Guía para crear la política de seguridad informática en tu empresa

Toda empresa depende de un sistema informático, ya sea para consultas en internet o guardar datos de la propia empresa, entre otros, para que los trabajadores puedan realizar sus tareas de forma eficaz y rápido… Entonces, nos surge la duda de si estamos seguros ante posibles ataques informáticos. Crear una política de seguridad informática para tu empresa es una de las soluciones para resolver los puntos débiles, por ello hablaremos del Plan Director de Seguridad.

El Plan Director de Seguridad es un conjunto de fases con el que se pretende reducir el riesgo y aumentar la seguridad informática dentro de unos niveles aceptables para la empresa objetivo.

Gráfico en el que aumenta la seguridad informática gracias a la política de seguridad informática

Inicialmente se comprobará la situación actual de la empresa, donde posteriormente se realizará un plan asociado a los intereses de la empresa junto con las obligaciones y buenas prácticas que deberán seguir los trabajadores de la empresa. Por último, en función de la actividad de la empresa, se podrá obtener un certificado que acredite que dispone de una política de seguridad informa el proceso de la seguridad informática implantada en la empresa.

El objetivo es llevar a cabo el proyecto para asegurar la protección de la seguridad informática de la empresa de forma legal, organizativo y a nivel técnico. Por ello, se deben implementar 7 fases para obtener la seguridad de la información y mantener controlado la política de seguridad informática del Plan Director de Seguridad con Checklist.

FASES

1. Analizar la situación actual de la empresa

· Análisis previo: Acotar el alcance, determinar procesos, a qué departamentos o sistemas. Definir rango de responsabilidad de los activos (responsable de seguridad informática, responsable de información…). Realizar una valoración inicial. Realizar controles del Plan Director de Seguridad. Establecer objetivos para reforzar y mejorar los puntos en tema de ciberseguridad.

· Análisis técnico de la seguridad informática: Veremos el nivel de seguridad informática que tiene la empresa con respecto a cortafuegos, antivirus, páginas webs seguras…

· Análisis de riesgos: identificar quién tiene un nivel bajo de seguridad informática, analizar las posibles amenazas, medir las consecuencias y las posibilidades de que ocurra de un ataque. Verificar la seguridad informática actual y hasta dónde protegen. Determinar el riesgo residual expuesto.

Obtenido el nivel de riesgo asumiremos los alcanzables por la empresa para corregirlos. Estrategias:

· Contratar a terceros

· Eliminar los riesgos ejecutando actividades que no tengan riesgos

· Asumir el riesgo con justificación

· Implementar acciones para reducir el riesgo.

2. Alinear la estrategia con el Plan Director de Seguridad, teniendo en cuenta la previsión de crecimiento, si existe externalización…

3. Definir los proyectos a ejecutar, es decir, exponer las acciones a ejecutar para llegar al nivel de seguridad informática acordado. En esta etapa podremos encontrar proyectos de mejora, corrección o ausencia, y gestión de los riesgos, siempre teniendo en cuenta la viabilidad.

4. Clasificar y priorizar los proyectos teniendo en cuenta el origen del proyecto, el tipo de acción, el esfuerzo que conlleva, mejoras obtenidas…

5. Aprobar y revisar el Plan por la dirección una vez que tengamos el plan preliminar.

6. Ejecución del Plan preliminar aprobado ajustado a la empresa donde se tendrá en cuentan:

· Presentar el Plan a las personas implicadas

· Asignar responsabilidades para cada proyecto y sustentarlos de recursos

· Crear una periodicidad de las revisiones en cada proyecto y del Plan, teniendo en cuenta los cambios.

· Comprobar si el riesgo ha desaparecido.

7. Certificación por la política de seguridad informática. Una vez comprobado y analizado que todo funcione correctamente podremos acreditar la calidad de nuestra empresa consiguiendo certificaciones o sellos de confianza.

En GOWtech ayudamos a su empresa a crecer mediante políticas de seguridad informática adaptadas al tiempo actual y situación empresarial. No gaste más dinero en sistemas o aplicaciones que no se adaptan a su negocio