¿Plan o Estrategia de Seguridad?
Spoiler, los dos
Es común ver que en distintos ámbitos, se utilizan los términos plan y estrategia como sinónimos, incluso podemos ver documentos que se denominan “Plan Estratégico”. Si bien es posible que un documento cuente, efectivamente, con las características de un plan y de una estrategia, debemos conocer las diferencias. En particular, para ciberseguridad no contar con un plan y/o una estrategia adecuadas puede hacer que no cumplamos nuestros objetivos de seguridad. En última instancia sufriendo de un incidente grave sobre los activos de información de la organización.
¿Qué es una estrategia?
Es un conjunto integrado de decisiones, mediante el cual te posicionas en un campo de juego con el objetivo de ganar. Esta definición puede aplicar tanto para equipos deportivos, para empresas en competencia y (como veremos más adelante) para las definiciones de seguridad de una organización.
Es una teoría sobre, en qué campo de juego queremos estar y cómo nos vamos a posicionar para ser mejor que los adversarios. Tiene que ser coherente y realizable, es decir, se debe poder transformar en acciones concretas para lograr los objetivos.
¿Qué es un plan?
Es un conjunto de actividades que se organizan para ser ejecutadas.
Son cosas que se deben hacer, como una lista de tareas. No necesariamente tiene una coherencia en sí mismo. Un plan puede contener varias actividades que no están relacionadas entre sí, pero que comparten recursos.
¿Cómo se relacionan?
Lo ideal es contar con ambas herramientas para lograr una gestión adecuada. La estrategia define los objetivos competitivos que se desean cumplir y cuál es la mejor forma de llegar a ellos, teniendo en cuenta el contexto interno y externo de la organización.
Luego un plan, nos ayudará a concretar las acciones necesarias y a medir si el trabajo se realiza según los tiempos requeridos.
Una estrategia sin un plan, no logra cumplir ningún objetivo y un plan sin estrategia ejecuta acciones que pueden no cumplir los objetivos correctos o de forma satisfactoria.
¿Cómo lo aplicamos a la ciberseguridad?
En primer lugar, debemos definir una estrategia de ciberseguridad de la organización. Debería ser un documento, de no más de una carilla que defina los objetivos generales de ciberseguridad para la organización y el ambiente interno y externo. Interno son los recursos disponibles, la estructura y la cultura de la organización. Los externos son los proveedores, competidores y principalmente el entorno de amenazas (vulnerabilidades, ciberdelincuentes, tendencias de ataques, etc.).
Luego de definida la estrategia, debemos establecer las acciones necesarias para cumplir los objetivos dentro de esa estrategia, desarrollando un plan de seguridad. Este plan puede incluir todo tipo de acciones que permitan mejorar la seguridad de la organización, como pueden ser:
- Ejecutar evaluaciones de riesgos
- Analizar vulnerabilidades de los sistemas
- Desarrollar políticas y procedimientos de seguridad
- Capacitar al personal
- Evaluar la situación actual de la empresa contra marcos de trabajo establecidos
- Implementar soluciones tecnológicas de seguridad
Desde BlackPitbull trabajamos para ayudarte a definir la estrategia de seguridad necesaria para tu empresa, así como un plan de trabajo para mejorar la postura de seguridad de tu organización. Por eso le llamamos plan estratégico de seguridad de la información. Si la información o la tecnología son importantes para el éxito de tu empresa, contactanos aquí.