Lupa
Button toggle Button toggle
Inicio Flecha a la derecha Categorías ... Flecha a la derecha ... Flecha a la derecha ¿Qué es un plan de seguridad informática? Pasos ... Comunicar los...
Botón de scroll

¿Qué es un plan de seguridad informática? Pasos para su elaboración

Rectangules
14 de agosto de 2021

NUESTROS EXPERTOS:

Tiempo de lectura
7 minutos

Edición editorial:

Juan F.Samaniego

El 2020 fue un año de récord de ciberataques, tanto en cantidad como por el impacto que tuvieron. La pandemia de COVID-19 propició un notable incremento de este tipo de delitos, especialmente a instituciones públicas y empresas privadas. Y en el 2021 el ataque más notable fue el sufrido por el Servicio Público de Empleo Estatal (SEPE). Tal es el calibre de este problema que el propio Gobierno anunció la puesta en marcha de un Plan de Ciberseguridad en el que España trata de ser referente.

Según datos de 2020 de KPMG, el 95% de los ciberataques que logran su objetivo vienen precedidos de un error humano. ¿Estos datos nos indican que está fallando el plan de seguridad informática de las empresas? De media, cada brecha en el sistema supuso un coste de 66.800 euros para las empresas españolas en 2020 y la cifra se elevó hasta el medio millón de euros para las compañías de mayor tamaño, según el informe Hiscox Cyber Readiness Report 2020. El problema, está claro, no es solo tecnológico.

El 95% de los ciberataques que logran su objetivo están precedidos de un error humano y sus costes económicos pueden ser muy elevados.

“La respuesta pasa por un plan integral de gestión de riesgo a nivel de personal, capital y tecnología en toda la compañía”, señala Anthony Dagostino, head of Global Cyber Risk en Willis Towers Watson. “Y no sólo nos referimos a un ejercicio para los departamentos de riesgos de grandes empresas. La pequeña y mediana empresa también son objetivo de los ciberataques”.

¿Qué es la violación de la seguridad informática?

Una violación de seguridad informática se produce cuando los datos de los que una empresa o institución pública es responsable sufren un ciberataque u otro tipo de incidente que da lugar a la violación de la confidencialidad, disponibilidad o integridad de los datos.

La Unión Europea recuerda que, cuando se produce una violación de los datos que ponga en riesgo los derechos y libertades de las personas, se deberá notificar a la autoridad de control antes de que pasen 72 horas desde que se tiene conocimiento del probelma.

Asimismo, si las personas afectadas se exponen a un riesgo alto, también deben ser informadas de lo ocurrido.

Para evitar situaciones comprometidas, las organizaciones deben aplicar medidas que permitan evitar esas posibles violaciones de la seguridad de los datos.

Los planes de seguridad informática guían a los equipos sobre la importancia de un manejo óptimo de la información.

Hablamos, en este caso, de establecer un plan de seguridad informática, que es el documento en el que se describe de forma detallada cómo implementar los sistemas de seguridad y las acciones a ejecutar para conseguir la mayor seguridad cibernética posible dentro de una compañía, con el fin de resguardar la información con la que trabaja.

En qué consiste un plan de seguridad informática  

1.- Evaluar el plan de seguridad informática

Como ante cualquier estrategia bien hecha, lo primero es evaluar el riesgo real. Así, es importante comprobar la estabilidad del firewall, la estructura de seguridad informática y los procesos (internos y externos) de manejo de datos. Según el informe sobre ciber riesgos de Willis Towers Watson, Cyber Claims Brief, la clave estaría también en evaluar los riesgos en el capital humano y la cultura corporativa.

“La baja implicación de los trabajadores en la compañía se relaciona directamente con el aumento del ciber riesgo. La gente que se siente menos identificada con su empleo y/o su lugar de trabajo tiende a ser menos cuidadosa”, explica Dagostino. “Una investigación bien hecha puede desvelar aspectos de la cultura corporativa que incrementan el potencial de los ciber incidentes”.

“La gente que se siente menos identificada con su empleo y/o su lugar de trabajo tiende a ser menos cuidadosa”

Otro aspecto central de la fase de evaluación es constatar la velocidad de respuesta ante un ataque. Es importante tener claro qué hacer cuando se pone en riesgo la ciber seguridad de la empresa. En este proceso, se hace necesaria la participación de expertos que señalen los puntos débiles del plan de seguridad y analicen los riesgos.

2.- La protección (no solo tecnológica)

Las herramientas y métodos informáticos son importantes en una estrategia de ciber seguridad. Sin embargo, son solo la primera capa de protección. La implicación de los trabajadores y la gestión del riesgo del capital son tanto o más importantes.

“Los trabajadores necesitan preparación y formación para manejar las herramientas de ciber seguridad y conocer los riesgos a los que ellos mismos pueden exponer a la compañía”, indica el experto de Willis Towers Watson. De esta forma, las compañías deben centrarse en:

  • Identificar las lagunas de conocimiento de sus empleados en términos de ciber seguridad.
  • Construir un capital humano que esté más comprometido con el plan de seguridad informática de la compañía.

“Incluso los trabajadores más preparados pueden cometer errores. El riesgo nunca se podrá eliminar”

La tercera pata de una buena estrategia de ciber protección es la gestión del riesgo del capital. “Incluso los trabajadores más preparados pueden cometer errores. El riesgo nunca se podrá eliminar. Por eso, se debe proteger el capital que se puede poner en riesgo tras un ciber ataque”, señala Anthony Dagostino. ¿Y cómo?

  • Desarrollo e implantación de un ciber seguro. Existen diferentes coberturas en el mercado y programas de transferencia del riesgo a medida.
  • Estudiar cómo una aseguradora cautiva puede ser útil para encontrar el equilibrio entre retener y transferir el riesgo.

3.- Capacidad de respuesta y recuperación

Tras un ciber ataque, cada segundo que pasa tiene un coste. La reputación, la fidelidad de los clientes, las operaciones, el negocio y los costes de responsabilidad se ven afectados. “La empresa tiene que estar preparada para recuperarse de estos costes, analizar qué ha pasado y desarrollar nuevas estrategias de defensa”, puntualiza el experto de Willis Towers Watson.

  • Coordinar la respuesta. Los planes de respuesta tienen que contar con fondos y personal asignados. Incluso se pueden contratar recursos externos para mejorar la capacidad de respuesta.
  • Defenderse ante las reclamaciones. Tras un incidente, probablemente lleguen demandas y reclamaciones. Contar con un equipo legal es esencial para minimizar su impacto.
  • Contabilidad forense. Un equipo de contables forenses y expertos en fraude puede cuantificar los riesgos previos al ciber ataque y las pérdidas potenciales tras el incidente.
  • Minimizar la interrupción de la actividad. Se debe trabajar en todos los departamentos para que el negocio se vea interrumpido lo mínimo posible tras un ciber ataque.

“El ciber riesgo está en constante evolución. Tu habilidad para gestionarlo también debería estarlo. No todo es luchar contra los hackers. Se trata también de tus trabajadores y de los millones de dólares que están en juego en cada ataque”, concluye Anthony Dagostino.

Pasos para elaborar un plan de seguridad informática

Ni siquiera una pyme escapa a la posibilidad de sufrir un ciberataque hoy en día. Por eso, cualquier compañía ha de contar con su propio plan de seguridad informática para poder tomar las medidas necesarias ante posibles vulnerabilidades.

Y no hace falta que éste sea demasiado extenso. Bastará con que ayude a proteger los datos que maneja la compañía, ajustándose a la Ley de Protección de Datos vigente.

Ese plan de seguridad informática debe tener por escrito varios pasos que cada empresa debe seguir:

Identificación de los activos de la organización

El primer paso es conocer qué datos maneja una compañía para saber qué información exacta debe proteger ante posibles ciberataques. Habrá que analizar para eso todos los activos de la compañía, desde el personal hasta el hardware, el software, el sistema informático, los programas informáticos, los servidores, los servicios externos de alojamiento web, etc.

Evaluación de riesgos y priorización de amenazas

El siguiente paso es evaluar qué podría poner en peligro esa información, ya sea la acción de un hacker, un virus informático, un daño físico, un error humano… Paralelamente, hay que calibrar el alcance del daño que podría causar un incidente así.

Acciones a llevar a cabo para la protección

Cada empresa deberá decidir de qué amenazas le interesa protegerse o a cuáles dedicar una mayor atención. Según la compañía, le puede interesar más proteger los datos de sus servidores externos que los de los equipos informáticos individuales con los que trabajan sus empleados, por ejemplo. En cada caso, la empresa tendrá que establecer cómo proteger esa información en cada caso, tomando las precauciones adecuadas.

Mantenimiento del plan de seguridad informática

Una vez se ha realizado por escrito el plan de seguridad informática de la compañía, debe ser comunicado a todo el personal para que pueda ser adaptado e implantado dentro de las políticas y del día a día de la empresa. Una vez todo el mundo conozca el plan, habrá que establecer un calendario para ponerlo en marcha.

Los ciber riesgos van cambiando constantemente, por lo que el plan de seguridad informática también debe ser revisado periódicamente.

Pero ahí no acaba la misión, puesto que los ciber riesgos van cambiando constantemente, lo que significa que habrá que revisar periódicamente el plan de seguridad informática, así como asegurarse de que las medidas están funcionando según lo previsto o es necesario establecer correcciones.

Riesgos de no tener un plan de seguridad informático

Antes decíamos que la mayoría de ciberataques se producen por errores humanos y también que muchas veces se infravaloran los efectos de este tipo de incidentes. Ese desconocimiento de las consecuencias y la falta de celo en el día a día de la actividad de los empleados puede generar importantes riesgos que, como también hemos dicho, pueden generar un importante coste económico. ¿Qué puede pasar?

  • Un virus informático se cuela por cualquier recoveco y causa verdaderos destrozos. Es un error trabajar sin antivirus en los equipos de la empresa.
  • Puede perderse información importante si no se realizan copias de seguridad. Un apagón de la red eléctrica es más frecuente de lo que pensamos y sus consecuencias pueden ser nefastas.
  • La falta de formación a los empleados sobre los correos electrónicos que pueden o no abrir acaba pagándose cara. Deben saber que los e-mails sospechosos no han de abrirse, como tampoco los mensajes de ese tipo en redes sociales.
  • Las memorias USB son una gran fuente de contagio, por lo que se recomienda el traslado de información a través de una red privada u otro tipo de sitios seguros.

Ante todas estas amenazas, la existencia de un plan de seguridad informática guiará a todos los miembros de la empresa sobre cómo actuar para proteger la información que se maneja en la compañía de la manera más segura.

Descarga nuestro informe Ransomware 2021: extorsión, filtraciones y el papel de los seguros.

Suscríbete a nuestra newsletter «RISKS 360º» para recibir las últimas novedades sobre riesgos financieros, profesionales y corporativos o ciberriesgos.

Deja un comentario

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tranquil@, tu dirección de email no se publicará

Edición editorial: Juan F.Samaniego

Quizás te interese

Previous Next