Planificar de forma estratégica, es un proceso que ayuda a las Compañías a establecer metas y objetivos para lograr la consecución de los objetivos de negocio establecidos.
Paralelamente, la planificación estratégica, ayuda también a identificar los diversos recursos necesarios para alcanzar las metas y los objetivos.
Hoy por hoy, dentro de cualquier sector, la tecnología es una de las palancas más importantes para poder llegar a controlar muchos de los procesos de una organización.
Es una realidad, que cualquier fuga de información puede acarrear grandes pérdidas económicas y reputacionales a una compañía.
Desde este punto de vista, los ciberataques pueden llegar a cifrar un servidor y provocar la pérdida de toda la información, ya no solo de gestión, sino de la capa productiva de la organización, con afectación clara al ritmo productivo y al flujo comercial entre proveedor/cliente y cliente proveedor.
Es por esto que, una buena gestión de los posibles riesgos inherentes a la seguridad de cualquier compañía comienza con la elaboración de un Plan Director de seguridad.
Dentro del marco estratégico de una Compañía, disponer de un Plan Director de Seguridad, aporta a la misma, la visión de ¿cómo? de importante resulta la seguridad, tener claras funciones, responsables y responsabilidades derivadas de su cumplimento, y cómo en todo este proceso, ha de estar involucrada toda la compañía, para asegurar el cumplimiento y éxito de este.
Sin olvidar que paralelamente, una estrategia entorno a la Seguridad de la Información y un Plan Director de Seguridad ayudarán a la Compañía a identificar y mitigar los diversos riesgos a los que se enfrentan los diferentes y variados activos de información que posee la compañía consiguiendo garantizar la confidencialidad, integridad y disponibilidad de mismos.
Objetivo del Plan Director de seguridad: administración de riesgos de seguridad efectiva y su evolución.
Como todo plan, el Director de Seguridad no resulta diferente, así es que se precisa una fase previa de auditoria, en ella, se conseguirá:
- Evaluar el entorno, identificando los riesgos actuales.
- Identificar las áreas de alto riesgo de la Compañía, según la gravedad del impacto y la probabilidad de que ocurra (incluido el examen de los recursos técnicos, tales como los sistemas de seguridad electrónicos).
Tras el proceso de consultoría, no hemos de perder el foco en que nuestro objetivo final, es el de diseñar y elaborar un plan que permita aportar una batería de acciones, en las que establecer prioridades, estimar costes de cara a la generación de presupuestos para finalmente proceder a implementar medidas de mitigación de riesgos que puedan adaptarse a las necesidades de la organización recogidas en el Plan Director de Seguridad.
Los cuatro componentes principales para desarrollar un Plan Director de seguridad incluyen:
- Definición de activo:
Dentro de esta definición, se establecerán prioridades en los mismos; puesto que resulta materialmente imposible proteger todos contra todo; así es que el nivel de protección irá aparejado a la clasificación por criterios de importancia que la Compañía aplique a cada uno de los activos. - Evaluación de amenazas:
Incluyendo en este apartado la identificación y el análisis de amenazas potenciales contra la Compañía; así como la clasificación de los posibles ataques o fallos la cual, generalmente responde a criminales, naturales o accidentales. - Análisis de las debilidades
Apartado en el que se procede establecer una relación entre activos y amenazas para posteriormente proponer el método o los métodos de compromiso de estos.
Se procede al análisis del programa de seguridad existente para identificar cualquier debilidad física, operativa y de procedimiento que pueda existir en el mismo, para seguidamente identificar posibles contramedidas que podrían implementarse para minimizar la probabilidad de incidente.
En este punto, hemos de ser capaces de desarrollar un perfil que defina las amenazas generales que pueden afectar a la Compañía; así como un perfil que categorice las amenazas como altamente probables, posibles o improbables. - Medidas de seguridad
Seleccionar las idóneas para su implementación; mediante un proceso destinado a canalizar recursos para proteger los activos más vitales contra las amenazas más probables.
Las medidas de seguridad para un Plan Director de seguridad integral generalmente tratan lo siguientes aspectos:- Los elementos de una infraestructura
- Elementos operacionales
- Sistemas de seguridad electrónica
- Políticas, procedimientos y certificaciones
Contando con un Plan Director de Seguridad toda Compañía, debiera tener capacidad de elaborar una guía corporativa para la implantación coordinada de las medidas de seguridad asociadas a la reducción y mitigación de los riesgos asociados.
Además de disponer de un catálogo de proyectos para programar y ejecutar, con un coste definido, el cual permitirá realizar unos presupuestos adaptados a los mismos.
La programación y ejecución de la batería de proyectos proporcionarán a la Compañía, un inmediato retorno a través de la optimización y el aumento de los parámetros de seguridad, generando confianza ya no solo antes los propios empleados; sino también ante los clientes.
Con el trabajo sobre estas 4 líneas y después del análisis y evaluación de los riesgos y el grado de madurez tecnológica de la compañía, seremos capaces de identificar medidas de seguridad y aspectos relativos a las mismas existentes y aplicadas en las compañías.
Seguidamente seremos capaces de establecer y definir una batería de proyectos de mejora en base a las debilidades detectadas, priorizando los mismos de cara a su ejecución, estableciendo una matriz de coste frente a prioridad.
Conclusión
Las Compañías, han de entender que, dentro de sus planes estratégicos, es prioritario para ellas invertir tiempo en la elaboración y definición de un Plan Director de Seguridad, asegurándose a través del mismo.
Las organizaciones deben invertir una cantidad adecuada de tiempo en la construcción de un Plan Director de Seguridad el cual ha de asegurar una escalabilidad futura de la Compañía tanto en servicios, como en infraestructuras, garantizando la confidencialidad, integridad, disponibilidad y confiabilidad de sus activos considerando las amenazas internas emergentes y las amenazas externas existentes y futuras.
Para asegurarnos el éxito ya no solo en la elaboración; sino también en la ejecución del plan, es imprescindible que la Compañía establezca el mismo nivel de importancia a todos los elementos que han de intervenir en el proceso, los cuales podríamos lista como personas, procesos y tecnología.