Diagnóstico
A los efectos de iniciar un proceso de mejora de la gestión de la seguridad de la información y ciberseguridad de cualquier organización, uno de los elementos más importantes es determinar cuál es el estado de situación actual, y cuál es el nivel de riesgo que actualmente la organización se encuentra aceptando de forma consciente o inconsciente.
A estos efectos, el primer elemento a determinar es cuál será la línea base, o criterio de auditoría contra el que nos evaluaremos. Existen diversos marcos de referencia que según el tipo de organización o sector aplican. Algunos ejemplos son:
- Marco de Ciberseguridad – NIST – AGESIC.
- Normas ISO-IEC 27001 (27002 y todo el conjunto de normas específicas asociadas)
- PCI-DSS (para las empresas que procesan, almacenan o trasmiten datos de tarjeta de crédito)
- COBIT 2019
En este momento de pandemia global otros marcos más específicos pueden ser especialmente relevantes a los efectos de evaluar la seguridad del Trabajo Remoto. Un ejemplo es:
- Publicación Especial del NIST (SP) 800-46 Revisión 2, Guía de Seguridad para el Teletrabajo Empresarial, Acceso Remoto y utilizar dispositivos personales (BYOD)
En base a las brechas identificadas en virtud del escenario de cada organización pueden ser evaluados los hallazgos de acuerdo con el nivel de riesgo que significan para la organización, y en base a eso poder priorizar su tratamiento.
Plan de Acción
En base a los hallazgos de la fase de diagnóstico, el nivel de riesgos identificados, y considerando las restricciones que pueda tener la organización es posible definir un plan de acción, que permita identificar las principales acciones en virtud de la relación costo beneficio que aportan para la seguridad de la información y ciberseguridad de la organización. El plan de acción identificar a los plazos, actores involucrados (grafica RACI) así como otros recursos que deben ser considerados. Para cada caso se determinara el entregable y resultado esperado, en base a los criterios que hayan sido definidos, ya sea en virtud del nivel de madurez que se desee alcanzar o nivel de riesgo aceptable.
Apoyo para la implementación
Finalmente, una vez aceptado el plan de acción, es necesario pasar a la acción, implementan los diferentes controles (administrativos, técnicos, físicos), tanto disuasivos, preventivos, detectivos y de diferente índole que se hayan identificado. Según el marco de referencia quia que sea utilizado la implementación puede estar sumamente tabulada y definida, o dejar cierto grado de discrecionalidad para la organización.
Finalmente, esta fase puede concluir con una eventual auditoría o certificación, que acredite que se han alcanzado los objetivos planteados.
