Las decisiones empresariales, sobre todo las relativas a inversiones de mejora de estructura interna, suelen conllevar un proceso de maduración que se debate entre la necesidad real del cambio o la posibilidad de sostener la estructura un tiempo más, tal y como se encuentra en ese momento.
Tal y como sucede con las experiencias personales, cuando no se quiere tomar una decisión las circunstancias la toman por uno, así ha sucedido en el último año. Mientras desde los órganos de administración de las compañías se remoloneaba sobre la necesaria transformación digital de las empresas y el aseguramiento de la estructura lógica y el «orden» de los procedimientos internos, sorpresivamente se materializa una pandemia mundial que nos obliga a acelerar, no con pocos tropezones, y acondicionar la producción a un nuevo escenario totalmente digital.
Muchos recordaron de inmediato que alguien, algún día, sugirió la posibilidad de implementar un Plan Director de Ciberseguridad. Quien no haya podido siquiera dar un paso para tomar la decisión en estos momentos, por haber estado solventando los conflictos de mayor urgencia y que requerían inmediatez, quizás ahora pueda tomarse un instante para decidir sobre la importancia de gestionar y administrar la ciberseguridad dentro de su organización.
Un Plan de Ciberseguridad contemplará varias etapas, entre ellas la de creación, implantación y seguimiento de Políticas de Seguridad, tan necesarias para la preservación del Sistema de Información. En la fase de implantación se escogerá, de forma habitual, entre diferentes estándares internacionales, entre ellos la ISO 27001 y la ISO 27002.
El desarrollo e implantación de un Plan Director de Ciberseguridad pasará por las diferentes etapas, principalmente las siguientes:
-Una vez tomada la decisión de la necesidad de implantar un Plan Director de Ciberseguridad, se procederá conforme a las siguientes etapas: la primera etapa consiste en la confección de un informe de auditoría interna para conocer cuál es el estado actual de la ciberseguridad en toda la organización.
Se someterá a evaluación tanto los aspectos técnicos como las medidas y controles de seguridad física y lógica que existan; se delimitarán los activos, las potenciales amenazas, las vulnerabilidades y se llevará a cabo una estimación y aceptación, o no, del riesgo implícito en algunos impactos.
Un aspecto que no deberá olvidarse en esta primera fase es el de la valoración del grado de cumplimiento normativo de cada proceso y actividad de la organización. Tampoco deberíamos olvidar hacer un cálculo aproximado de cuál podría ser el coste de una implantación de este calibre, teniendo en cuenta el volumen de la empresa y si implicará también a núcleos empresariales filiales de la principal.