La primera fase consiste en conocer la situación actual de nuestra empresa en materia de ciberseguridad. Para ello debemos llevar a cabo distintos análisis considerando aspectos técnicos, organizativos, regulatorios y normativos, entre otros.  

Esta es la fase más importante y compleja de la elaboración del Plan Director de Seguridad, debido a la participación de diferentes personas y a la importancia que tiene que la información de la organización necesaria para conocer y evaluar su situación actual, sea fiable, completa y actualizada.  

En esta fase es fundamental contar con el apoyo de la Dirección. Éste es un aspecto esencial para garantizar el éxito del Plan Director de Seguridad, dado que este respaldo garantizará no sólo que disponemos de suficientes recursos, sino que el enfoque del proyecto está alineado con la filosofía y estrategia de la empresa. 

Acotar y establecer el alcance 

Es esencial definir claramente el alcance sobre el que vamos a desarrollar el PDS. Este alcance determinará la magnitud de los trabajos y también cuál será el foco principal de la mejora tras la aplicación del PDS.  

Como posibles alcances podemos escoger: un único departamento (habitualmente el de TIC), un conjunto de procesos críticos, o unos sistemas específicos. 

Lo recomendable es determinar aquellos activos y procesos de negocio críticos, aquellos sin los que la empresa no puede subsistir, y utilizar éstos como alcance del PDS. De esta manera, la ejecución del PDS tendrá un impacto más positivo sobre la seguridad de la información de la organización.  

Si el proceso más crítico de nuestra empresa está relacionado con el proceso de facturación, podemos limitar el alcance a éste: sistemas y equipos implicados, personal, aplicaciones necesarias, riesgos específicos, etc. Aunque las mejoras serán específicas dentro de este proceso, nos permitirá profundizar en el resultado y partir de un punto para extenderlo a otros departamentos o procesos. 

Responsables en la Gestion de Activos 

Los activos de la organización son todos aquellos que tienen valor para ella. Así los activos de información son todos los procesos, personas, equipos, instalaciones, software o ficheros de todo tipo que la contienen, procesan o manejan de alguna forma.  

Por ello es importante definir las responsabilidades sobre los activos de la organización: equipos informáticos, dispositivos móviles, aplicaciones, instalaciones (CPD), servicios e información. Esto nos facilitará hacer un seguimiento de la ejecución de las iniciativas implantadas, así como del análisis y recogida de la información. 

Dichas responsabilidades deben estar asociadas a perfiles específicos, ya sea una persona o un comité formado por varias personas. En el caso de empresas de pequeño tamaño, varios de estos roles pueden ser asumidos por la misma persona (el propietario del activo en cuestión).  

Al menos, se deben definir los siguientes perfiles:  

► Responsable de Seguridad, con la finalidad de hacer un seguimiento y coordinar todas las iniciativas puestas en marcha por la organización en materia de Seguridad de la Información.  

► Responsable de Información, especialmente cuando tratamos con información específica que es gestionada a través de diferentes entornos.  

► Responsables de ámbito, en el caso de que pongamos en marcha iniciativas en el ámbito lógico, físico, legal y organizativo. 

Los controles de seguridad física pueden ser responsabilidad del responsable del área de Mantenimiento o Servicios Generales, mientras que los aspectos legales serán responsabilidad del responsable del área Jurídica. Todos estos deberán ser coordinados por el Responsable de Seguridad, garantizando su correcta ejecución. 

Un buen comienzo implica realizar una valoración preliminar de la situación actual de la organización para determinar los controles y requisitos que son de aplicación. En la jerga de Gestión de la Seguridad se llaman controles a las medidas de todo tipo (técnico, legal u organizativo) que se implementan para contrarrestar los riesgos de seguridad. 

 Por norma general, la evaluación de los aspectos normativos y regulatorios la realizaremos tomando como referencia el estándar internacional ISO/IEC 27002:2017 [2], diseñada para ser utilizada a la hora de designar controles para la selección e implantación de un Sistema de Seguridad de la Información, así como unas directrices de Gestión de la Seguridad de la Información. 

Los controles relacionados con la gestión de copias de seguridad, requerimientos legales como cumplir con el RGPD [3], instalación de cortafuegos o la definición de un plan de continuidad del negocio. 

 El conocimiento de esta norma es imprescindible para el desarrollo adecuado de un Plan Director de Seguridad. No es necesaria la implementación de todos los controles que se indican en la norma 27002:2017, sino sólo aquellos que sean de aplicación a nuestra empresa.  

Si nuestra empresa no desarrolla aplicaciones, no tendremos que valorar aquellos controles de esta norma que hagan referencia al desarrollo seguro de aplicaciones. 

Si nuestra empresa no proporciona un servicio de comercio electrónico, no será necesario que apliquemos los controles relacionados con la transacción de datos personales en la compra-venta online.  

Por el contrario, sí será necesario aplicar medidas o controles relacionados con las copias de seguridad o el proceso de altas y bajas de personal, ya que éstos serán de aplicación Después de analizar los controles según la norma, elaboraremos un documento con los controles o medidas de seguridad que aplican en la organización y su grado de madurez, es decir, si están implantados y en qué estado están. A este documento lo llamaremos «Documento de Selección de Controles». En la norma se refieren al mismo como «Declaración de Aplicabilidad» o «SOA» por sus siglas del inglés Statement of Aplicability». 

 Modelo de madurez 

A modo orientativo, podemos partir de una escala de madurez de cinco niveles como la siguiente, basada en el Modelo de Madurez de Capacidades o CMM por sus siglas en inglés: 

► Inexistente. No se lleva a cabo el control de seguridad en los sistemas de información. 

 Aplicándolo a la realización de copias de seguridad en la organización, en este nivel de madurez no se realizarían. 

 ► Inicial. Las salvaguardas existen, pero no se gestionan, no existe un proceso formal para realizarlas. Su éxito depende de la buena suerte y de tener personal de la alta calidad. 

Aplicándolo al ejemplo de las copias de seguridad, en este nivel de madurez se realizan sin procedimiento y sin planificación. 

► Repetible. La medida de seguridad se realiza de un modo totalmente informal (con procedimientos propios, informales). La responsabilidad es individual. No hay formación. 

En nuestro caso de copias de seguridad, las copias sí se realizan con procedimientos y planificación ad-hoc. 

► Definido. El control se aplica conforme a un procedimiento documentado, pero no ha sido aprobado ni por el Responsable de Seguridad ni el Comité de Dirección. 

► Administrado. El control se lleva a cabo de acuerdo a un procedimiento documentado, aprobado y formalizado.  

► Optimizado. El control se aplica de acuerdo a un procedimiento documentado, aprobado y formalizado, y su eficacia se mide periódicamente mediante indicadores. 

Organizacion

La primera fase consiste en conocer la situación actual de nuestra empresa en materia de ciberseguridad. Para ello debemos llevar a cabo distintos análisis considerando aspectos técnicos, organizativos, regulatorios y normativos, entre otros.  

Esta es la fase más importante y compleja de la elaboración del Plan Director de Seguridad, debido a la participación de diferentes personas y a la importancia que tiene que la información de la organización necesaria para conocer y evaluar su situación actual, sea fiable, completa y actualizada.  

En esta fase es fundamental contar con el apoyo de la Dirección. Éste es un aspecto esencial para garantizar el éxito del Plan Director de Seguridad, dado que este respaldo garantizará no sólo que disponemos de suficientes recursos, sino que el enfoque del proyecto está alineado con la filosofía y estrategia de la empresa. 

Acotar y establecer el alcance 

Es esencial definir claramente el alcance sobre el que vamos a desarrollar el PDS. Este alcance determinará la magnitud de los trabajos y también cuál será el foco principal de la mejora tras la aplicación del PDS.  

Como posibles alcances podemos escoger: un único departamento (habitualmente el de TIC), un conjunto de procesos críticos, o unos sistemas específicos. 

Lo recomendable es determinar aquellos activos y procesos de negocio críticos, aquellos sin los que la empresa no puede subsistir, y utilizar éstos como alcance del PDS. De esta manera, la ejecución del PDS tendrá un impacto más positivo sobre la seguridad de la información de la organización.  

Si el proceso más crítico de nuestra empresa está relacionado con el proceso de facturación, podemos limitar el alcance a éste: sistemas y equipos implicados, personal, aplicaciones necesarias, riesgos específicos, etc. Aunque las mejoras serán específicas dentro de este proceso, nos permitirá profundizar en el resultado y partir de un punto para extenderlo a otros departamentos o procesos. 

Responsables en la Gestion de Activos 

Los activos de la organización son todos aquellos que tienen valor para ella. Así los activos de información son todos los procesos, personas, equipos, instalaciones, software o ficheros de todo tipo que la contienen, procesan o manejan de alguna forma.  

Por ello es importante definir las responsabilidades sobre los activos de la organización: equipos informáticos, dispositivos móviles, aplicaciones, instalaciones (CPD), servicios e información. Esto nos facilitará hacer un seguimiento de la ejecución de las iniciativas implantadas, así como del análisis y recogida de la información. 

Dichas responsabilidades deben estar asociadas a perfiles específicos, ya sea una persona o un comité formado por varias personas. En el caso de empresas de pequeño tamaño, varios de estos roles pueden ser asumidos por la misma persona (el propietario del activo en cuestión).  

Al menos, se deben definir los siguientes perfiles:  

► Responsable de Seguridad, con la finalidad de hacer un seguimiento y coordinar todas las iniciativas puestas en marcha por la organización en materia de Seguridad de la Información.  

► Responsable de Información, especialmente cuando tratamos con información específica que es gestionada a través de diferentes entornos.  

► Responsables de ámbito, en el caso de que pongamos en marcha iniciativas en el ámbito lógico, físico, legal y organizativo. 

Los controles de seguridad física pueden ser responsabilidad del responsable del área de Mantenimiento o Servicios Generales, mientras que los aspectos legales serán responsabilidad del responsable del área Jurídica. Todos estos deberán ser coordinados por el Responsable de Seguridad, garantizando su correcta ejecución.