Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Estrategia y objetivos

Se debería establecer una estrategia de ciberseguridad y seguridad de la información alineada a la estrategia de la organización. La Dirección debe proporcionar lineamientos claros y un apoyo de gestión visible para las iniciativas de seguridad de la información dentro de la organización. 
Se deben establecer objetivos de seguridad de la información, al menos anualmente, a nivel de la organización. Estos objetivos pueden estar asociados a la adopción del marco de ciberseguridad, implementar nuevos requisitos y/o avanzar en el modelo de madurez. Los objetivos deberán organizarse en un plan de acción. 

Es recomendable que los lineamientos y objetivos vinculados a seguridad de la información sean planteados por el Comité de Seguridad de la Información (CSI) y sean difundidos a las partes interesadas. Del plan de acción deberían derivar proyectos concretos de seguridad de la información. 

Se pueden establecer indicadores para el seguimiento del cumplimiento de los objetivos planteados. 

• Listado de objetivos anuales de la organización relacionados con seguridad de la información.
• Plan de acción.
• Proyectos de seguridad de la información.
• Estrategia de ciberseguridad y seguridad de la información.
• Indicadores de seguimiento.