Skip to main content
TecnologíaUSM Academy

Cómo crear un plan de ciberseguridad para empresas

Como resultado de la transformación digital que estamos viviendo, las empresas desarrollan gran parte de su actividad usando sistemas de información conectados en internet, a través de diferentes dispositivos y plataformas tecnológicas, tales como ordenadores, tablets, páginas web y marketplaces, entre otras. Así gestionamos nuestros presupuestos, facturas, informes, proyectos, la relación con los clientes y muchos otros procesos, que se generan y desarrollan en la nube con la ayuda de bases de datos y programas informáticos. Es decir, que, de una u otra forma, trabajamos permanentemente en la red.

Evidentemente, internet está en el punto de mira del crimen organizado. En algunos casos, estos grupos de delincuentes están dejando el contrabando de drogas o asaltos con violencia para dedicarse a tareas más «limpias», que pasan más desapercibidas: la ciberdelincuencia.

De la misma manera que debemos mantener nuestro local comercial con un mínimo de medidas de seguridad, la red informática local de nuestro negocio y las comunicaciones entre dispositivos de la empresa de dentro o fuera de la oficina debe estar igualmente protegida contra intrusiones. Es lo que llamamos ciberseguridad (o seguridad informática). «He recibido un email de un proveedor solicitándome un pago pendiente a una nueva cuenta bancaria y, después de haberle pagado, nos dimos cuenta que en realidad no era el proveedor, sino alguien que se hizo pasar por él». ¿Os suena este suceso? Seguro que sí.

La ciberseguridad es esencial en toda empresa, y muy especialmente en pymes y autónomos. Porque proteger los sistemas de información es proteger el negocio. Todos los que realizamos una actividad económica debemos tener un plan de ciberseguridad, del mismo modo que ya disponemos de una política de protección de datos (RGPD). Y para poder garantizar la seguridad de la información que manejamos es necesario llevar a cabo una gestión planificada de actuaciones en materia de ciberseguridad, tal y como se realiza en cualquier otro proceso productivo de la empresa.

Pero, ¿por dónde empezamos? No es tan difícil como puede parecer. Se trata de planificar el conjunto de medidas que vamos a tomar para proteger la comunicaciones. A este conjunto de medidas se denomina Plan Director de Seguridad (PDS) y es el que nos indicará las prioridades, las personas responsables y los recursos necesarios para mejorar el nivel de seguridad digital de nuestra pyme.

¿Cómo es un Plan Director de Seguridad?

El Instituto Nacional de Ciberseguridad (Incibe) define el Plan Director de Seguridad (PDS) como «la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial». Y añade que «es fundamental para la realización de un buen PDS que se alinee con los objetivos estratégicos de la empresa, incluya una definición del alcance e incorpore las obligaciones y buenas prácticas de seguridad que deberán cumplir los trabajadores de la organización, así como terceros que colaboren con ésta».

Fases del Plan Director de Seguridad

1. Conocer la situación actual

En esta fase hacemos un análisis técnico y un análisis de riesgos. Identificamos la ruta a seguir en el resto del proyecto. Determinamos qué procesos o sistemas se pueden mejorar, siendo necesaria la participación de las personas responsables de los distintos departamentos para poder obtener una información fiable, completa y actualizada.

2. Conocer la estrategia de la empresa

Aquí hemos de considerar los proyectos en curso y futuros, previsiones de crecimiento, cambios organizativos en la empresa. También es importante tener en cuenta si centralizamos todos nuestros servicios o si, por el contrario, optamos por la externalización de algunos. ¿Nuestra empresa forma parte de un grupo empresarial mayor? ¿Operamos en sectores distintos? La respuesta a todas estas cuestiones nos ayudará a clarificar la estrategia de nuestro negocio.

3. Definición de proyectos e iniciativas

Completadas las dos fases anteriores, ya podemos hacer nuestro plan de acción y las prioridades de cada una de las acciones planificadas. Definiremos, por ejemplo, una política de copias de seguridad, un protocolo de conexiones seguras entre los distintos dispositivos conectados al servidor de la empresa, herramientas seguras para el teletrabajo, etc.

4. Clasificación y priorización de proyectos

Es recomendable organizar los proyectos según el esfuerzo y el tiempo que requieren, estableciendo proyectos a corto, medio y largo plazo. Las acciones se pueden agrupar el bloques relativos a cumplimiento normativo, necesidades técnicas o riesgos detectados. En definitiva, se trata de organizar cómo vamos a afrontar el conjunto de medidas a adoptar.

5. Aprobación del plan

¿Estamos satisfechos con el plan elaborado? Entonces es hora de aprobarlo por la dirección de la empresa (o por ti mismo si eres autónomo) y comunicarlo al resto de la plantilla.

6. Puesta en marcha

Una vez aprobado el PDS, asignamos responsables para cada proyecto dentro del plan y les damos los recursos necesarios para que puedan hacer su trabajo. Durante la implantación se irá revisando el proceso y sus diferentes hitos, con un claro objetivo de mejora continua.

El Plan Director de Seguridad hará que nuestra empresa o negocio esté mejor preparada para afrontar los grandes retos (y riesgos asociados al ciberespacio) que tenemos por delante, aportando seguridad y confianza a nuestros clientes.

Actualmente existen ayudas para la aplicación de planes de ciberseguridad en empresas. La ciberseguridad es una de las categorías de digitalización contempladas en las ayudas KIT DIGITAL.

Puedes encontrar información de enorme utilidad en la página web del Intituto Nacional de Ciberseguridad. Y puedes descargarte una completa guía para el desarrollo de un Plan Director de Seguridad.

Plan Director de Seguridad
USM Cloud Services

UnSoloMundo es proveedor de tecnología en la nube orientada a empresas y profesionales. Su principal valor lo sustentan servicios escalables y de calidad, asesoramiento continuo y acompañamiento al cliente.