan, se lleva a cabo un análisis exhaustivo de la situación actual de seguridad, se identifican los riesgos y se definen las iniciativas y proyectos necesarios para mejorar la seguridad de la empresa. En esta fase del plan, se clasifican y priorizan las acciones a realizar, se aprueba el plan y se pone en marcha su implementación.

Sí, ese documento lleno de palabras complicadas y acrónimos que nos harán sentir como auténticos agentes secretos de la ciberseguridad. Ponte tus gafas oscuras y tu gabardina, porque vamos a sumergirnos en un mundo donde los hackers se enfrentan a los firewalls y las contraseñas son nuestras armas más valiosas.

Es broma, ni es trepidante, ni vas a llevar gabardina (bueno o sí, yo ahí no me meto), pero esto es algo necesario en todas las organizaciones y que cada vez gana más importancia en la era de las TIC.

Fases

La definición del Plan Director de Seguridad consta de seis fases principales:

  1. Análisis y diagnóstico: En esta fase se realiza una evaluación de la situación actual de la organización en términos de seguridad de la información (es la más larga, tediosa y la odiarás con todas tus fuerzas, pero es la que más aporta al proceso). Se identifican los controles existentes, se evalúa el cumplimiento normativo y se analizan los riesgos a los que está expuesta la organización.
  2. Conocer la situación actual de la organización: En esta fase se analiza la estrategia corporativa de la organización, incluyendo proyectos en curso, previsiones de crecimiento y posibles cambios en la estructura de la empresa. Cuando se diseñan PDS low cost o por consultoras a precio, muchas veces esto se obvia, lo cual es un gran error, ya que el trabajo no se alinea con la estrategia de la empresa.
  3. Definición de proyectos e iniciativas: En esta fase se definen las acciones y proyectos necesarios para mejorar la seguridad de la organización. Se identifican las iniciativas técnicas, organizativas y regulatorias que deben implementarse para alcanzar los objetivos de seguridad.
  4. Clasificación y priorización de los proyectos: En esta fase se clasifican y priorizan los proyectos identificados en la fase anterior. Se considera el esfuerzo, el coste temporal y los beneficios que cada proyecto aporta a la seguridad de la organización.
  5. Aprobación del Plan Director de Seguridad: En esta fase, el plan final se revisa y aprueba por parte de la dirección de la organización. Se realizan ajustes y modificaciones si es necesario hasta obtener una versión final aprobada formalmente.
  6. Puesta en marcha: En esta fase se implementan los proyectos y acciones definidos en el Plan Director de Seguridad. Se asignan responsables, se establece la periodicidad de seguimiento y se ejecutan los ajustes necesarios a medida que se alcanzan los hitos previstos.

Fase 1 – Análisis y diagnóstico

La primera fase del Plan Director de Seguridad es crucial para comprender en profundidad la situación actual de la organización en términos de seguridad de la información. En esta etapa, se lleva a cabo un análisis exhaustivo de los controles existentes y se evalúa el cumplimiento normativo y legal.

Se realizan reuniones con el personal de diferentes departamentos para evaluar el nivel de cumplimiento de los controles de seguridad. También se ejecuta una inspección in-situ de las instalaciones para verificar los controles físicos y medioambientales.

Además, se lleva a cabo un análisis de riesgos para identificar las amenazas a las que está expuesta la organización. Esto implica identificar los activos de información, evaluar su valor y determinar la probabilidad de materialización de los riesgos. Es decir, separar la paja de lo importante ver como esta, y aplicar controles, medidas compensatorias y salvaguardas si es precioso.

Con toda esta información recopilada, se elabora un diagnóstico detallado de la situación actual de seguridad de la organización. Este análisis permitirá establecer las bases para las acciones y proyectos futuros, orientados a mejorar la seguridad de la información y mitigar los riesgos identificados.

Es importante tener en cuenta el alcance, al acotar y establecer el alcance del proyecto, es fundamental definir claramente los límites y las áreas que serán abordadas en el Plan Director de Seguridad.

Esta etapa nos permite delimitar las metas y objetivos específicos que perseguimos, así como identificar las áreas de la organización que requerirán una atención especial en términos de seguridad.

Es valioso tener en cuenta que no podemos protegernos de todos los peligros imaginables, por lo que debemos enfocarnos en aquellos riesgos que son más relevantes y críticos para nuestra organización. Establecer el alcance nos ayudará a trabajar de manera más eficiente y efectiva, asegurándonos de que nuestras acciones estén dirigidas hacia la protección y la seguridad de los activos más cruciales de la organización.

Fase 2 – CONOCER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN

En esta fase, nos adentramos en el análisis detallado de la situación actual de nuestra organización. Es importante comprender a fondo nuestra estrategia corporativa, examinar los proyectos en curso y anticipar posibles cambios en la estructura organizativa.

A través de un exhaustivo proceso de recopilación de información y diálogo con los responsables de los diferentes departamentos, nos sumergimos en el tejido interno de la organización.

Nos embarcamos en un viaje de descubrimiento, desentrañando los misterios de cómo funcionan los diferentes departamentos (posiblemente ni ellos lo sepan) y cómo se alinean con la estrategia general de la organización. Analizamos si estamos experimentando una tendencia hacia la centralización de servicios, la externalización de ciertas funciones o incluso si formamos parte de un grupo empresarial más amplio. Todos estos elementos tienen un impacto directo en nuestras medidas de seguridad de la información.

En esta fase, recopilamos datos clave, evaluamos la infraestructura existente, identificamos fortalezas y debilidades (DAFO), y evaluamos cómo se están gestionando actualmente los riesgos de seguridad. Es como poner todas las piezas de un rompecabezas en su lugar y obtener una visión completa de la realidad de nuestra organización en términos de seguridad de la información.

Con esta comprensión profunda de nuestra situación actual, estamos preparados para avanzar y desarrollar un Plan Director de Seguridad adaptado a nuestras necesidades y desafíos específicos. Nos armamos con el conocimiento necesario para tomar decisiones informadas y establecer los objetivos adecuados que nos permitirán alcanzar el nivel de seguridad deseado.

Fase 3 – DEFINICIÓN DE PROYECTOS E INICIATIVAS

En la fase 3, entramos en la etapa de acción y planificación concreta. Basándonos en la información recopilada en las fases anteriores, nos adentramos en la definición de los proyectos e iniciativas necesarios para fortalecer nuestra seguridad de la información.

En mi opinión, esta es la fase más trepidante e interesante, hay que tomar decisiones, ser creativos y sacar todo nuestro maletín de herramientas para aportar valor.

Tomamos en cuenta las deficiencias y áreas de mejora identificadas, así como los controles y salvaguardas requeridos por el marco normativo y regulatorio. Diseñamos y desarrollamos acciones concretas para mejorar nuestros métodos de trabajo, implementar controles técnicos y físicos, y gestionar los riesgos que superan nuestro nivel aceptable.

Estas iniciativas pueden abarcar una amplia gama de áreas, desde el desarrollo e implementación de políticas de seguridad hasta la concienciación y formación del personal en materia de seguridad de la información. También pueden incluir la mejora de la gestión de incidentes, la adecuación a regulaciones específicas como el RGPD, la coordinación entre departamentos clave, el desarrollo de planes de continuidad, mejoras en la seguridad de la red corporativa, entre otros.

Cada iniciativa se evalúa en términos de su esfuerzo requerido, coste temporal y recursos necesarios. Hay que utilizar una báscula para medir muy bien el coste-esfuerzo-beneficio de los proyectos, para mí ahí está la clave. Priorizamos estas acciones en función de su impacto y urgencia, buscando equilibrar eficacia y eficiencia en la implementación de los proyectos.

Fase 4 – Clasificar y priorizar los proyectos a realizar

En la fase 4, nos enfocamos en clasificar y priorizar los proyectos e iniciativas definidos en la fase anterior. Este proceso nos permite establecer un orden de importancia y asignar recursos de manera efectiva.

Para clasificar los proyectos, consideramos diferentes criterios, como el origen de las iniciativas (cumplimiento normativo, análisis técnico, análisis de riesgos), el tipo de acción requerida (técnica, organizativa, regulatoria) y su impacto en la seguridad de la información.

Es fundamental agrupar los proyectos de manera coherente y homogénea, asegurando que su implementación se realice de manera secuencial y en línea con los recursos disponibles. Además, se priorizan los proyectos según su esfuerzo, coste temporal y el nivel de riesgo que abordan.

Es posible que surjan proyectos considerados como «quick wins», aquellos que requieren poco esfuerzo, pero generan mejoras significativas en la seguridad, claramente mis favoritos (y las de todo el mundo). Estos proyectos suelen ser priorizados debido a su impacto inmediato y a su contribución a la confianza y satisfacción de los stakeholders (de los interesados).

La fase 4 nos proporciona una visión clara de los proyectos a efectuar y su orden de ejecución. Con una clasificación y priorización adecuadas, podemos enfocar nuestros recursos de manera efectiva y lograr avances concretos en la seguridad de la información de nuestra organización.

Fase 5 y 6 Aprobar el Plan Director de Seguridad y Puesta en marcha

En la fase 5, llegamos al momento crucial de obtener la aprobación del Plan Director de Seguridad por parte de la Dirección. Esta etapa implica revisar el plan en su totalidad y hacer las modificaciones necesarias en términos de alcance, duración y prioridades de los proyectos. Normalmente, os intentarán recortar presupuesto y plazos (que básicamente es lo mismo), a veces es razonable, pero otras no, defenderlo, la seguridad tiene un coste, aunque manteneros abiertos a la opinión de la gerencia, a veces aportan una visión global que nosotros no vemos desde nuestra caverna.

Es fundamental que la Dirección revise detenidamente el plan y lo apruebe formalmente, demostrando su respaldo y compromiso con la seguridad de la información.

Una vez que se cuenta con la versión final aprobada, es vital comunicar y difundir el respaldo del plan a todos los empleados de la organización. Esto puede ejecutarse mediante reuniones informativas, comunicados por correo electrónico u otros medios de comunicación interna. Es importante transmitir la importancia de la colaboración de todos los miembros de la organización en la implantación del plan.

Normalmente, nos encontraremos con resistencia, esto es normal, la gente no tiene la culpa, no te enfades con ellos ni seas tajante. Adopta un enfoque proactivo, formativo, es cuestión de cintura y de tener una buena política de formación y concienciación. A las personas no le gustan las imposiciones, intenta convencerles de la importancia del plan, tienes argumentos, úsalos.

En la fase 6, llega el momento de poner en marcha el Plan Director de Seguridad. Siguiendo una metodología de gestión de proyectos adecuada, cada iniciativa y proyecto definido en las fases anteriores se lleva a cabo de manera planificada.

Es esencial realizar una presentación general del proyecto a las personas implicadas, haciendo que se sientan parte integral del proceso (grábate esto a fuego, si siente que solo es cosa tuya, lo tendrás difícil) y comprendan los objetivos y resultados que se persiguen. Se asignan responsables y coordinadores de proyecto, y se dotan de los recursos necesarios para su ejecución. Dependiendo de la magnitud del proyecto, puede ser necesario formar un Comité de Gestión encargado de supervisar el proceso.

Asimismo, se establece una periodicidad para el seguimiento individual de los proyectos y el seguimiento conjunto del Plan Director de Seguridad. Es importante asegurarse de que las deficiencias identificadas en las auditorías y análisis previos han sido subsanadas a medida que se alcanzan los hitos establecidos.

La puesta en marcha del Plan Director de Seguridad requiere de compromiso, coordinación y una gestión eficiente de los recursos. Siguiendo los pasos planificados, podremos avanzar hacia el logro de los objetivos de seguridad de la organización y garantizar la protección de la información confidencial o sensible.

Conclusión

El Plan Director de Seguridad es un instrumento fundamental para garantizar la protección de la información en una organización. A través de sus diferentes fases, se establece un enfoque estratégico y se implementan medidas para mitigar los riesgos y mejorar la seguridad.

Es importante destacar la seriedad y el compromiso requeridos en la elaboración y ejecución de este plan, ya que implica la protección de activos críticos y la salvaguarda de la confidencialidad, integridad y disponibilidad de la información.

Sin embargo, también debemos reconocer que la implementación de un plan de seguridad no está exenta de desafíos y situaciones inesperadas. La flexibilidad y la capacidad de adaptación son cualidades imprescindibles, ya que los riesgos y las amenazas evolucionan constantemente.

Es necesario tener la habilidad de reaccionar rápidamente ante incidentes y ajustar las medidas de seguridad según sea necesario. Aunque la seriedad es clave, tampoco podemos olvidar que un poco de humor y creatividad pueden ayudar a mantener un ambiente positivo y motivado durante el proceso.

Abordar el Plan Director de Seguridad requiere seriedad, compromiso y diligencia, pero también una mente abierta y un sentido del humor. Mantener un equilibrio entre la rigurosidad y la flexibilidad nos permitirá enfrentar los retos con determinación y afrontarlos con una sonrisa.

Soy un ingeniero prominentemente técnico (la cabra siempre tira para el monte). Me cuesta mucho hablar de un PDS sin entrar en detalles sobre esta o aquella medida en la red o en los servidores, pero es necesaria una vista de pájaro en este tipo de situaciones, no cometas el error de centrarte en los detalles, céntrate en el plan, ten visión de conjunto. Te entiendo, te gustan los juguetes, el FW, los IDS, los SIEM etc. No se trata de hacer lo más puntero o “Guay” sino lo mejor para la organización, esa es la visión, no solo céntrate en el plan, sino que síguelo, ejecútalo, revísalo, esa es la clave.


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *