Los directores de seguridad de la información son los que han de alinear la seguridad de la información con las estrategias empresariales

.


Juliàn Flores Garcia
Director de seguridad, Consultoria de seguridad Segurpricat Siseguridad Formación ​del ​Manual de ​a​utoprotección integral de ​p​ersonas #MAIP
Resultado de imagen de segurpricat
93 116 22 88 | 637 36 81 33 |  | webs :http://www.segurpricat.com.es
http://www.siseguridad.com.es
Dirección:Pau Claris 97- 4º 1ª Barcelona
     

Seguridad en el dialecto del jefe





Publicado el 18/07/2016, Fuente INCIBE

Seguridad en el dialecto del jefe
Aunque la gestión de las empresas ha cambiado con los tiempos, aún sigue hablándose de la soledad del jefe. No tiene con quién compartir sus conflictos con las estrategias a seguir ni las decisiones que ha de tomar, que a veces serán impopulares. Además sobre él, y sobre el director de seguridad si lo hubiera, caerán todas las miradas en caso de que la seguridad de la empresa se vea comprometida.
Los directores de seguridad de la información, -en su defecto el responsable de informática-, son los que han de alinear la seguridad de la información con las estrategias empresariales. Serán los encargados de poner en marcha el plan director de seguridad. También ellos se enfrentarán al «peso de la púrpura» o se sentirán como lobos solitarios en este aspecto tan delicado de la gestión de las empresas.
Los directores de seguridad tendrán que convencer al jefe (otros lo llaman CEO) de que por mucho que implantemos herramientas de ciberseguridad, estas no pueden por sí solas parar todas las fugas de datos y brechas de seguridad. Por ello proponemos un enfoque holístico, basado en el análisis y gestión de riesgos, para abordar la ciberseguridad (el enlace anterior incluye una Guía). Así hablaremos de seguridad pero en «dialecto jefe».
Para cada riesgo detectado valoraremos su impacto, -a ser posible en euros-, y su probabilidad. Si ve lo que puede costarle no abordar los riesgos… estará casi convencido. (Este es un modelo simplificado de análisis de riesgos para pymes que puede servir de ayuda para iniciarse.)
Correremos con los riesgos de menor impacto y probabilidad; los más probables y dañinos los evitaremos; los de mayor impacto y menor probabilidad los transferiremos (con seguros de ciberriesgos, por ejemplo); y mitigaremos los más frecuentes y de menor impacto. Aquí es dónde se define nuestro «apetito al riesgo», aunque, en ciberseguridad, proponemos tener una «cartera de inversor conservador». Es decir, no arriesgar demasiado.
Para determinar los controles adecuados para aquellos riesgos que según nuestra estrategia decidamos mitigar utilizaremos un marco de referencia, por ejemplo el anexo A de la norma ISO/IEC 27001:2014 u otro que sea utilizado en nuestro sector.
Para ayudar al CEO en la toma de decisiones, tenemos que contar con un sistema para medir de la ciberseguridad de la empresa y la evolución de los controles o medidas implantadas.
Podemos utilizar el clásico enfoque de negocios: personas, procesos y sistemas; y distribuir los controles e iniciativas de ciberseguridad de esta forma:
Puede que en tu empresa no se apliquen todos estos apartados, aunque son los más comunes en la normativa de gestión de la seguridad.
Es práctico hacer un listado de preguntas para definir qué mostrar al jefe sobre cómo se está gestionando la seguridad. En general, tendremos que responder a las siguientes:
  • ¿Se ha realizado una valoración de riesgos?
  • ¿Qué riesgos son los más importantes?
  • ¿Se han seguido las prioridades estratégicas al gestionar los riesgos?
En cuanto a las relativas a personas:
  • ¿Tenemos un responsable de la seguridad de la información?
  • ¿Cómo abordamos la seguridad en el uso de dispositivos móviles y en el teletrabajo?
  • ¿Qué medidas tomamos en la contratación de nuevo personal?, ¿y en los ceses?
  • ¿Formamos a los empleados en seguridad? ¿Conocen las políticas (de uso aceptable, mesas limpias) y las medidas disciplinarias?
  • ¿Cómo hacemos que los empleados sean conscientes de las nuevas amenazas de seguridad?
En cuanto a los procesos:
  • ¿Tenemos políticas de seguridad? ¿Las conocen y aplican los empleados? ¿Se revisan y actualizan?
  • ¿Cómo se audita la seguridad?
  • ¿Tenemos procedimientos para gestionar la seguridad en la contratación de servicios TIC?
  • ¿Está contemplada la seguridad de la información en el plan de continuidad?
  • ¿Al comprar productos TIC o contratar el desarrollo de aplicaciones tenemos en cuenta su seguridad?
  • ¿Hemos establecido un procedimiento de gestión de incidentes?
En lo relativo a los sistemas:
  • ¿Tenemos claro cómo funcionan y cómo manejar las herramientas de seguridad que hemos adquirido?
  • ¿Hemos establecido controles para permitir sólo el acceso de las personas que lo necesitan a nuestros sistemas y aplicaciones? ¿En la práctica cómo se hace?
Otra forma de verlo es aplicarlo a la pirámide según su posición en cuanto a actividades estratégicas, tácticas y operativas.
Y, ¿por qué no?… podemos incluso verlo en forma de canvas:
No importa el modelo elegido, dependerá de nuestra organización, de su forma de entender la gestión. Seguro que ninguno sirve para aliviar la soledad del jefe, pero si puede calmar los desvelos del responsable de seguridad o del proveedor TIC, para hacerle comprender la necesidad y las ventajas de dedicar esfuerzos y recursos a la ciberseguridad.
Mi foto

Consultoria de  Formación de Seguridad y Autoprotección integral de personas nacional e internacional para latinoamerica: Colombia y Venezuela.

Formación en Seguridad y autoprotección integral de personas. Operacional nacional e internacional

Segurpricat Siseguridad Consulting considera como prioridad  la autoprotección integral de los trabajadores nacionales e expatriados o empleados  de las empresas en sus traslados por motivos de trabajo en Latinoamerica ,  damos una  respuesta  y  solución con  un programa de formación en Seguridad operacional internacional  para el personal de su empresa  que explique como prevenir y actuar  para  minimizarlos ,  cumpliendo la normativa y legislación que obliga a las empresas como responsables de la Seguridad de sus trabajadores(aaa), con nuestras medidas garantizamos a nuestros clientes tener cubierta la responsabilidad civil y penal que le compete por Ley, siendo tan completa como los planes  de Seguridad Laboral.

Elaboramos la documentación necesaria:

1.-El Plan Director de Seguridad o Plan de Seguridad  y autoproteccion operacional  internacional  -PSAOI- se compone de los siguientes planes:

1.1-Plan de de emergència y   autoprotección  http://segurpricat.org/2013/05/24/plan-de-emergencia-y-autoproteccion-internacional/

1.2.-Plan de  evacuación.

1.3.-Plan de continuidad y recuperación del negocio.

1.4.--Protocolos de actuación por desastres naturales.

1.5.-Plan de Vigilancia, Seguridad y autoproteccion operacional internacional –PVSAOI-.

Realizamos la supervisión, seguimiento y control de Plan Director -PSAOI-:

-Gestión de las  incidencias de Seguridad  operacional en el Centro.

-Comunicación y coordinación con el Director del proyecto internacional.

-Preparación de informes,  evaulaciones periodicas respecto a incidentes.

-Nuestros formadores de autoprotección integral de personas son propios de la empresa  instruiran al personal de su empresa de acuerdo con el Plan de Riesgos Laborales sea a nivel nacional o que vaya a trabajar en el Centro de Trabajo en Latinoamerica.

En España y en el Centro de las medidas de  Seguridad y autoprotección que lleva aparejado el Plan Director de Seguridad –PSAOI-  a seguir dentro del  centro Trabajo,  como durante los traslados y estancia en el país de  latinoamericano, en la medida de que cada país es muy diferente referente a  los riesgos  personales  fisicos, facilitandoles un manual de autoprotección con las normas a seguir.