Plan Director Integral de Seguridad

(PDIS)

Plan Director Integral de Seguridad (PDIS)

Uno de los proyectos "estrella" y más "ambiciosos" que llevamos a cabo en CS3 Group, es el Plan Director "Integral" de Seguridad (PDIS), no siendo un típico plan al uso, sino integrando realmente todo lo que su empresa necesita en términos de ciberseguridad.

Un Plan Director de Seguridad consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial.

Es fundamental para la realización de un buen Plan Director de Seguridad, que se alinee con los objetivos estratégicos de la empresa, incluya una definición del alcance e incorpore las obligaciones y buenas prácticas de seguridad que deberán cumplir los trabajadores de la organización así como terceros que colaboren con ésta.

¿Por qué se llama "integral" y cuál es su diferencia con el PDS?

Nuestro equipo de colaboradores en CS3 Group estarán trabajando "mano a mano" con su personal para lograr la consecución de los objetivos establecidos en el PDIS, no consiste en dejarles en su empresa la documentación necesaria y confiar el trabajo por hacer, sino que con nuestra ayuda, dicho trabajo estará siempre supervisado y controlado por el equipo de trabajo asignado al proyecto hasta su consecución final, donde incluso si sus objetivos estratégicos son la consecución de una Certificación como puede ser el Esquema Nacional de Seguridad (ENS), les estaremos acompañando y participando activamente incluso en el proceso de certificación por terceros, PAC (si fuera necesario), etc.


Nuestra solución

De forma ordenada y sencilla, sin inferir en sus procesos, nuestro equipo trabajará en conjunto con el suyo para poder conseguir los objetivos que se definan y poder completar hasta el final los proyectos con éxito para conseguir el Plan Director Integral de Seguridad realizando todas y cada una de las fases previstas para conseguirlo en la temporalización prevista sin desvíos significativos en el cronograma previsto. Hay que tener presente que un Plan Director Integral de Seguridad (PDIS), se basa en la mejora continua y que, por lo tanto, cuando hayamos finalizado debemos comenzar de nuevo el ciclo.

Fases del Plan Director Integral de Seguridad

Con la ayuda de nuestro equipo, tendrá todo lo que necesitará para dar cumplimiento de forma integral a los aspectos técnicos, organizativos, regulatorios y normativos que su empresa requiera -incluso Certificaciones como el ENS, ISO/IEC 27001, etc.- en diferentes fases, que serán siempre aprobadas por el Comité de Seguimiento que será creado. Nuestro equipo en conjunto con los suyos, realizará todos los pasos necesarios.

Fase 1: Conocimiento de la situación actual

  • Se definirá el alcance inicial, definiéndolo claramente sobre el que se va a desarrollar el PDIS y determinando aquellos activos y procesos de negocio críticos.
  • Se definirán los Responsables de la gestión de los activos, determinando su ámbito lógico, físico, legal y organizativo.
  • Se realizará una valoración inicial para determinar los controles y requisitos que son de aplicación y se obtendrá el nivel de madurez en el que se encuentra la Organización.
  • Se pasará a realizar un análisis de cumplimiento con los departamentos significativos -TI, Personal, Jurídico, Administración, Servicios Generales, Calidad, etc.- junto con una inspección in-situ de las instalaciones de la Organización.
  • Se establecerán cuáles son sus objetivos a cumplir en materia de ciberseguridad en la empresa, lo que nos permitirá determinar los ámbitos a mejorar e identificar los aspectos en los que debemos focalizar todos los esfuerzos.
  • Se realizará un detallado análisis técnico de la seguridad de forma presencial in-situ en todas las dependencias del Cliente cuando asi se requiera o en remoto si los medios lo permiten, acotando el periodo de realización y preparando en conjunto con el personal de TI los procedimientos de recuperación sobre los entornos que serán evaluados, con el fin de minimizar el impacto en el negocio. Este análisis cubrirá toda la superficie externa e interna de la Organización.
  • Se procederá entonces a confeccionar el Análisis de Riesgos para obtener el conjunto de amenazas a las que se enfrenta su empresa siguiendo la Metodología Magerit y se definirá el Nivel de Riesgo Aceptable (NRA) para determinar los riesgos que deben ser tratados y los riesgos que son asumibles.

Fase 2: Estrategia de la Organización.

  • Se analizará la estrategia de la Organización con los responsables de los departamentos implicados y por supuesto, con la Dirección, para conseguir tener una visión objetiva y global de la estrategia de negocio.
  • Serán considerados los los proyectos en curso y futuros, previsiones de crecimiento, cambios en la organización debido a reorganizaciones e incluso si se va a iniciar la actividad en algún sector distinto del actual que pudiera generar requisitos adicionales.

Fase 3: Definición de Proyectos e iniciativas.

  • Se definirán las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que su Organización requiera, comenzando por mejorar los métodos de trabajo actuales, para que contemplen los controles establecidos por el marco normativo y regulatorio.
  • En segundo lugar, se pondrá en marcha el conjunto de acciones en relación con todos los controles técnicos y físicos cuyas ausencias o insuficiencias hubieran sido detectadas en las fases previas.
  • Por último, se definirá la estrategia a seguir así como los proyectos más adecuados para gestionar los riesgos por encima del nivel de riesgo aceptable obtenido.

Fase 4: Clasificación y priorización de proyectos.

  • Una vez identificadas las acciones, iniciativas y proyectos, se procederá a clasificarlas y priorizarlas. Especialmente se organizarán los proyectos atendiendo al esfuerzo que requieran y a su coste temporal. De este modo se establecerán los proyectos a corto, medio y largo plazo.
  • Se atenderán especialmente a los "Quick Wins" que son aquellos proyectos cuya consecución requiere poco esfuerzo pero su resultado produce mejoras sustanciales en la seguridad.

Fase 5: Aprobación del PDIS.

  • El PDIS completo debe revisarlo y aprobarlo la Dirección y es posible que requiera cambios para modificar su alcance, duración o la prioridad de algunos proyectos, lo que implicará que se repita cíclicamente hasta disponer de una versión final aprobada formalmente por la Dirección de la Organización.
  • Se dará traslado para su conocimiento a toda la fuerza laboral de la empresa destacando la importancia del deber de colaborar de toda la Organización en la implantación del mismo.

Fase 6: Implementación del PDIS.

  • Se realizará una presentación general del proyecto a las personas implicadas, haciéndoles partícipes del mismo e informándoles de cuáles son los trabajos y los resultados que se persiguen.
  • Se establecerá la periodicidad con la que se debe llevar a cabo el seguimiento individual de los proyectos así como el seguimiento conjunto del PDIS.
  • Se asignarán los Responsables/Coordinadores de proyecto a todos y cada uno de los proyectos establecidos y se les dotará de los recursos necesarios.
  • Mediante la metodología de gestión de proyectos acordada, esta fase estará coordinada, asesorada y supervisada por nuestro equipo de profesionales asignados al proyecto, realizando comprobaciones periódicas y verificaciones técnicas de control, para lograr su completa y correcta implementación de cada uno de los proyectos derivados.

Opcional: Revisión del Estado de Seguridad

Opcionalmente y una vez obtenidas la Certificaciones/Conformidades con los diferentes aspectos técnicos, organizativos, regulatorios y normativos, podrá ser contratado el proceso de vigilancia y mejora continua, donde nuestro equipo colaborará entre otras acciones y con carácter anual en:

  • Revisión de la Política de Seguridad de la Información.
  • Revisión de la información y los servicios, y su categorización.
  • Actualización del análisis de riesgos, al menos anualmente.
  • Revisión de la Declaración de Aplicabilidad o del Perfil de Cumplimiento.
  • Realización de auditorías internas.
  • Revisión del Plan de Mejora.
  • Revisión de las medidas de seguridad.
  • Revisión y actualización de procedimientos.
  • Revisión del Estado de Seguridad.
Seguimiento PDIS

Resultados

Hemos llevado a cabo varios proyectos con base a nuestra solución del Plan Director "Integral" de Seguridad (PDIS) en importantes empresas, donde podemos enorgullecernos de que entre todas las partes implicadas, han sido llevados a cabo de forma totalmente satisfactoria.

 

down

Comencemos

Proteger los sistemas de información es proteger el negocio. Se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad.

up

Fases y proyectos

Desarrollaremos la mejor estrategia para que todas las fases y los diferentes proyectos puedan ser llevados a cabo en tiempo y forma junto a nuestro equipo de profesionales.

Resultados

Poco a poco observará como mejoran todos sus procesos y se alinean sin suponer un "stopper" con los requisitos de ciberseguridad necesarios en su Organización.