¿Necesito un SGSI? ¿Y un plan de continuidad? ¿Y un pentest? Lo que necesitas es un Plan Director de Seguridad

En ocasiones cuando una organización decide mejorar la seguridad de su información se lanza de cabeza a por un SGSI, al cumplimiento de la LOPD, o directamente a implantar controles sobre sus activos, sin plantearse previamente qué es exactamente lo que necesita.

Los profesionales del mundo de la seguridad de la información insistimos en que la seguridad debe estar alineada con los objetivos del negocio, y esto es precisamente lo que un Plan Director de Seguridad (o PDS) se encarga de hacer: decidir lo que nuestra organización necesita en materia de seguridad.

¿Qué es un PDS?

No existe un ente u organismo oficial que establezca lo que es un PDS por lo que cada uno es libre de llevarlo a cabo como mejor considere.

Personalmente considero que esto es una ventaja ya que permite amoldar los PDS a la casuística de cada organización, pero a su vez hace que muchos traten de convertir su idea de PDS en la auténtica y verdadera senda a seguir creando confusión entre quienes no están familiarizados con el tema.

Maticemos que todo lo que contiene este post es mi visión particular, y que seguramente no coincida con otros planteamientos: un PDS es un plan que establece la hoja de ruta para mejorar la seguridad de la información.

Fin. Simplemente eso. Cualquier otra afirmación que hagamos acerca de lo que es un PDS nos impedirá poder crear un plan que se ajuste a las necesidades de negocio de cualquier organización.

¿Entonces un PDS no incluye implantar un SGSI?

Pues puede que sí, o puede que no.

¿Tiene sentido decir que un PDS por defecto incluirá la implantación de un SGSI? ¿Y una diferencial de la 27002? ¿O un pentest? Puede que nuestra organización ya tenga un SGSI, que esté alineada con otros estándares que no sean la 27002 o que no tenga servidores abiertos a Internet, por lo que no debemos cerrarnos a 4 puntos estándar.

Estamos de acuerdo en que una organización con un SGSI, con un buen nivel de madurez en los controles de la 27002 y con un plan de continuidad sólido, tendrá un buen nivel de seguridad por lo que seguramente será lo que nuestro PDS nos recomiende que hagamos, pero no lo asumamos como algo aplicable al 100% de los casos.

¿Cómo abordamos pues un PDS?

El PDS es un plan para mejorar la seguridad de la información, por lo que deberíamos empezar por saber cómo de seguros estamos y cómo de seguros queremos llegar a estar.

Dependiendo de cada organización este análisis cambiará:

  • Es recomendable disponer de una política de seguridad que marque los objetivos de seguridad, lo cual nos ayudará enormemente a definir hasta dónde queremos llegar, aunque una declaración de intenciones por parte de dirección puede ser igualmente válida.
  • Una organización que tenga claro que todo es un desastre, que su mayor problema son los continuos virus informáticos y la nula formación de sus usuarios, puede decidir rápidamente que la meta de su plan director de seguridad a corto plazo será securizar sus equipos y formar a los usuarios, y “luego ya veremos”. Esto también es un análisis para el PDS (poco ambicioso, pero lo es).
  • Una organización con un nivel de seguridad medio que quiera un nivel de seguridad alto, seguramente necesite hacer un análisis de riesgos formal, un diferencial de la ISO27002 y un pentest exhaustivo para saber cómo de segura está, así como los niveles que es viable conseguir mediante un SGSI u otras soluciones.
  • Una organización que ya disponga de un análisis de riesgos lo tendrá muy fácil para hacer este análisis teniendo simplemente que establecerse una meta.

Una vez tengamos claro dónde estamos, y dónde queremos llegar, será el momento de decidir qué acciones necesitamos llevar a cabo. Estas acciones, dependiendo de su magnitud, podrán ser tareas puntuales o complejos proyectos que se pueden desarrollar de forma independiente, como puede ser implantar un SGSI.

Análisis de situación + acciones ¿eso es todo?

Como ya hemos dicho, cada PDS es un mundo y no hay nada escrito al respecto, pero ahí van otras consideraciones que recomendamos tener en cuenta:

  • Antes de empezar a ejecutar las acciones, deberíamos fijar indicadores para poder monitorizar si la seguridad de nuestra información ha evolucionado. Si nuestras acciones incluyen por ejemplo implantar un SGSI, éste ya incluye la toma y comparación de indicadores, pero si no es así recomendamos considerar la definición de indicadores.
  • Hay quien dice que un PDS es un proceso que empieza y termina, sin tener mejora continua ni ser re-evaluado periódicamente. Consideramos imprescindible que la seguridad de la información sea un proceso vivo y continuo, por lo que para aquellas organizaciones que no tengan un proceso formal de mejora continua, una gran opción puede ser hacer un PDS nuevo cada año, o revisar y actualizar el que ya tienen.

Conclusión

Retomando la pregunta que da título al post, a prácticamente todas las empresas que consideran la información como uno de sus activos a proteger, les interesa implantar un SGSI, disponer de un plan de continuidad, hacer pentests periódicos, etc., pero estas tareas deben venir de una necesidad del negocio, y de un estudio que diga que realmente eso es lo que les interesa, y ese estudio, es el famoso Plan Director de Seguridad.