La mejor forma de pensar en un Plan Director es razonarlo como el hermano pequeño o sencillo de la 27001, y de la misma forma que la norma, debe tener como objetivo generar un conjunto de proyectos que reduzcan los riesgos de seguridad a niveles aceptables. Por lo tanto, lo primero es conocer la organización, su estrategia y su situación actual, seguidamente definir los proyectos y priorizarlos, para terminar implantándolos.
Todo Plan de Seguridad es, por definición, un plan de mejora continuada, y responde al clásico ciclo PDCA (Plan, Do, Check, Act). Debe estar íntimamente integrado en la cultura de la organización a todos los niveles, con el apoyo y la aprobación de los proyectos por parte de la Dirección.
El Plan Director se puede dirigir desde la propia empresa, generalmente desde el departamento de sistemas apoyado por la Dirección, pero en muchos casos puede ser mucho mejor en aras de la objetividad recibir la ayuda de un consultor externo que guíe y/o gestione el proceso en base a una metodología y asegure se revisan todos los puntos pertinentes para generar los proyectos correctos en buena relación con el riesgo que se calcule.
La implantación de un Plan Director de Seguridad de la Información implica sin lugar a dudas un cambio en la empresa, un cambio que será más o menos importante según la situación actual, y que debe ser gestionado adecuadamente para causar el impacto positivo que debe, y no sea percibido como un problema por los trabajadores, clientes o proveedores.
FASES 1 y 2. Veamos la situación actual. Qué somos y hacia donde vamos.
Entender la situación actual de la empresa es tal vez la fase más compleja, y es bueno definir una estrategia clara.
Alcance
Antes de comenzar debemos acotar, junto a la Dirección, el Alcance del Plan Director. No siempre el alcance debe ser toda la empresa. Podemos acotarlo a un sólo departamento (sistemas es el ideal para empezar), o sólo a unos determinados procesos o sistemas de la organización.
De este modo, o bien tenemos un alcance que engloba a toda la organización (lo que puede ser perfecto en organizaciones muy pequeñas), o bien un alcance restringido, donde la idea podría ser que definamos uno realizable en el período de ciclo que hayamos establecido, y que ese alcance pueda ampliarse en sucesivos ciclos de mejora.
Una buena manera de plantear un alcance es definir los procesos de negocio sin los que la empresa no puede subsistir, y establecer un primer alcance que los englobe.
Responsabilidades
Es necesario también establecer las responsabilidades en el marco de la organización, responsabilidades que deben ser apoyadas o establecidas por la dirección (al menos los dos primeros):
- Responsable de Seguridad: realiza el seguimiento coordina todo lo relativo a medidas sobre la Seguridad de la Información.
- Responsable de Sistemas: Implanta las medidas relativas al mundo TIC que se decidan, y propone las que hay que realizar.
- Responsables de la Información de los procesos de negocio establecidos.
- Responsables de Mantenimiento (seguridad física), Jurídico...
Valoración inicial de controles implementados
En base a un modelo de madurez, a una escala, la idea es tomar como base la norma ISO 27002 y verificar el cumplimiento inicial de los controles que nos afecten, generando una primera versión de un documento de aplicabilidad que nos servirá para trabajar en un futuro.
Este párrafo parece sencillo, pero nos llevará bastante tiempo y probablemente implique a mucho personal de la empresa. La norma 27002:2014 tiene 114 controles agrupados en 35 capítulos u objetivos de control, así que es importante delimitar los controles que aplican según el alcance establecido, valorándolos según la escala de madurez, y justificar en el documento los controles que no aplican.
El modelo de madurez establecido como norma es el Modelo de Madurez y Capacidades (CMM), que podemos ver aquí, y que podemos resumir en la siguiente lista de valores. al que debemos añadir el valor 0 (Inexistente):
Esta labor implica el análisis de cumplimiento tanto de controles administrativos como técnicos, por lo que es muy aconsejable que sea gestionada o dirigida por un consultor externo y objetivo.
Análisis de Riesgos
Al mismo tiempo que la valoración de controles podemos ir realizando un análisis de riesgos. En realidad la experiencia es que ambas técnicas (Análisis y Valoración de controles) son complementarias, y nos ayudan y encaminan de manera precisa a establecer los objetivos.
Las fases para realizar un análisis de riesgos las iré definiendo en otras entradas del blog, pero en esencia podemos verlas en la siguiente ilustración.
Lo habitual, como explico en este post, es utilizar la metodología MAGERIT con la herramienta PILAR.
Definimos un nivel de riesgo aceptable, y la dirección lo aprueba. Todos los riesgos por encima del valor aceptable deben ser tratados para disminuirlos.
Objetivos de Seguridad
Una vez realizado el Análisis de Riesgos y mientras vayamos realizando la evaluación inicial de los controles, podemos definir los objetivos de seguridad, esencialmente anotados en base a los controles que no están implementados o queremos mejorar y a los riesgos mayores que el definido como aceptable.
De momento, estos objetivos son notas que luego convertiremos en proyectos concretos y valorables a implementar.
Tener en cuenta la estrategia de la organización
Es necesario tener presente y anotar la estrategia a corto y medio plazo de la organización. Por ejemplo, si se van a migrar datos a la Nube o se piensa realizar alguna transformación en la empresa o en su foco.
Hasta aquí hemos realizado la fase inicial de la implantación de nuestro Plan Director de Seguridad. Ya sabemos qué tenemos y hemos esbozado cuales son nuestras necesidades en materia de seguridad. En un post posterior hablaré del resto de las fases de implementación.