Transcription of Plan director de Seguridad - INCIBE
1 PROTEGE TU EMPRESAC olecci nPLAN director DESEGURIDAD1 plan director de Seguridad NDICE NDICE1- INTRODUCCI N .. QU OCURRIR A SI NUESTRA EMPRESA SE ENCONTRASE EN ALGUNA DELAS SIGUIENTES SITUACIONES? .. QU ES UN plan director DE Seguridad ? ..042- IMPLANTANDO UN plan director DE Seguridad .. CONOCER LA SITUACI N ACTUAL DE LA ORGANIZACI N (FASE 1) .. Actividades previas .. An lisis t cnico de Seguridad .. An lisis de riesgos .. CONOCER LA ESTRATEGIA DE LA ORGANIZACI N (FASE 2) .. DEFINICI N DE PROYECTOS E INICIATIVAS (FASE 3) .. CLASIFICAR Y PRIORIZAR LOS PROYECTOS A REALIZAR (FASE 4) .. APROBAR EL plan director DE Seguridad (FASE 5) .. PUESTA EN MARCHA (FASE 6) ..293- REFERENCIAS ..30 NDICE DE FIGURASI lustraci n 1: Implantando un plan director de Seguridad ..05 Ilustraci n 2: Gr fico ejemplo del resultado de la evaluaci n.
2 14 Ilustraci n 3: Etapas del An lisis de Riesgos ..18 Ilustraci n 4: Elementos de la Gesti n de la Seguridad de la Informaci n ..19 NDICE DE TABLAST abla 1: Iniciativas/Proyectos en un PDS ..252 plan director de SeguridadINTRODUCCI NLa evoluci n de las tecnolog as de la informaci n y comunicaci n nos ha permitido automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra organizaci n. Estas tecnolog as han ido ocupando un lugar cada vez m s importante, hasta el punto de que hoy en d a, sin ellas, muchos de nuestros procesos de negocio no ser an informaci n es un activo importante para las empresas, es fundamental para el nego-cio: facturas, informes, bases de datos de clientes, pedidos, etc. Podemos decir que las empresas basan su actividad en siste-mas de informaci n con soporte tecnol -gico (ordenadores, tabletas, p gina web.)
3 Por eso proteger los sistemas de informaci n es proteger el negocio. Para garantizar la Seguridad de la informaci n del negocio se necesita llevar a cabo una gesti n planificada de actuaciones en materia de Ciberseguridad, tal y como se realiz en cualquier otro proceso productivo de la organizaci director de Seguridad Sufrimos los efectos de un virus infor-m tico y no sabemos c mo reaccionar. Se produce una p rdida de datos y no tenemos copias de Seguridad [1] o no podemos recuperar la informaci n. Perdemos o extraviamos un disco duro port til con informaci n sensible. Nuestra p gina de comercio electr ni-co es el objetivo de un ataque de de-negaci n de servicio, dej ndola inope-rativa. Se nos estropea alg n servidor o ele-mento de red, que nos impide el uso del correo electr nico, la conexi n a In-ternet o el uso de una aplicaci n cr a escenarios como los anteriores, surgen muchas dudas: Deber a externalizar el soporte infor-m tico de mi empresa?
4 Es seguro gestionar informaci n cor-porativa en dispositivos m viles? he-mos proporcionado y utilizado los re-cursos necesarios para ello? Sabemos si las copias de Seguridad funcionan? estamos realizando co-pias de toda la informaci n cr tica para nuestra organizaci n?Si sufrimos un incidente de Seguridad in-form tica, conocemos los riesgos a los que est expuesta nuestra empresa?Si las herramientas tecnol gicas y la infor-maci n que dan soporte a los servicios y procesos productivos de la organizaci n son de gran valor para nuestra organiza-ci n, debemos empezar a pensar en poner en pr ctica un plan director de QU OCURRIR A SI NUESTRA EMPRESA SE ENCONTRASE EN ALGUNA DE LAS SIGUIENTES SITUACIONES?4 plan director de SeguridadUn plan director de Seguridad consiste en la definici n y priorizaci n de un conjunto de proyectos en materia de Seguridad de la informaci n con el objetivo de reducir los riesgos a los que est expuesta la or-ganizaci n hasta unos niveles aceptables, a partir de un an lisis de la situaci n fundamental para la realizaci n de un buen plan director de Seguridad , en ade-lante PDS, que se alinee con los objetivos estrat gicos de la empresa, incluya una definici n del alcance e incorpore las obli-gaciones y buenas pr cticas de Seguridad que deber n cumplir los trabajadores de la organizaci n as como terceros que co-laboren con sta.
5 QU ES UN plan DIRECTORDE Seguridad ?5 plan director de SeguridadIMPLANTANDO UN plan director DE SEGURIDADLos proyectos que componen el plan Di-rector de Seguridad var an en funci n de diversos factores relacionados como: El tama o de la organizaci n El nivel de madurez en tecnolog a El sector al que pertenece la empresa El contexto legal que regula las activi-dades de la misma La naturaleza de la informaci n que manejamos El alcance del proyecto Otros aspectos organizativosEstos factores determinar n la magnitud y complejidad del plan director de Segu-ridad resultante. No obstante, en general, para la elaboraci n y puesta en marcha de un plan director de Seguridad se siguen las fases o etapas que muestra la ilustraci n 1:CONOCER LASITUACI N ACTUALFASEIMPLANTACI N DEL PDSFASECONOCER LA ESTRATEGIA DE LA ORGANIZACI NFASEAPROBACI N POR LA DIRECCI NFASEDEFINIR PROYECTOSE INICIATIVASFASECLASIFICACI N Y PRIORIZACI NFASEI lustraci n 1 Implantando un plan director de SeguridadSiempre debemos tener presente que un plan director de Seguridad , se basa en la mejora continua.
6 Por tanto cuando haya-mos finalizado debemos comenzar de nue-vo el director de LA SITUACI N ACTUAL DE LA ORGANIZACI N (FASE 1)La primera fase consiste en conocer la si-tuaci n actual de nuestra empresa en ma-teria de ciberseguridad. Para ello debemos llevar a cabo distintos an lisis consideran-do aspectos t cnicos, organizativos, regu-latorios y normativos, entre es la fase m s importante y compleja de la elaboraci n del plan director de Segu-ridad, debido a la participaci n de diferen-tes personas y a la importancia que tiene que la informaci n de la organizaci n ne-cesaria para conocer y evaluar su situaci n actual, sea fiable, completa y esta fase es fundamental contar con el apoyo de la Direcci n. ste es un aspec-to esencial para garantizar el xito del plan director de Seguridad , dado que este res-paldo garantizar no s lo que disponemos de suficientes recursos, sino que el enfo-que del proyecto est alineado con la filo-sof a y estrategia de la director de SeguridadAntes de comenzar con el primer paso del an lisis, debemos realizar varias actividades PREVIAS8 plan director de SeguridadEs esencial definir claramente el alcance so-bre el que vamos a desarrollar el PDS.
7 Este alcance determinar la magnitud de los tra-bajos y tambi n cu l ser el foco principal de la mejora tras la aplicaci n del y establecer el posibles alcances podemos escoger: un nico departamento (habitualmente el de TIC), un conjun-to de procesos cr ticos, o unos siste-mas espec recomendable es determinar aquellos activos y procesos de negocio cr ticos, aquellos sin los que la empresa no puede subsistir, y utilizar stos como alcance del PDS. De esta manera, la ejecuci n del PDS tendr un impacto m s positivo sobre la se-guridad de la informaci n de la organizaci el proceso m s cr tico de nuestra empresa est relacionado con el pro-ceso de facturaci n, podemos limitar el alcance a ste: sistemas y equipos implicados, personal, aplicaciones necesarias, riesgos espec ficos, etc.
8 Aunque las mejoras ser n espec fi-cas dentro de este proceso, nos per-mitir profundizar en el resultado y partir de un punto para extenderlo a otros departamentos o director de SeguridadLos activos de la organizaci n son todos aquellos que tienen valor para ella. As los activos de informaci n son todos los pro-cesos, personas, equipos, instalaciones, sof-tware o ficheros de todo tipo que la contie-nen, procesan o manejan de alguna ello es importante definir las respon-sabilidades sobre los activos de la orga-nizaci n: equipos inform ticos, dispositivos m viles, aplicaciones, instalaciones (CPD), servicios e informaci n. Esto nos facilitar hacer un seguimiento de la ejecuci n de las iniciativas implantadas, as como del an lisis y recogida de la informaci responsabilidades deben estar aso-ciadas a perfiles espec ficos, ya sea una per-sona o un comit formado por varias per-sonas.
9 En el caso de empresas de peque o tama o, varios de estos roles pueden ser asumidos por la misma persona (el propie-tario del activo en cuesti n).Al menos, se deben definir los siguientes perfiles: Responsable de Seguridad , con la finalidad de hacer un seguimiento y coordinar todas las iniciativas puestas en marcha por la organizaci n en ma-teria de Seguridad de la Informaci n. Responsable de Informaci n, espe-cialmente cuando tratamos con infor-maci n espec fica que es gestionada a trav s de diferentes entornos. Responsables de mbito, en el caso de que pongamos en marcha inicia-tivas en el mbito l gico, f sico, legal y controles de Seguridad f sica pueden ser responsabilidad del res-ponsable del rea de Mantenimiento o Servicios Generales, mientras que los aspectos legales ser n respon-sabilidad del responsable del rea Jur dica.
10 Todos estos deber n ser coordinados por el Responsable de Seguridad , garantizando su correcta ejecuci de la gesti n de los director de SeguridadUn buen comienzo implica realizar una valoraci n preliminar de la situaci n ac-tual de la organizaci n para determinar los controles y requisitos que son de aplica-ci n. En la jerga de Gesti n de la Seguridad se llaman controles a las medidas de todo tipo (t cnico, legal u organizativo) que se implementan para contrarrestar los ries-gos de norma general, la evaluaci n de los aspectos normativos y regulatorios la realizaremos tomando como referencia el est ndar internacional ISO/IEC 27002:2017 [2], dise ada para ser utilizada a la hora de designar controles para la selecci n e im-plantaci n de un Sistema de Seguridad de la Informaci n, as como unas directrices de Gesti n de la Seguridad de la Informaci controles relacionados con la gesti n de copias de Seguridad , re-querimientos legales como cumplir con el RGPD [3], instalaci n de cor-tafuegos o la definici n de un plan de continuidad del negocio.
