Hay compañías que saben que sufren incidentes de seguridad… y otras que no se enteran, pero la realidad es que afecta a todas las organizaciones a diario. La seguridad es invisible pero clave, aunque sólo salga a la luz cuando algo falla.
En un mundo hiperconectado las posibilidades son cada vez mayores pero también la exposición a los riesgos, por lo que hay que saber gestionarlos. La seguridad adquiere protagonismo: debe estar en el diseño mismo y ser disruptiva como los tiempos que corren. En la actualidad es obligatorio para las compañías contar con una estrategia que les permita enfrentarse a cualquier incidente de seguridad que impacte en el negocio.
Para poder prevenir, remediar o mitigar este tipo de incidentes es necesario contar con una estrategia de seguridad bien definida; en algunos casos puede ser una guía de buenas prácticas, pero en la mayoría de los casos ya existen procedimientos escritos y la mejor manera de hacerlo es con la implantación de planes o normativas ya definidos. Desde el punto de vista de estrategia básica, el punto de partida debería ser un Plan Director de Seguridad (PDS).
Éste recoge los riesgos a los que está expuesta una organización en el área TIC y su impacto en el negocio y, a partir de ahí, define qué acciones se han de tomar para reducirlos a un nivel aceptable, que será el equilibrio entre la inversión y el riesgo asumible.
Para definir un Plan Director de Seguridad es imprescindible tomar como punto de partida los objetivos estratégicos de la empresa, ya que estos son la base para definir un riesgo aceptable de impacto y un alcance y, a partir de ahí, establecer un “guión” de buenas prácticas y obligaciones que deberán cumplir todos los trabajadores de la compañía y sus colaboradores, ya que estos últimos también son una extensión del riesgo.
Algunas de las situaciones que se contemplan en este plan pueden ser:
- Efectos ante un virus o malware
- Indisponibilidad de servicios (correo electrónico, web, eCommerce)
- Pérdida de activos materiales (servidores, equipamiento, periféricos…)
- Indisponibilidad eléctrica o electrónica (CPDs, provisión eléctrica, switches)
- Conectividad a Internet
A partir de estos y otros aspectos que puedan ser críticos para la correcta marcha del entorno TIC y, por ende, de alto impacto en el negocio, podrá definirse el PDS. Los proyectos descritos en el Plan Director de Seguridad variarán en función de diversos factores relacionados con:
- El tamaño de la organización
- El nivel de madurez en tecnología
- El sector al que pertenece la empresa
- El contexto legal que regula las actividades de la misma
- La naturaleza de la información que se maneja
- El alcance
- Otros aspectos organizativos
Con esta información se puede determinar la complejidad y magnitud del PDS resultante. En relación con su envergadura, además, se deben tener en cuenta las siguientes fases:
- Conocimiento del punto de partida de la organización, así como de la estrategia corporativa
- Definición de los proyectos e iniciativas
- Clasificación y definición de los proyectos que hay que realizar
- Aprobación del Plan Director de Seguridad
- Implantación del mismo
Todas estas etapas del proyecto requieren de mucha implicación por parte de la Dirección y de los propios trabajadores, ya que de cada una de las fases iniciales se ha de extraer mucha información determinante para el proyecto, como la responsabilidad en la gestión de los activos, la evaluación de los aspectos normativos y regulatorios, registro de problemas y evidencias, cómo se tratan los riesgos, etc.
Imagen: Brian Rinker
The post Un plan director de seguridad es estratégico para el negocio appeared first on Think Big.
