(MODULO 3: PLAN DE IIMPLANTACION DE SEGURIDAD INFORMATICA Objetivos generales La definicién de los objetivos generales y el nivel de seguridad éptimo, que veremos posteriormente, dentro de un plan de seguridad debe partir de un anélisis riguroso de los procesos de negocio y los riesgos inherentes a estos, garantizando que las medidas implementadas protejan los activos criticos sin obstaculizar la operatividad de la organizacién, Para ello, es fundamental seguir una metodologia estructurada que integre la identificacién de riesgos, la comprensién de los principios de seguridad de la informacién y su aplicacién estratégica en funcién de las prioridades empresariales. El primer paso consiste en realizar un andlisis de riesgos, enfocado en los procesos de negocio clave y los sistemas de informacién que los soportan. Esto implica: ‘+ Identificar los activos y procesos criticos + Evaluar las amenazas y vulnerabilidades especificas para cada proceso, considerando su probabilidad e impacto, + Clasificar los riesgos segtin su criticidad (alto/medio/bajo) para priorizar acciones. Este andlisis debe ser colaborativo, involucrando a todas las areas de la organizacién, para asegurar una visién holistica, Los objetivos de seguridad deben alinearse con los principios fundamentales de la seguridad de la informacién: confidencialidad, integridad y disponibilidad (CID), adaptados a las necesidades de la organizaci6n: ‘+ Confidencialidad: Proteger datos sensibles. + Integridad: Garantizar que la informacién no sea alterada indebidamente Disponibilidad: Asegurar el acceso continuo a sistemas criticos ‘dems, se deben considerar marcos normativos o estandares relevantes (ej: ISO 27001, GDPR) Con base en lo anterior, los objetivos generales del plan de seguridad deben ser: 1. Mitigar riesgos criticos con el mayor impacto operacional y legal. Optimizar recursos limitados, priorizando soluciones de bajo costo y alto retorno. 3. Asegurar el cumplimiento legal, especialmente en dreas sensibles. 4, Fomentar una cultura de seguridad, mediante capacitaciones para empleados.Nivel de seguridad La evaluacién del estado actual de seguridad de los activos de informacién permite a las organizaciones comprender su nivel de exposicién a amenazas y riesgos, y determinar las éreas que requieren mejoras. Al realizar esta evaluaci6n, se pueden identificar las debilidades en los sistemas y procesos de seguridad existentes, y tomar medidas para mitigar los riesgos antes de que se conviertan en incidentes de seguridad. El proceso de evaluacién del estado actual de seguridad de los activos de informacién es fundamental para identificar las vulnerabilidades y riesgos existentes en una organizacién. A través de este proceso, se pueden tomar medidas proactivas para proteger los activos de informacién y garantizar la integridad, confidencialidad y disponibilidad de los mismos. A continuacién, se describen los pasos clave del proceso de evaluacién: 1. Establecer el alcance de la evaluaci6r sto implica determinar que activos de informacién se incluiran en la evaluacién, as{ como los sistemas y procesos asociados. realizar un inventario de los activos de importante identificar a los propietarios de los activos, clasificarlos segin su importancia y nivel de confidencialidad, . Identificar amenazas y vulnerabilidades: se analizan las amenazas internas y externas que podrian afectar a la seguridad de los activos de informacién. También se evaltian las vulnerabilidades existentes en los sistemas y se determina su nivel de riesgo. 4. Evaluar el impacto y la probabilidad de los riesgos: se evaltia el impacto potencial y la probabilidad de ocurrencia de los riesgos identificados. Esto permite priorizar los riesgos y determinar las medidas de seguridad necesarias para mitigarlos. Se pueden usar metodologias para realizar el anélisis de riesgos de forma estructurada. 5. Identificar controles de seguridad existentes: se revisan los controles de seguridad existentes en la organizacién, se evala su efectividad y se determina si son suficientes para proteger los activos de informacion. 6. Identificar brechas de seguridad: en base a los dos apartados anteriores se establecen las brechas de seguridad. Estas pueden estar relacionadas con miltiples factores (falta de controles, formacién, etc). 7. Desarrollar un plan de accién: una vez identificadas las brechas de seguridad, se desarrolla el plan de accién para abordarlas usando, para ello, una serie de medidas especificas. 8. Implementacién y seguimiento: finalmente se implementan las medidas del plan de accién y se realiza un seguimiento continuo para asegurar que son efectivas (monitoreo continuo y actualizaciones periddicas si es necesario).El nivel de seguridad éptimo no busca la "perfeccién” (riesgo 0%), sino un equilibria entre: + Tolerancia al riesgo de la organizaci6n. + Recursos disponibles. Planificacién de las medidas de seguridad Este proceso, critico en la implementacién de la seguridad de la informacion, se basa en la identificacién de las medidas de seguridad necesarias para proteger los activos de una organizacién y en establecer los planes para implementarlas. Los pasos claves en este proceso son: 1. Identificar los riesgos: esto incluye identificar las amenazas internas y externas que podrian afectar a los activos y las vulnerabilidades o debilidades del sistema 2. Evaluar los riesgos: tanto el impacto potencial como la probabilidad de que cocurran. Esto nos permitird priorizarlos y determinar las medidas de seguridad adecuadas en cada caso. Identificar las medidas de seguridad necesarias: para proteger a los activos afectados. 4, Establecer un plan de accién: basado en la realizacién de un cronograma para la implementacién de las diferentes medidas de seguridad adoptadas y la asignacién de responsabilidades en cada caso. 5. Implementar las medidas de seguridad: definidas en el plan de accién. 6. Realizar una revisién periédica: para comprobar que las medidas de seguridad adoptadas son eficientes y relevantes. Dentro de las medidas adoptadas en la planificacién hay que destacar las siguientes (ver médulo 2) ‘* Medidas de seguridad técnicas (cortafuegos, antivirus, cifrado, etc) ‘© Politicas de seguridad. ‘* Planes de contingencia y recuperacién. ‘© Evaluaciones y auditorias. Todas ellas, adaptadas al contexto de la organizacién, son necesarias para garantizar la seguridad del sistema de informacién.Elaboracién del plan de implantacién Para la elaboracién de los planes de implementacidn de seguridad se pueden seguir, entre otros, los siguientes marcos de trabajo 0 metodologias: ISO/IEC 27001 NIST ENS (Esquema Nacional de Seguridad): marco legal y técnico que establece los principios y requisitos de seguridad de la informacién en el sector ptiblico. © PRINCE2: metodolog(a estructurada para la gestién de proyectos que se enfoca en la justificacién comercial y la entrega controlada. Una guia para la elaboracién de un plan de implantacién de seguridad debe ser clara, estructurada y practica, sus principales apartados son: 1. Portada = Contenido: Nombre de la organizacién, titulo del plan, fecha y versién, 2. indice + Contenido: Lista numerada de apartados y subapartados con paginas. 3. Introduccién + Contextualizar el plan y justificar su necesidad. + Contenido: © Objetivos generales del plan. © Razones para su implementacién (ej: cumplimiento legal, riesgos identificados). 4, Descripcién de la organizacién y contexto + Entender el entorno y contexto donde se aplicaré el plan + Contenid © Sector, tamafio, estructura (organigrama), infraestructura critica. © Sistemas y procesos clave © Riesgos principales © Requisitos legales 5. Alcance * Delimitar qué cubre (y qué no) el plan. © Conteni © Sistemas, datos y procesos incluidos/excluidos. © Supuestos y dependencias.. Andlisis de riesgos + Priorizar acciones basadas en impacto/probabilidad. + Contenido: © Matriz de riesgos (activo, amenaza, impacto, probabilidad) © Vulnerabilidades criticas Medidas de seguridad (Salvaguardas) « Detallar cémo se mitigaran los riesgos. + Conten © Lista priorizada de controles técnicos, fisicos y organizativos. 8. Cronograma de implementacion + Establecer un plan ejecutable con plazos claros. + Contenido: © Fases, hitos, fechas y responsables. 9. Recursos y presupuesto © Garantizar viabilidad financiera y operativa, = Contenido: © Costes estimados (herramientas, capacitacién, personal). © Recursos humanos asignados. 10. Roles y responsabilidades ‘= Clarificar quién hace qué. + Contenido: © Equipo de seguridad, TI, legal, alta direccién. © Tareas especificas por rol. 11. Mor Feo y evaluacion * Medir efectividad y mejorar continuamente. + Contenido: © Frecuencia de auditorias y/o evaluaciones. 12. Capacitacién y concienciacién + Fomentar cultura de seguridad. + Contenido: © Talleres, simulacros, materiales educativos. © Frecuencia.13. Anexos + Apoyar la implementacién practica. + Contenido: © Plantillas (tablas, matrices, inventario de activos, checklist). © Manuales técnicos.