A día de hoy, la ciberseguridad es un factor clave en el desarrollo de los negocios de las empresas, ya sean pymes, autónomos o grandes corporaciones. Una de las cuestiones más repetidas a la hora de abordar la ciberseguridad de una empresa es por dónde empezar. Desde el INCIBE plantean un Plan Director Seguridad (PDS) para ayudar a las empresas a crear entornos seguros.
Un PDS será la hoja de ruta en materia de ciberseguridad que seguirá la empresa hasta conseguir sus objetivos para tener un negocio seguro. Para alcanzar estos objetivos, se definirán y priorizarán los proyectos y actuaciones necesarias.
Un aspecto esencial a la hora de abordar un PDS es tener una planificación de las actividades a realizar que cuente con el compromiso de la dirección. Un PDS está compuesto por varias iniciativas a nivel técnico, pero también se deberán tener en cuenta los aspectos legales y organizativos que afectan a la empresa.
Fases de un Plan Director Seguridad
Para implantar un PDS se han de seguir una serie de pasos, siendo todos ellos importantes y necesarios si se quiere obtener un buen resultado. A continuación se detallan cada uno de estos pasos:
- Analizar la situación actual, identificando qué procesos, departamentos o sistemas pueden mejorar. Este paso será fundamental si se quiere obtener un buen resultado de la situación de la empresa, para ello un análisis técnico y un análisis de riesgos serán de gran ayuda.
- Alinear el PDS con la estrategia de la empresa, un Plan Director de Seguridad que no esté alienado con la estrategia de crecimiento, cambios, reorganizaciones, etc., de la empresa estará abocado al fracaso.
- Definir las acciones concretas que se deberán seguir hasta alcanzar el nivel de seguridad acordado. Por ejemplo, mejorar los métodos de trabajo existentes o corregir las posibles ausencias de controles físicos o técnicos.
- Clasificar y priorizar las acciones a seguir para mejorar la ciberseguridad. Una vez definidas las acciones necesarias es recomendable agruparlas por ejemplo según su origen, tipo de acción, nivel de esfuerzo necesario, etc.
- Aprobar el PDS preliminar por parte de la dirección de la empresa y comunicarlo al resto de empleados.
- Implementar el PDS, para ello es recomendable realizar una presentación general de las acciones que se llevarán a cabo. También es el momento de asignar los responsables para cada proyecto y dotarlos de recursos, establecer la periodicidad de revisión o los hitos marcados.
- Por último, hay que comprobar que las deficiencias identificadas se han subsanado.
Una vez ejecutado el PDS se puede valorar la posibilidad de obtener una certificación. Este tipo de certificados, como la ISO 27001, acreditan la gestión de seguridad de la información en nuestra empresa. Un PDS es un proceso cíclico, una vez que se han llevado a cabo todas las acciones y proyectos definidos es el momento de volver a comenzar. Hay que poner el objetivo en aquellas acciones que pueden mejorar la ciberseguridad de la empresa y que en una primera instancia no se llevaron a cabo.
Implantar un PDS servirá para alcanzar el nivel de ciberseguridad que la empresa necesita para garantizar su continuidad y ofrecer un servicio seguro. Gracias a este plan, la empresa podrá saber cuál es su nivel actual de ciberseguridad y sus objetivos a corto, medio y largo plazo. Ofrecer servicios seguros para clientes redundará una mayor confianza de estos y por lo tanto, una mejora de la imagen de la empresa y un aumento de los beneficios.