Cada vegada més, les empreses tenen una dependència més alta de la tecnologia per gestionar els processos clau de negoci. Des que va començar la pandèmia de la Covid-19, la velocitat de la migració al núvol s’ha disparat i la tendència del treball telemàtic fa que les estratègies tradicionals d’infraestructura informàtica quedin pràcticament obsoletes, deixant a la llum grans bretxes de seguretat.

Els ciberatacs i altres riscos creixen dia a dia. Per això, és necessari disposar d’un pla que permeti tenir una guia per a implantar de manera coordinada i contínua, mesures de seguretat i procediments per gestionar els riscos identificats que puguin afectar els actius, a la seguretat de la informació i al negoci.   

Així doncs, conèixer quins són els riscos que afecten els actius crítics, permet fer-los front posant en marxa les mesures necessàries per a garantir la seguretat de la informació de  l’empresa. 

 

El Pla Director de Seguretat

El Pla Director de Seguretat consisteix en la definició i priorització d’un conjunt de projectes en matèria de seguretat de la informació amb l’objectiu de reduir els riscos als quals està exposada l’organització fins a uns nivells acceptables. Això, s’aconsegueix a partir d’una anàlisi de la situació inicial, la qual es realitza considerant aspectes tècnics, organitzatius, reguladors i normatius, entre altres.

Per tal d’elaborar el Pla Director de Seguretat és important delimitar i establir l’abast. Aquest abast determinarà la magnitud dels treballs i també quin serà el focus principal de la millora després de l’aplicació del pla: un únic departament, per exemple el de TIC; un conjunt de processos crítics, o uns sistemes específics. El recomanable és determinar aquells actius i processos de negoci crítics  sense els quals l’empresa no podria subsistir.

 

Fases del projecte 

El Pla Director de Seguretat inclou un seguit de tasques, explicades a continuació. 

Anàlisis de la situació actual de la seguretat de la informació a l’empresa

Aquesta fase és el punt de partida i inclou les entrevistes al personal clau de l’àrea d’informàtica per conèixer les mesures tècniques, organitzatives i legals implantades. A partir d’aquí, obtenim el mapa amb la situació real de la seguretat de la informació, la situació objectiu i l’escenari òptim.

Avaluació actual de les situacions de risc de la companyia

En aquesta fase s’identifiquen els actius, processos de negoci crítics i les persones amb responsabilitat sobre aquests actius. En altres paraules, les amenaces i la probabilitat de què es materialitzin i afectin els actius. 

Els sistemes d’informació estan constantment sotmesos a amenaces, que poden abastar des de fallades tècniques i accidents fins a accions intencionades, més o menys lucratives, de curiositat, espionatge, sabotatge, vandalisme, xantatge o frau.

L’anàlisi del risc estudia aquestes amenaces des del punt de vista de la probabilitat que succeeixin i de quin seria el seu impacte.

  • Identificació i valoració dels actius

Durant aquesta tasca s’identifiquen els actius necessaris perquè el sistema informàtic funcioni i es classifiquen per categoria.

  • Diagnòstic de vulnerabilitats

S’identifiquen les amenaces presents sobre els actius i s’assignen els impactes. S’avalua el mal que produeix cada amenaça en el cas que es materialitzi una vulnerabilitat sobre un actiu. Es mesura en termes de disminució del seu nivell de seguretat o del valor de l’actiu.

  • Estudi dels riscos

Es defineixen els mecanismes de seguretat més adequats a les necessitats de l’organització des del punt de vista de la capacitat tecnològica i dels procediments organitzatius necessaris. S’analitza el risc en els actius en funció de la probabilitat i de l’impacte. Es determina el risc intrínsec, calculat sense implantar mesures de seguretat i el risc residual, aquell que l’organització està disposada a assumir.

Decisió del tractament dels riscos identificats

Arriba el moment de concretar quin és el nivell de risc acceptable per l’empresa i seleccionar el tractament de cada risc identificat amb l’objectiu de reduir els nivells dels riscos no acceptables.

Planificació dels projectes

En aquesta fase es detallen les mesures tècniques, organitzatives i legals, i també els recursos necessaris a implantar per tal de reduir els riscos identificats.

Aquestes mesures han d’incloure el cost econòmic, els recursos que es necessitin i les dates d’execució previstes per implantar les accions que s’hagin proposat. Les accions aniran acompanyades de la justificació i la priorització, segons el nivell de risc.

Finalització: Presentació i Aprovació del Pla Director de Seguretat

En aquesta fase es realitza el tancament formal del projecte, mitjançant l’elaboració i aprovació d’un document executiu per al vistiplau de la direcció. La direcció té la responsabilitat de revisar i aprovar el pla director de seguretat i aportar els recursos necessaris per desplegar els projectes.

 

Com et podem ajudar? 

A Efimatica comptem amb professionals amb experiència en el sector TIC i en Govern, Risc, Seguretat, compliment normatiu de les TIC, Protecció de dades personals, Auditoria de sistemes i seguretat de la informació.  

El nostre objectiu sempre és aportar a l’empresa la solució més convenient en funció d’exigències i necessitats de cada projecte, tractant cada cas de manera diferent i, per tant, únic. 

Contacta amb el nostre equip per rebre més informació, estarem encantats d’ajudar-te i ampliar aquesta informació o una d’altra relacionada amb els nostres productes i serveis.