Auditorías de Seguridad

Plan Director de Seguridad de Información

Es la herramienta que permite a una organización definir sus actividades en Seguridad de Información, declarando tareas a corto, medio y largo plazo, y dado que cada organización tiene objetivos estratégicos distintos, debe estar hecho a la medida y ciertamente en línea con esos objetivos de negocio.

Un Plan Director de Seguridad de Información, permite a la empresa conocer su grado de seguridad y propone medidas de mitigación a los riesgos evidenciados, con una planificación estructurada en el tiempo para garantizar el nivel de seguridad más adecuado a las necesidades del negocio.

Cuando la organización reconoce que el buen funcionamiento de los sistemas de información es crítico en el desarrollo de sus actividades y que éstos se encuentran expuestos a los riesgos por la propia vulnerabilidad inherente a los sistemas, entonces esa organización está madura para asumir la tarea de proteger los intereses de su propio lineamiento estratégico.

Las vulnerabilidades de los sistemas, la insuficiente implementación de controles, una deficiente instalación o los propios errores de los operadores y administradores, pueden producir pérdidas de activos de la organización (Bases de datos, archivos, documentación de sistemas, software de aplicación o de sistema, equipos de tratamiento informático, etc.) o incluso afectar a la continuidad del negocio.

Todo esto justifica la necesidad de contar con un Plan Director de Seguridad, y aún más:

• La comunidad otorga una importancia cada vez mayor de la seguridad de la información.
• Para mostrar debida diligencia, un gerente debe considerar la seguridad con una visión integral (tecnológica, organizativa, legal, recursos humanos,…).
• Si no quiere desperdiciar recursos, la organización debe evitar iniciativas de seguridad tomadas de forma aislada.
• La infraestructura de TI en las organizaciones es heterogénea, por lo que atender las vulnerabilidades amerita una buena planificación.
• Existen diferentes requisitos de seguridad a lo largo de la Organización.
• La organización tiene la necesidad de abordar la seguridad en un plan coherente y sistemático que marque las pautas y directrices a seguir.

Tritec Consultores pone a su disposición profesionales de excepcional calidad técnica y capacidad de gestión estratégica para acompañarlo en la tarea de definir e implementar un Plan de Seguridad en su organización, firmemente alineado a su estrategia de negocio y enfocado en los objetivos primordiales de la organización.

Nuestra metodología incluye:

Obtener un punto de partida inicial mediante el análisis de la situación actual.
Fijar un objetivo específico, determinando estrategias y requisitos organizativos para llegar a una situación deseada.
Determinar el plan de seguridad, acompañando a la organización en la definición y la implementación.

El Plan de Seguridad incorporará temas tales como:

1. Las medidas de Seguridad actualmente existentes en la Organización y la identificación de puntos débiles: ¿Qué está bien?, ¿Qué está mal?, ¿Qué necesita mejorar?, ¿Se cumple con los objetivos?, ¿Cuáles los riesgos principales y a qué son debidos?, ¿Sobre qué procesos de negocio me impactan estos riesgos?, ¿Qué procesos de negocio están afectados por las vulnerabilidades detectadas?….
2. El nivel de seguridad que se desea alcanzar: Definición de la situación objetivo ¿Hasta dónde quere llegar la organización?, ¿Cuál es el nivel de inversión aceptable?, ¿Dónde va a estar el umbral de riesgo? ¿Cómo se va a gestionar los riesgos (Evitándolos, Suprimiéndolos, Transfiriéndolos, Reduciéndolos)?.
3. Las necesidades reales en materia de Seguridad para la Organización: Estas necesidades quedarán recogidas en forma de proyectos o acciones a realizar/ejecutar.
4. La planificación de la implantación: Proyectos a Corto Plazo (a iniciar en los próximos 1 a 3 meses), Proyectos a Medio Plazo (a iniciar en el período comprendido entre los 12-24 meses desde la fecha actual), Proyectos a Largo Plazo (a iniciar en el período comprendido entre los 2-36 meses desde la fecha actual). Aunque la definición de qué es corto, mediano y largo plazo, es parte de la planificación y no es estándar a todas las organizaciones.
5. Secuencia temporal y dependencia entre los proyectos: Una hoja de ruta que defina y establezca las relaciones de precedencia y dependencia entre las diferentes acciones identificadas, así como el marco temporal propuesto para su ejecución.
6. La inversión a realizar: para cada una de las acciones o proyectos que se identifiquen.
7. Cuantificación de recursos y costes: considerando la totalidad de los costes asociados al Plan (costes de adquisición, implementación, mantenimiento, formación a usuarios y operadores) y la dedicación de los recursos internos.