Plan director de seguridad de la información: qué es y cómo se elabora

El Plan Director de Seguridad de la Información es el conjunto de objetivos, proyectos y actividades como resultado de un análisis detallado de las necesidades de la organización en materia de seguridad de la información.

En este artículo, detallaremos cómo se elabora este plan y los resultados que podemos obtener de esta herramienta estratégica.

¿Cómo se elabora un Plan Director de Seguridad de la Información?

Análisis previo

Para realizar el Plan Director es necesario realizar un análisis previo, que debe estar basado en un análisis de riesgos donde se identifiquen las principales amenazas que afectan a la organización y el riesgo asociado a cada una de ellas, en función de la probabilidad y el impacto que tengan de materializarse.

Para mitigar el riesgo de estas amenazas se deben establecer unos puntos de acción concretados en proyectos y actividades que serán parte del plan director.

Objetivos del Plan

Adicionalmente a lo anterior, es necesario entender las necesidades del negocio y mantener conversaciones con los responsables de las diferentes áreas de la organización, incluido el máximo nivel, para entender qué se espera de la función de seguridad y su aportación al negocio. Esto nos ayudará a establecer los objetivos de seguridad de la información en la empresa.

En la identificación de los proyectos y actividades, es importante diferenciar entre los proyectos a largo plazo y los de corto plazo. Los proyectos a corto plazo nos ayudarán a obtener “quick wins”, que son muy buenos para mostrar a la Dirección de la organización la validez y el progreso del Plan Director.

Definición, coste y responsables

También es clave para el éxito del Plan Director definir el detalle de cada uno de los proyectos a realizar, indicando el coste asociado y la persona o departamento responsable de su consecución. En caso contrario, será un documento a muy alto nivel que se olvidará con el tiempo.

Aprobación del Plan Director

Después de haber concretado detalles, proseguiremos con la aprobación del plan. El Plan Director debe ser aprobado por al máximo nivel posible dentro de la organización, como puede ser el Comité de Dirección o Consejo de Administración. La probación del plan será fundamental para dotarlo tanto de dotación presupuestaria como de autoridad, una cosa tan importante como la otra.

Métricas y control

Una vez identificados los objetivos, así como los proyectos y actividades que ayuden a conseguirlo, es necesario establecer unas métricas o indicadores para poder medir con el tiempo la buena marcha y la ejecución del Plan Director de Seguridad de la Información. Existen indicadores de consecución de objetivos (KGI=Key Goal Indicator) e indicadores de rendimiento (KPI=Key Performance Indicator). Por cada indicador es necesario detallar cómo se mide, quien lo mide, cada cuanto se mide y una meta asociada.

Los KPI son habilitadores o te dan una idea de cómo bien o mal se está haciendo para conseguir alcanzar la meta del KGI. Por ejemplo, un KGI puede ser “número de incidentes de seguridad por malware” (cuya meta debe ser 0) y un KPI podría ser “porcentaje de PC con antivirus” (cuya meta debe ser 100%). En la medida que el KPI anterior se aproxime a su meta, el KGI también lo hará.

Resultados de un Plan Director de Seguridad de la Información

Por lo tanto, el resultado del Plan Director será:

• Un conjunto de objetivos alineados con la estrategia de la empresa. A cada objetivo se le puede asociar un conjunto de indicadores, preferentemente KGIs, que nos den una idea del cumplimiento del objetivo.
• Un análisis de riesgos previo que justifique las necesidades que se van a cubrir con los proyectos identificados en el plan de acción.
• Un conjunto de proyectos y actividades a poner en marcha para la consecución de los objetivos anteriores. A cada proyecto se le puede asociar un conjunto de indicadores, preferentemente KPI
• El detalle de cada uno de los proyectos anteriores, especificando las fases, las tareas, las fechas de compromiso, el responsable de cada actividad o tarea y el coste asociado.

Con todo lo anterior, el Plan Director de Seguridad de la Información será nuestra guía y herramienta estratégica a 2 o 3 años para fundamentar las acciones e inversiones realizadas en seguridad de la información.

Docente del Master en Ciberseguridad de IMF Business School.

Máster en Ciberseguridad Online • Deloitte IMF

Master en Marketing Deportivo (MBA) ⚽ IMF Smart Education

Máster Oficial en Comercial y Marketing • IMF ICE

Las dos pestañas siguientes cambian el contenido a continuación.

• Acerca de
• Últimas entradas

IMF Smart Education

Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico. IMF Smart Education ofrece una exclusiva oferta de postgrados en tecnología en colaboración con empresa como Deloitte, Indra o EY (masters en Big Data, Ciberseguridad, Sistemas, Deep Learning, IoT) y un máster que permite acceder a la certificación PMP/PMI. Para ello IMF cuenta con acuerdos con universidades como Nebrija, la Universidad de Alcalá y la Universidad Católica de Ávila así como con un selecto grupo de universidades de Latinoamérica.

LEE  Internet profundo: qué es y qué podemos encontrar en la Deep Web

Últimos posts de IMF Smart Education (ver todo)

• Inteligencia Artificial: la expresión del año - 29/12/2022
• ¿Quieres hackear un hospital? Este español lo tuvo en la punta de la mano - 08/06/2022
• ¿Qué es Python? ¿Cómo podemos cargar datos diferentes en proyectos de Machine Learning? - 06/06/2022