PHASES

Las fases a la hora de elaborar y aplicar un Plan Director de Seguridad son las siguientes:

1. Conocimiento de la situación actual.
2. Conocimiento de la estrategia de la empresa.
3. Definición de proyectos e iniciativas.
4. Clasificación y priorización.
5. Aprobación por la dirección.
6. Implantación.

Conocimiento de la situación actual de la empresa

• Debemos ser conscientes de la situación en la que se encuentra la empresa en materia de ciberseguridad. Para ello tenemos que realizar análisis referidos a los aspectos organizativos, técnicos, normativos y regulatorios.
• Esta fase es la más complicada e importante a la hora de elaborar el Plan Director de Seguridad. Por eso es importante la implicación de todos los participantes y que se proporcione una información completa, veraz y actualizada para entender la situación actual de la empresa.
• Para asegurar el éxito de este Plan es esencial disponer del apoyo de la Dirección. De esa forma garantizaremos la alineación del proyecto con los objetivos de la empresa y los recursos necesarios para ponerlo en marcha.

ACTUACIONES PREVIAS:

ANTES DE COMENZAR CON LA ELABORACIÓN DEL PLAN DIRECTOR DE SEGURIDAD DEBEMOS REALIZAR UNA SERIE DE ACTUACIONES:

• DELIMITAR EL ALCANCE

  • Es muy importante establecer el alcance que va a tener este Plan Director de Seguridad ya que, de esa forma, podremos determinar los trabajos a realizar y el principal foco de mejora.
  • Dentro de los alcances se puede elegir un solo departamento, unos sistemas específicos o unos servicios críticos.
  • Lo aconsejable es elegir como alcance los procesos y activos críticos del negocio. Así, la aplicación del Plan tendrá unos efectos más positivos para la seguridad de la información en la empresa.

• DEFINIR LOS RESPONSABLES DE LA GESTIÓN DE ACTIVOS

  • Dentro de los activos de información se incluyen todos los equipos, personas, procedimientos, software e instalaciones que contienen o tratan información. Es todo aquello que tiene valor para la empresa.
  • Deben definirse las responsabilidades sobre los distintos activos: dispositivos móviles, instalaciones, equipos informáticos, servicios y aplicaciones. Con ello será más fácil realizar un seguimiento del cumplimiento de los objetivos previstos y de la recopilación y análisis de la información.

DEBEN ESTABLKECERSE AL MENOS LOS SIGUIENTES PERFILES:

• Responsable de Seguridad, será el responsable de hacer un seguimiento y coordinar todas las actuaciones implantadas por la empresa en
  materia de Seguridad de la Información.
• Responsable de Información, en el caso de manejar información específica que es gestionada a través de diferentes entornos.
• Responsables de ámbito, en el caso de realizar actuaciones en el ámbito lógico, físico, legal y organizativo.

• VALORACIÓN INICIAL

  • Previamente a la elaboración del plan debemos determinar la situación actual de la empresa para así establecer los controles y requisitos que debemos aplicar. Los controles son las medidas organizativas, técnicas o legales que se aplican para reducir los riesgos de seguridad.
  • A la hora de evaluar los aspectos legales y regulatorios debemos tener en cuenta el estándar internacional ISO/IEC 27002:2013. En él se indican buenas prácticas en materia de seguridad de la información. Por ejemplo, la realización de copias de seguridad, el cumplimiento del RGPD o el establecimiento de un plan de continuidad de negocio.
  • Para elaborar un eficaz Plan Director de Seguridad es muy importante conocer esta norma 27002:2013.
  • Una vez analizados los controles establecidos por esa norma tendremos que redactar un documento con aquellos controles que sean aplicables a nuestra empresa. El documento se denomina «Documento de Selección de Controles». Ahí debemos especificar si esos controles ya están aplicados en la empresa y el estado en el que se encuentran.

• ANÁLISIS DE CUMPLIMIENTO

PARA REALIZAR ESE ANÁLISIS DE CUMPLIMIENTO DEBEMOS:

• Llevar a cabo reuniones con el personal de los diferentes departamentos de la empresa para evaluar si se cumplen los controles de seguridad aplicados.
• Inspeccionar in situ las instalaciones para verificar el cumplimiento de los controles de acceso físico y seguridad medioambiental.
• Registrar todos los fallos y problemas que se vayan detectando respecto al cumplimiento de esas medidas de seguridad. Es recomendable usar listas de verificación y formularios donde se indiquen los elementos a revisar.
• Analizar todos los resultados obtenidos, valorando el nivel de cumplimiento en una escala del 0 al 5.

• ESTABLECER LOS OBJETIVOS

  • Para finalizar esta fase debemos determinar cuáles son los objetivos en materia de ciberseguridad que debe cumplir la empresa y los aspectos que se deben mejorar.

• ANÁLISIS TÉCNICO DE SEGURIDAD

Este análisis consiste en la evaluación del grado de implantación y cumplimiento de los controles de seguridad en los sistemas de la empresa que almacenan y gestionan información.

PARA ELLO, ADEMÁS DE LAS INSPECCIONES Y ENTREVISTAS, DEBEMOS VALORAR LOS SIGUIENTES ASPECTOS:

• Si la empresa tiene instalados antivirus y cortafuegos.
• Si la página web es segura.
• La existencia de una red adecuadamente segmentada para impedir la visibilidad en Internet de los servidores internos o los equipos de los usuarios.
• Existencia de controles de acceso físico a las zonas donde se almacene información sensible.

A través de este análisis podemos comprobar la eficacia de los controles de seguridad implantados y las deficiencias existentes.

El alcance de esta auditoría será diferente según el ámbito de la empresa y la estrategia de negocio. Por ejemplo, una empresa dedicada al comercio electrónico puede estar interesada en la seguridad de su página web, mientras que una empresa con otros riesgos diferentes en cuanto a fuga de información puede estar más interesada en mejorar el proceso de alta y baja de empleados, políticas de buenas prácticas del uso del correo corporativo o los controles de acceso.

• ANÁLISIS DE RIESGOS

A través del análisis de riesgos es posible detectar las amenazas a las que está expuesta la empresa.

LOS PASOS PARA REALIZAR UN ANÁLISIS DE RIESGOS SON LOS SIGUIENTES:

• Identificar los activos de información de la empresa con sus vulnerabilidades y las amenazas a las que está expuesto.
• Determinar los riesgos asociados a cada activo de información antes de aplicar los controles adecuados.
• Establecer la probabilidad de que un riesgo se materialice y las consecuencias que esa materialización tiene para la empresa.
• Determinar los riesgos que no son aceptables para la empresa y establecer los controles a aplicar en esos casos.
• Obtención del riesgo residual que determina el grado de exposición del activo a esas amenazas una vez implantados los controles y las consecuencias de que esas amenazas se produzcan.
• Establecer el nivel de riesgo aceptable, es decir, los riesgos que debemos tratar y los que podemos asumir. Existen cuatro maneras de tratar los riesgos: 

• • Transferirlos a un tercero.
  • Eliminarlos.
  • Asumirlos.
  • Aplicar medidas para reducirlos.

Conocimiento de la estrategia de la empresa

• Es necesario conocer los proyectos presentes y futuros de la empresa, sus previsiones de crecimiento, los cambios producidos, etc. También si la empresa tiene externalizados los servicios TIC o si va a comenzar a desarrollar su actividad en otros sectores.
• Esto nos ayudará a aplicar medidas de seguridad adecuadas a la naturaleza de la empresa.
• Es aconsejable analizar esta estrategia junto a los responsables de todos los departamentos afectados y con la dirección.

Definir los proyectos e iniciativas

Debemos establecer los proyectos e iniciativas necesarios para conseguir el nivel de seguridad requerido por la empresa.

LOS PASOS A SEGUIR SON LOS SIGUIENTES:

• Definir iniciativas que mejoren los procesos de trabajo actuales teniendo en cuenta los controles establecidos por las leyes.
• Aplicar las acciones relacionadas con los controles físicos y técnicos que faltan en la empresa.
• Determinar los proyectos más adecuados para gestionar los riesgos por encima de nuestro riesgo aceptable.

Debemos tener en cuenta el coste temporal y económico de las iniciativas propuestas.

Clasificar y priorizar los proyectos a realizar

• Debemos clasificar y priorizar las iniciativas y proyectos previstos. Las acciones a realizar pueden ser muy variadas por lo que es aconsejable dividir las propuestas o agrupar las iniciativas para homogeneizar los proyectos establecidos.
• Las iniciativas pueden clasificarse según su origen o por el tipo de acción. Y es muy importante organizar los proyectos según su coste temporal y el esfuerzo que requieren. Así, estableceremos proyectos a corto, medio y largo plazo.
• Además, es recomendable establecer un grupo que reúna aquellos proyectos cuya consecución requiere poco esfuerzo pero su resultado produce
  mejoras sustanciales en la seguridad.

Aprobar el Plan Director de Seguridad

• La Dirección de la empresa es la encargada de revisar y aprobar el Plan Director de Seguridad. Al realizar la revisión es posible que haya que modificar el alcance, la prioridad de algún proyecto o la duración del plan.
• Una vez aprobada la versión final debe comunicarse a todos los empleados la necesidad de su apoyo a este plan y de su colaboración para aplicarlo.

Puesta en marcha

Con el Plan de Ciberseguridad aprobado conseguiremos el nivel de seguridad que la empresa necesita.

EXISTEN UNA SERIE DE ASPECTOS QUE FACILITARÁN EL ÉXITO DEL PROYECTO Y QUE SE CONSIGAN LOS OBJETIVOS PROPUESTOS:

• Al comienzo del proyecto, debemos realizar una presentación general del mismo a las personas implicadas, haciéndoles partícipes e
  informándoles de cuáles son los trabajos y los resultados que se persiguen.
• Asignar Responsables / coordinadores de proyecto a cada uno de los proyectos establecidos y dotarlo de los recursos necesarios. Dependiendo de la envergadura del proyecto, puede ser necesario formar un Comité de Gestión que se encargue de la supervisión del mismo.
• Establecer la periodicidad con la que se debe realizar el seguimiento individual de los proyectos así como el seguimiento conjunto del Plan Director de Seguridad. Si se producen cambios en la empresa o en el entorno de la misma que puedan modificar su estrategia, será necesario revisar el Plan Director de Seguridad, para verificar que sigue siendo válido y adecuado a la estrategia general de la organización.
• Según se vayan logrando los objetivos previstos, debemos confirmar que las deficiencias identificadas en las auditorías o en el análisis de riesgos han sido subsanadas.

UN PLAN DE SEGURIDAD ES ESENCIAL PARA CUALQUIER EMPRESA POR VARIAS RAZONES:

1. Protección de Datos: las empresas, independientemente de su tamaño, acumulan datos que pueden ser sensibles y valiosos. Un plan de seguridad ayuda a proteger esta información de accesos no autorizados, robos o pérdidas.
2. Confianza del Cliente: los clientes confían en que las empresas manejarán su información personal de manera segura. Una brecha de seguridad puede dañar la reputación de una empresa y la confianza del cliente.
3. Continuidad del Negocio: las interrupciones debido a un incidente de seguridad pueden ser costosas y perjudiciales. Un plan de seguridad incluye medidas preventivas y un plan de respuesta a incidentes para minimizar las interrupciones.
4. Cumplimiento Normativo: muchas industrias están sujetas a normativas que exigen la protección de datos. No cumplir con estas normativas puede resultar en multas y sanciones legales.
5. Detección y Respuesta a Amenazas: un plan de seguridad establece procedimientos para detectar y responder rápidamente a cualquier amenaza, reduciendo el daño potencial.
6. Competitive Advantage: una empresa con un plan de seguridad robusto puede destacarse frente a competidores que no toman la seguridad tan en serio.
7. Conciencia y Cultura de Seguridad: un plan ayuda a crear una cultura de seguridad en la organización, donde todos los empleados están informados y comprometidos con la protección de los activos de la empresa.
8. Protección contra Daños Financieros: las violaciones de seguridad pueden ser extremadamente costosas. Un plan de seguridad ayuda a evitar costos legales, de reparación y de pérdida de ingresos.
9. Gestión de Riesgos: permite identificar y evaluar riesgos de seguridad para poder tratarlos de manera efectiva.
10. Innovación Segura: con un plan de seguridad, las empresas pueden adoptar nuevas tecnologías y prácticas de negocio de manera segura y confiada.

En resumen, un plan de seguridad es una parte integral de la gestión de riesgos empresariales y es fundamental para proteger los intereses de la empresa, sus clientes y su futuro.

RIESOS QUE ASUME UNA EMPRESA POR NO TENER UN PLAN DE SEGURIDAD

Una empresa sin un plan de ciberseguridad bien desarrollado se expone a múltiples riesgos, que pueden tener consecuencias graves para su funcionamiento y su viabilidad a largo plazo.

AQUÍ ESTÁN ALGUNOS DE LOS RIESGOS MÁS CRÍTICOS:

1. Brechas de Datos: la falta de medidas de seguridad adecuadas puede resultar en accesos no autorizados a datos confidenciales, lo que puede llevar a la pérdida, robo o manipulación de datos sensibles.
2. Pérdida Financiera: los incidentes cibernéticos pueden acarrear costos significativos debido a la interrupción del negocio, la extorsión digital (ransomware), el fraude, el robo de información financiera, y los costos asociados con la remediación y las sanciones por incumplimiento normativo.
3. Daño a la Reputación: una violación de la seguridad puede erosionar la confianza de los clientes y socios, lo cual puede ser devastador para la reputación de la empresa y difícil de reparar.
4. Interrupción del Negocio: los ataques cibernéticos pueden resultar en la paralización temporal de las operaciones comerciales, perdiendo la empresa capacidad de generar ingresos y ofrecer servicios.
5. Pérdida de Propiedad Intelectual: sin un plan de ciberseguridad, la propiedad intelectual, como patentes, diseños y fórmulas, es vulnerable al espionaje industrial y al robo.
6. Problemas Legales y de Cumplimiento: el incumplimiento de las leyes y regulaciones de protección de datos puede llevar a sanciones legales, multas y litigios costosos.
7. Daño a las Relaciones Comerciales: los socios comerciales pueden perder la confianza en una empresa que no puede proteger su información compartida, lo que puede llevar a la terminación de relaciones y contratos comerciales.
8. Desventaja Competitiva: las empresas que no se toman en serio la ciberseguridad pueden quedar en desventaja competitiva frente a aquellas que sí lo hacen, ya que los clientes prefieren hacer negocios con entidades seguras.
9. Riesgos para la Infraestructura Crítica: dependiendo del sector, un ataque podría afectar infraestructuras críticas, como redes eléctricas o sistemas financieros.
10. Exposición a Ataques Continuados: sin un plan de respuesta a incidentes, una empresa podría sufrir ataques continuados sin la capacidad de detectarlos o mitigarlos efectivamente.

Por lo tanto, el riesgo más grande para una empresa sin un plan de ciberseguridad es la vulnerabilidad en múltiples frentes, lo que puede traducirse en pérdidas tangibles e intangibles y poner en peligro su sostenibilidad a largo plazo.

EJEMPLOS DE EMPRESAS QUE HAN FRACASADO POR LA AUSENCIA DE UN PLAN DE SEGURIDAD, CASOS NOTORIOS DONDE L FALTA DE UN PLAN DE CIBERSEGURIDAD DECUADO HA LLEVADO A CONSECUENCIAS GRAVES:

1. Target en 2013: la cadena minorista estadounidense sufrió una brecha de seguridad masiva que comprometió los datos de tarjetas de crédito y débito de aproximadamente 40 millones de clientes. La falta de un sistema de seguridad adecuado y un plan de respuesta a incidentes permitió que el ataque persistiera durante varias semanas. Aunque Target no fracasó como empresa, enfrentó costos significativos en términos de multas, daño a su reputación y compensaciones.
2. Yahoo en 2013-2014: experimentó una de las mayores brechas de seguridad de la historia, con mil millones de cuentas afectadas inicialmente y luego revelaron que todas las 3 mil millones de cuentas de usuarios habían sido comprometidas. La brecha tuvo un impacto significativo en la percepción de la compañía y redujo su valor en cientos de millones durante la negociación de su venta a Verizon.
3. Equifax en 2017: la agencia de informes crediticios sufrió una violación masiva de datos que afectó a aproximadamente 143 millones de consumidores. La brecha se debió a la explotación de una vulnerabilidad conocida en una aplicación web que Equifax no había parcheado. Como resultado, la compañía enfrentó demandas colectivas, la salida de ejecutivos clave y una caída en la confianza del consumidor y el precio de las acciones.

Estos ejemplos muestran que, mientras una brecha de seguridad puede tener efectos devastadores en la salud financiera, la confianza del cliente y la estabilidad a largo plazo de una organización. Estos incidentes sirven como recordatorios críticos de la importancia de tener planes de seguridad y ciberseguridad robustos.

Consejos para crear tu plan de CIBERSEGURIDAD

Crear un plan de ciberseguridad es crucial para proteger los activos de información de su empresa desde el principio.

A CONTINUACIÓN, SE DETALLA UN PLAN SIMPLIFICADO QUE PUEDE SER APLICADO POR EMPRENDEDORES PARA FORTALECER LA CIBERSEGURIDAD EN UNA EMPRESA DE RECIENTE CREACIÓN:

Identificación de Activos y Valoración de Riesgos: Comience por hacer un inventario de todos los datos, dispositivos y servicios que utiliza su empresa. Pregúntese qué daño causaría su pérdida o robo. Esto le ayudará a priorizar las medidas de seguridad en función del nivel de riesgo.

IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD BÁSICAS:

• Antivirus y Antimalware: instale y mantenga actualizado un software antivirus en todos los dispositivos. Esto es como tener un guardia de seguridad que controla y bloquea el software malicioso.
• Firewalls: utilice firewalls para crear una barrera entre su red y el tráfico no deseado de Internet. Piense en ello como una valla que mantiene fuera a los intrusos.
• Actualizaciones de Software: mantenga su sistema operativo y aplicaciones actualizados. Las actualizaciones a menudo contienen parches para vulnerabilidades de seguridad, lo cual es como arreglar cerraduras débiles en su casa.
• Contraseñas Fuertes y Gestión de Autenticación: use contraseñas complejas y considere un gestor de contraseñas. Implemente autenticación de dos factores siempre que sea posible. Es como tener una combinación de cerradura y alarma en su puerta.
• Copia de Seguridad: realice copias de seguridad regulares de la información crítica y guárdelas en un lugar seguro. Esto es como tener un plan de evacuación en caso de emergencia.
• Formación y Concienciación de Empleados: eduque a su equipo sobre los riesgos de ciberseguridad y las mejores prácticas. Los empleados informados son como vigilantes que pueden detectar y reportar actividades sospechosas.
• Desarrollo de Políticas de Seguridad: redacte políticas claras sobre el uso de los sistemas y la gestión de datos. Asegúrese de que todos en la empresa las entiendan y las sigan. Es como tener reglas de seguridad en un laboratorio para evitar accidentes.
• Gestión de Accesos: controle quién tiene acceso a qué información. No todos los empleados necesitan acceso a todos los datos. Esto se asemeja a tener llaves diferentes para diferentes puertas en su negocio.
• Respuesta ante Incidentes: prepare un plan de respuesta para cuando ocurra un incidente de seguridad. Esto debe incluir cómo detectar el incidente, a quién informar y cómo recuperarse del mismo. Es como tener un botiquín y un plan de primeros auxilios.
• Cumplimiento Normativo: asegúrese de conocer y cumplir con las normativas de ciberseguridad aplicables en su área de operación, como el GDPR si está en la UE. Esto es similar a cumplir con las regulaciones de salud y seguridad.
• Revisión y Actualización Regular del Plan: la ciberseguridad no es un proyecto único, sino un proceso continuo. Revise y actualice su plan de ciberseguridad regularmente para adaptarse a nuevos riesgos y tecnologías.

Para aplicar este plan, empieza por pequeñas acciones y avanza progresivamente. No necesitas ser un experto en seguridad para tomar medidas significativas que puedan proteger su empresa de amenazas digitales. La clave está en ser proactivo y mantener la ciberseguridad como una parte integral de su estrategia empresarial desde el inicio.