Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Recapitu<strong>la</strong>ndo, los pasos que <strong>la</strong> Entidad ha recorrido <strong>en</strong> <strong>la</strong> s<strong>en</strong>da hacia <strong>la</strong><br />
<strong>Gestión</strong> Estratégica <strong>de</strong> Seguridad son:<br />
• Diseño, redacción y aprobación <strong>de</strong> <strong>la</strong> Política <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong> organización.<br />
Este docum<strong>en</strong>to <strong>de</strong>sgrana los objetivos estratégicos <strong>de</strong> <strong>la</strong> <strong>en</strong>tidad<br />
<strong>en</strong> materia <strong>de</strong> <strong>seguridad</strong>, y p<strong>la</strong>ntea el alcance <strong>de</strong> los mismos.<br />
• Análisis <strong>de</strong> Riesgos <strong>de</strong> los procesos incluidos <strong>en</strong> el alcance <strong>de</strong> <strong>la</strong> Política<br />
<strong>de</strong> Seguridad. Gracias a él, se conoc<strong>en</strong> los activos que soportan los procesos<br />
(conocimi<strong>en</strong>to <strong>de</strong>l <strong>en</strong>torno), así como <strong>la</strong>s vulnerabilida<strong>de</strong>s <strong>de</strong> <strong>la</strong>s<br />
que adolec<strong>en</strong> y <strong>la</strong>s am<strong>en</strong>azas a <strong>la</strong>s que se <strong>en</strong>fr<strong>en</strong>tan.<br />
En este punto, el objetivo es i<strong>de</strong>ntificar y p<strong>la</strong>nificar <strong>la</strong>s acciones, correctivas o<br />
<strong>de</strong> mejora que permitirán reducir los riesgos i<strong>de</strong>ntificados para los activos, y<br />
luego p<strong>la</strong>smar<strong>la</strong>s y gestionar<strong>la</strong>s a través <strong>de</strong>l P<strong>la</strong>n Director <strong>de</strong> Seguridad.<br />
Muchos <strong>de</strong> los riesgos podrán ser reducidos mediante <strong>la</strong> aplicación <strong>de</strong> un único<br />
control <strong>de</strong> baja complejidad (como por ejemplo, <strong>la</strong> imp<strong>la</strong>ntación <strong>de</strong> un<br />
s<strong>en</strong>cillo antivirus). No obstante, <strong>en</strong> numerosas situaciones no bastará con una<br />
actividad s<strong>en</strong>cil<strong>la</strong> y habrá que diseñar proyectos específicos para afrontar riesgos<br />
complejos (como el diseño e imp<strong>la</strong>ntación <strong>de</strong> un P<strong>la</strong>n <strong>de</strong> Conting<strong>en</strong>cias).<br />
El principal sustrato <strong>de</strong> <strong>la</strong> e<strong>la</strong>boración <strong>de</strong> un P<strong>la</strong>n Director <strong>de</strong> Seguridad es<br />
una colección <strong>de</strong> activida<strong>de</strong>s, muchas <strong>de</strong> el<strong>la</strong>s con carácter complejo, que se<br />
<strong>de</strong>berán abordar para alcanzar el objetivo <strong>de</strong> <strong>seguridad</strong> establecido a través<br />
<strong>de</strong>l umbral <strong>de</strong> riesgo. En síntesis, para cubrir cada uno <strong>de</strong> los riesgos que<br />
<strong>de</strong>b<strong>en</strong> ser contro<strong>la</strong>dos a través <strong>de</strong>l P<strong>la</strong>n Director <strong>de</strong> Seguridad se propon<strong>en</strong><br />
un conjunto <strong>de</strong> líneas <strong>de</strong> acción, así como proyectos mediante los cuales<br />
implem<strong>en</strong>tar<strong>la</strong>s.<br />
Tras disponer <strong>de</strong> dicha colección <strong>de</strong> activida<strong>de</strong>s y proyectos <strong>de</strong>rivados, <strong>la</strong><br />
sigui<strong>en</strong>te incógnita es el or<strong>de</strong>n <strong>en</strong> el que se <strong>de</strong>berán acometer. Sin duda, <strong>la</strong><br />
mejor opción es priorizar <strong>la</strong>s acciones <strong>en</strong> base a un único criterio maestro,<br />
aunque luego se utilizarán otros que matizarán dicha pon<strong>de</strong>ración. El criterio<br />
base a <strong>la</strong> hora <strong>de</strong> p<strong>la</strong>nificar y priorizar el <strong>de</strong>spliegue <strong>de</strong> los controles <strong>de</strong> <strong>seguridad</strong><br />
será el nivel <strong>de</strong> riesgo cubierto por el control. Asociada a cada línea <strong>de</strong><br />
acción se dim<strong>en</strong>siona también el b<strong>en</strong>eficio cuantitativo obt<strong>en</strong>ido tras su<br />
implem<strong>en</strong>tación para cada dim<strong>en</strong>sión <strong>de</strong> <strong>seguridad</strong> (confi<strong>de</strong>ncialidad/integridad/disponibilidad).<br />
43