Guía Implantación de un Sistema de Gestión de Seguridad de la Información (SGSI)

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Fase 2 Planificación

Objetivo

  • Definir el Plan de Seguridad de la Información (PSI) de la organización, considerando los resultados del diagnóstico realizado en la fase 1.  Este plan deberá estar aprobado por el CSI y tendrá que incluir el tratamiento y monitoreo para todos los riesgos críticos identificados; la identificación de los productos necesarios para el debido tratamiento de los riesgos; los responsables para cada producto y finalmente la definición del porcentaje de cumplimiento que se espera alcanzar durante el año.
  • Plan de Mitigación de Riesgos, que defina los riesgos asociados al Plan de Seguridad de la Información y sus acciones para resolverlos.
  • Elaborar el Programa de Trabajo Anual para implementar el Plan de Seguridad de la Información definido, que incluya hitos, cronograma, plazos y responsables, y las acciones orientadas a difusión, capacitación y sensibilización a todos los funcionarios del programa de trabajo y sus productos.

Descripción

En esta fase se definen los objetivos de la implementación de soluciones y la mitigación de los riesgos identificados en la fase de Diagnóstico, diseñando un completo programa de trabajo que permita alcanzar dichos objetivos en los plazos establecidos. Además, permite la coordinación de esfuerzos y recursos al interior de las organizaciones garantizando el éxito de las iniciativas.

En esta fase ya se han tomado las decisiones respecto del diagnóstico elaborado en la fase anterior, en el cual se establecieron, las prioridades según las necesidades de la organización.

El resultado de la información levantada en la fase de Diagnóstico será la guía para destinar los recursos disponibles y establecer los requerimientos adicionales.

Es importante que esta etapa se desarrolle con la debida antelación, de modo que sea consistente con el proceso de planificación presupuestaria.

Planificación

En el caso particular del SGSI, los proyectos o actividades que se incluyen en esta fase adquieren la calidad de compromisos, a los cuales se les realizará un seguimiento que concluye en la fase de Evaluación y monitoreo.

Para que la organización pueda cumplir tales compromisos debe trazar una ruta que organice el trabajo, que incluya elementos de planificación de tareas y funciones, lo que garantizará el éxito de esta fase.

Para poder establecer un Plan de Seguridad de la Información, se deberán tener en cuenta los siguientes elementos:

  • Política de seguridad de la información.
  • Objetivos estratégicos para la seguridad de la información.
  • Resultado de la fase de Diagnóstico: análisis de riesgos.

Creación del Plan de Seguridad de la Información

Una vez realizada la fase de Diagnóstico se obtiene el inventario de activos con su correspondiente análisis de riesgo, y los productos y controles necesarios para mitigar los riesgos potenciales.

Para cada producto definido será necesario establecer un plan de trabajo con las actividades que se requieren para lograr su implementación. 

Se presenta una estructura para armar el plan de trabajo en el numeral Plan de seguridad de la Información del Anexo I

Además, se deberán definir para cada producto el o los indicadores que se utilizarán para su evaluación y seguimiento. 

Se presenta una estructura para el registro de indicadores en el numeral Indicadores del Anexo I.
 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay