La evolución de las tecnologías de la información y comunicación nos ha permitido automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra organización. Estas tecnologías han ido ocupando un lugar cada vez más importante, hasta el punto de que hoy en día, sin ellas, muchos de nuestros procesos de negocio no serían posibles. La información es un activo importante para las empresas, es fundamental para el negocio: facturas, informes, bases de datos de clientes, pedidos, etc. 

 Podemos decir que las empresas basan su actividad en sistemas de información con soporte tecnológico (ordenadores, tabletas, página web,…) Por eso proteger los sistemas de información es proteger el negocio. Para garantizar la seguridad de la información del negocio se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad, tal y como se realiz en cualquier otro proceso productivo de la organización. 

Sufrimos los efectos de un virus informático y no sabemos cómo reaccionar.  

► Se produce una pérdida de datos y no tenemos copias de seguridad [1] o no podemos recuperar la información.  

► Perdemos o extraviamos un disco duro portátil con información sensible.  

► Nuestra página de comercio electrónico es el objetivo de un ataque de denegación de servicio, dejándola inoperativa.  

► Se nos estropea algún servidor o elemento de red, que nos impide el uso del correo electrónico, la conexión a Internet o el uso de una aplicación crítica. Frente a escenarios como los anteriores, surgen muchas dudas:  

► ¿Debería externalizar el soporte informático de mi empresa? 

► ¿Es seguro gestionar información corporativa en dispositivos móviles? ¿hemos proporcionado y utilizado los recursos necesarios para ello?  

► ¿Sabemos si las copias de seguridad funcionan? ¿estamos realizando copias de toda la información crítica para nuestra organización?  

Si sufrimos un incidente de seguridad informática, ¿conocemos los riesgos a los que está expuesta nuestra empresa?  

Si las herramientas tecnológicas y la información que dan soporte a los servicios y procesos productivos de la organización son de gran valor para nuestra organización, debemos empezar a pensar en poner en práctica un Plan Director de Seguridad. 

Un Plan Director de Seguridad consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial. 

 Es fundamental para la realización de un buen Plan Director de Seguridad, en adelante PDS, que se alinee con los objetivos estratégicos de la empresa, incluya una definición del alcance e incorpore las obligaciones y buenas prácticas de seguridad que deberán cumplir los trabajadores de la organización así como terceros que colaboren con ésta. 

IMPLANTANDO UN PLAN DIRECTOR DE SEGURIDAD 

 Los proyectos que componen el Plan Director de Seguridad varían en función de diversos factores relacionados como:  

► El tamaño de la organización  

► El nivel de madurez en tecnología  

► El sector al que pertenece la empresa  

► El contexto legal que regula las actividades de la misma  

► La naturaleza de la información que manejamos  

► El alcance del proyecto  

► Otros aspectos organizativos Estos factores determinarán la magnitud y complejidad del Plan Director de Seguridad resultante. No obstante, en general, para la elaboración y puesta en marcha de un Plan Director de Seguridad. 

Siempre debemos tener presente que un Plan Director de Seguridad, se basa en la mejora continua. Por tanto cuando hayamos finalizado debemos comenzar de nuevo el ciclo

Las organizaciones utilizan multitud de datos para la toma de decisiones, muchos de los cuales tienen la forma de indicadores. 

Un cuadro de mando es una “herramienta de gestión que facilita la toma de decisiones y que recoge un conjunto coherente de indicadores que proporcionan a la alta dirección y a las funciones responsables una visión comprensible del negocio o de su área de responsabilidad. La información aportada por el cuadro de mando, permite enfocar y alinear los equipos directivos, las unidades de negocio, los recursos y los procesos con las estrategias de la organización” (norma UNE 66175:2003). 

Cada organización decide cuál es su cuadro de mando, cuál es la estructura del mismo y qué tipo de indicadores es apropiado incluir en él. El cuadro de mando suele poner de manifiesto aquellas áreas más relevantes de la mayoría de organizaciones (resultados económico-financieros, clientes, procesos internos y empleados), si bien dependiendo de cada organización podría ponderar más unos aspectos que otros. 

Un tipo de cuadro de mando muy extendido es el Cuadro de Mando Integral (CMI) o Balanced ScoreCard (BSC), creado por Norton y Kaplan en 1995 y que estructura los indicadores en 4 perspectivas: 

– Del cliente (Customer) ¿Cómo nos ven los clientes? 

– Interna del Negocio (Internal Business) –¿En qué debemos sobresalir? 

– Innovación y Aprendizaje (Innovation and Learning) ¿Podemos continuar mejorando y creando valor? 

– Financiera (Financial) ¿Cómo nos vemos a los ojos de los accionistas?