Amazon
InicioCiberseguridadPlan director de seguridad de la información: qué es y cómo se elabora
plan-director-de-seguridad-de-la-informacion Plan director de seguridad de la información: qué es y cómo se elabora

Plan director de seguridad de la información: qué es y cómo se elabora

El Plan Director de Seguridad de la Información es el conjunto de objetivos, proyectos y actividades como resultado de un análisis detallado de las necesidades de la organización en materia de seguridad de la información.

En este artículo, detallaremos cómo se elabora este plan y los resultados que podemos obtener de esta herramienta estratégica.

¿Cómo se elabora un Plan Director de Seguridad de la Información?

Análisis previo

Para realizar el Plan Director es necesario realizar un análisis previo, que debe estar basado en un análisis de riesgos donde se identifiquen las principales amenazas que afectan a la organización y el riesgo asociado a cada una de ellas, en función de la probabilidad y el impacto que tengan de materializarse.

Para mitigar el riesgo de estas amenazas se deben establecer unos puntos de acción concretados en proyectos y actividades que serán parte del plan director.

Objetivos del Plan

Adicionalmente a lo anterior, es necesario entender las necesidades del negocio y mantener conversaciones con los responsables de las diferentes áreas de la organización, incluido el máximo nivel, para entender qué se espera de la función de seguridad y su aportación al negocio. Esto nos ayudará a establecer los objetivos de seguridad de la información en la empresa.

En la identificación de los proyectos y actividades, es importante diferenciar entre los proyectos a largo plazo y los de corto plazo. Los proyectos a corto plazo nos ayudarán a obtener “quick wins”, que son muy buenos para mostrar a la Dirección de la organización la validez y el progreso del Plan Director.

Definición, coste y responsables

También es clave para el éxito del Plan Director definir el detalle de cada uno de los proyectos a realizar, indicando el coste asociado y la persona o departamento responsable de su consecución. En caso contrario, será un documento a muy alto nivel que se olvidará con el tiempo.

Aprobación del Plan Director

Después de haber concretado detalles, proseguiremos con la aprobación del plan. El Plan Director debe ser aprobado por al máximo nivel posible dentro de la organización, como puede ser el Comité de Dirección o Consejo de Administración. La probación del plan será fundamental para dotarlo tanto de dotación presupuestaria como de autoridad, una cosa tan importante como la otra.

Métricas y control

Una vez identificados los objetivos, así como los proyectos y actividades que ayuden a conseguirlo, es necesario establecer unas métricas o indicadores para poder medir con el tiempo la buena marcha y la ejecución del Plan Director de Seguridad de la Información. Existen indicadores de consecución de objetivos (KGI=Key Goal Indicator) e indicadores de rendimiento (KPI=Key Performance Indicator). Por cada indicador es necesario detallar cómo se mide, quien lo mide, cada cuanto se mide y una meta asociada.

Los KPIs son habilitadores o te dan una idea de cómo bien o mal se está haciendo para conseguir alcanzar la meta del KGI. Por ejemplo, un KGI puede ser “número de incidentes de seguridad por malware” (cuya meta debe ser 0) y un KPI podría ser “porcentaje de PCs con antivirus” (cuya meta debe ser 100%). En la medida que el KPI anterior se aproxime a su meta, el KGI también lo hará.

Resultados de un Plan Director de Seguridad de la Información

Por lo tanto, el resultado del Plan Director será:

  • Un conjunto de objetivos alineados con la estrategia de la empresa. A cada objetivo se le puede asociar un conjunto de indicadores, preferentemente KGIs, que nos den una idea del cumplimiento del objetivo.
  • Un análisis de riesgos previo que justifique las necesidades que se van a cubrir con los proyectos identificados en el plan de acción.
  • Un conjunto de proyectos y actividades a poner en marcha para la consecución de los objetivos anteriores. A cada proyecto se le puede asociar un conjunto de indicadores, preferentemente KPIs
  • El detalle de cada uno de los proyectos anteriores, especificando las fases, las tareas, las fechas de compromiso, el responsable de cada actividad o tarea y el coste asociado.

Con todo lo anterior, el Plan Director de Seguridad de la Información será nuestra guía y herramienta estratégica a 2 o 3 años para fundamentar las acciones e inversiones realizadas en seguridad de la información.

Docente del Master en Ciberseguridad de IMF Business School.

Las dos pestañas siguientes cambian el contenido a continuación.
LOGO-RRSS-DEF-150x150 Plan director de seguridad de la información: qué es y cómo se elabora
Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico.
Sin comentarios

Deja un comentario

1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (4 votos, promedio: 4,00 de 5)
Cargando…

Noticias, eventos y formación

Suscríbete ahora y recibe los mejores contenidos sobre Negocios, Prevención, Marketing, Energías Renovables, Tecnología, Logística y Recursos Humanos.

Suscribirme

Acepto recibir comunicaciones comerciales por parte del grupo IMF
He leído y acepto las condiciones

Plan Director de Seguridad de la Información: qué es y cómo se elabora

El Plan Director de Seguridad de la Información es el conjunto de objetivos, proyectos y actividades como resultado de un análisis de las necesidades...