CLASIFICAR Y PRIORIZAR LOS PROYECTOS A REALIZAR

 
Una vez identificadas las acciones, iniciativas y proyectos, debemos clasificarlas y priorizarlas. El detalle y granularidad de las acciones a llevar a cabo puede ser muy variado. Ante esta situación, es recomendable agrupar las iniciativas o dividir las propuestas para homogeneizar el conjunto de proyectos que hemos definido.  

A la hora de clasificar las iniciativas podemos considerar como criterio el origen de las mismas (es decir, derivadas de la evaluación del cumplimiento normativo y regulatorio, análisis técnico o análisis de riesgos); el tipo de acción (técnica, organizativa, regulatoria, etc.).  

Sin embargo, con independencia de que consideremos estos criterios, es conveniente organizar los proyectos atendiendo al esfuerzo que requieren y a su coste temporal. De este modo se establecen proyectos a corto, medio y largo plazo. 

Adicionalmente, es muy aconsejable que creemos un grupo que reúna aquellos proyectos cuya consecución requiere poco esfuerzo pero su resultado produce mejoras sustanciales en la seguridad. Tradicionalmente este tipo de iniciativas reciben el nombre de «quick wins». 

APROBAR EL PLAN DIRECTOR DE SEGURIDAD 

En este punto, ya dispondremos de una versión preliminar del Plan Director de Seguridad. Este plan debe revisarlo y aprobarlo la Dirección. Es posible que al revisar el Plan Director de Seguridad haya que modificar su alcance, duración o la prioridad de algunos proyectos.  

Si fuera preciso, el proceso de revisión se repetirá cíclicamente hasta disponer de una versión final aprobada formalmente por la Dirección.  

Una vez disponible la versión final aprobada por la Dirección, es conveniente que ésta traslade a todos los empleados de la organización (mediante reunión del director con todos los empleados o mediante correo electrónico) el respaldo al Plan Director de Seguridad, y la importancia del deber de colaborar de toda la organización en la implantación del mismo. 

PUESTA EN MARCHA 

Una vez aprobado por la Dirección, el Plan Director de Seguridad marca el camino a seguir para alcanzar el nivel de seguridad que nuestra organización necesita. Como si de un proyecto más se tratara, cada organización puede emplear la metodología de gestión de proyectos que considere oportuno para llevarlo a cabo.  

A continuación se indican una serie de aspectos cuya consideración favorecerá el éxito del proyecto y la consecución de los objetivos establecidos: 

► Al inicio del proyecto, debemos llevar a cabo una presentación general del proyecto a las personas implicadas, haciéndoles partícipes del mismo e informándoles de cuáles son los trabajos y los resultados que se persiguen.  

► Asignar Responsables / coordinadores de proyecto a cada uno de los proyectos establecidos y dotarlo de los recursos necesarios. Dependiendo de la envergadura del proyecto, puede ser necesario formar un Comité de Gestión que se encargue de la supervisión del mismo.  

► Establecer la periodicidad con la que se debe llevar a cabo el seguimiento individual de los proyectos así como el seguimiento conjunto del Plan Director de Seguridad. Al respecto, cabe señalar que aquellos cambios en la organización o en el entorno de la misma que puedan modificar el enfoque estratégico, requerirán que revisemos igualmente el Plan Director de Seguridad, a fin de confirmar que sigue siendo válido y consecuente con la estrategia general de la organización.  

► A medida que vayamos alcanzado los hitos previstos, debemos confirmar que las deficiencias identificadas en las auditorías o en el análisis de riesgos han sido subsanadas. 

DEFINICIÓN DE PROYECTOS E INICIATIVAS (FASE 3) 

A partir de la información recabada hasta este momento, debemos definir las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que nuestra organización requiere.  

Dado que el análisis realizado incluye diferentes ámbitos como Recursos Humanos, Dirección, Mantenimiento, Jurídico, etc., las iniciativas para subsanar las deficiencias detectadas también serán de distinta índole: 

En primer lugar, definiremos las iniciativas dirigidas a mejorar los métodos de trabajo actuales, para que contemplen los controles establecidos por el marco normativo y regulatorio. 

En segundo lugar, pondremos en marcha un conjunto de acciones relacionadas con los controles técnicos y físicos cuya ausencia o insuficiencia hemos detectado. 

En tercer lugar, definiremos la estrategia a seguir así como los proyectos más adecuados para gestionar los riesgos por encima de nuestro riesgo aceptable. 

En la medida de lo posible, debemos estimar el coste de las iniciativas propuestas en términos temporales y económicos, contemplando los recursos materiales como humanos necesarios, tanto a nivel interno como externo.  

A modo orientativo, a continuación se incluyen una serie de iniciativas / proyectos «tipo» que frecuentemente forman parte del Plan Director de Seguridad. 

Nuevamente, debemos señalar la importancia de considerar la estrategia de la organización a la hora de definir las iniciativas a implantar.  

Si está previsto que la organización pase a formar parte de un grupo empresarial que presta servicios TIC centralizados a todas las sociedades del mismo, se procurará evitar inversiones en activos TIC locales ya que estos podrían no ser amortizados