Segurilatam 011

40 Segundo cuatrimestre 2019 artículo técnico Ciberseguridad L a evolución de las tecnologías de la información y la comuni- cación (TIC) nos ha permitido automatizar y optimizar las actividades que se llevan a cabo en nuestras em- presas. Estas tecnologías han ido ocu- pando un lugar cada vez más impor- tante, hasta el punto de que, hoy en día, muchos de nuestros procesos de nego- cio no serían posibles sin ellas. La información es un activo impor- tante para las empresas, es fundamental para el negocio: facturas, informes, siste- mas contables, bases de datos de clien- tes, pedidos, etc. Podemos decir que las empresas basan su actividad en sistemas de información con soporte tecnológico (ordenadores, tabletas, páginas web). Por eso, proteger los sistemas de informa- ción es proteger el negocio. Para garantizar la seguridad de la infor- mación del negocio se necesita llevar a cabo una gestión planificada de actua- ciones en materia de ciberseguridad, tal y como se realiza en cualquier otro pro- ceso productivo de la organización. Si las herramientas tecnológicas y la información que dan soporte a los ser- vicios y procesos productivos de la or- ganización son de gran valor para nues- tra organización, debemos empezar a pensar en poner en práctica un Plan Di- rector de Seguridad (PDS). El PDS de la información es el conjunto de objetivos, proyectos y actividades como resultado de un análisis detallado de las necesi- dades de la organización en materia de seguridad de la información. Los PDS pretenden analizar y dar a co- nocer a las compañías su grado de segu- ridad y proponer las medidas correctoras planificadas en el tiempo para garantizar el nivel de seguridad más adecuado a las necesidades del negocio. El PDS varía en función de diversos factores como tamaño de la organi- zación, nivel de madurez en tecnolo- gía, la naturaleza de la información que maneja, el sector al que pertenece, etc. Estos factores determinan el nivel de complejidad. Y para poner en marcha el PDS, se recomienda aplicar seis fases. Fase I Consiste en conocer la situación ac- tual de nuestra empresa en materia de ciberseguridad. Es la fase más impor- tante pero la más compleja, debido a la participación de diferentes perso- nas y a la cantidad de información que se debe recolectar para conocer y eva- luar su situación actual. Y la misma ha de ser fiable, completa y actualizada. En esta fase es fundamental contar con el apoyo de la dirección, dado que este respaldo garantiza la disposición de suficientes recursos, así como que el proyecto esté alineado con la estra- tegia de la empresa. 1. Actividades previas. Acotar y establecer el alcance. Será esencial para determinar la magnitud de los trabajos y cuál será el foco prin- cipal de mejora, ya que podemos es- coger un único departamento, un con- junto de procesos, un sistema especí- fico. Lo recomendable es determinar aquellos activos y procesos de nego- cio críticos que sean imprescindibles para la subsistencia de la empresa. Por ejemplo, si el proceso de facturación es el más crítico podemos limitar el al- cance al mismo y revisar sistemas, equi- pos, personal, aplicaciones, riesgos es- pecíficos, etc. Aunque las mejoras serán específicas dentro de este proceso, nos permitirán profundizar en el resultado y partir de un punto para extenderlo a otros departamentos y procesos. Definir las responsabilidades sobre los activos de la organización (todos los procesos, las personas, los equipos, las instalaciones, el software , etc., que con- tienen, procesan o manejan de alguna Johan G. Mariño Gerente de Sistemas de Corporativo Almaba Plan Director de Seguridad (PDS)