1
Evaluar la situación actual de riesgos
El primer paso consiste en identificar y comprender los riesgos de seguridad que enfrenta la organización. Se puede evaluar la probabilidad de que ocurran y el eventual impacto que generarían de concretarse. El resultado es una suerte de mapa de riesgos que abarca a toda la organización.2
Establecer objetivos de seguridad en la organización
Muchas veces, las empresas avanzan sobre este paso sin haber concretado el anterior. Sin embargo, para establecer objetivos claros de seguridad, es imprescindible primero conocer los riesgos. Los objetivos deben abarcar diferentes aspectos. Ellos son prevención (anticipar ataques), detección (identificar cuando el riesgo se materializa) y recuperación (garantizar que el daño sea el menor posible en caso de incidente).3
Definir acciones concretas
Con los objetivos ya definidos, el siguiente paso consiste en identificar las acciones específicas que se deben tomar para alcanzarlos. ¿Cuáles pueden ser esas acciones? Implementación de sistemas específicos, incorporación de controles, capacitación del personal, revisión de infraestructura, entre muchas otras.4
Revisar las políticas de seguridad
Las amenazas son dinámicas. Las decisiones sobre ciberseguridad también deben serlo. Es esencial que en esta instancia se revisen las políticas de seguridad para garantizar que están vigentes. Esto significa, que son efectivas en función de los riesgos identificados, que están alineadas con los objetivos trazados y que habilitan las acciones decididas.5
Crear un plan de gestión de riesgos
Un detalle de cómo la organización identificará, evaluará y responderá a los riesgos. Entre otras cosas, se deben definir responsabilidades, procesos de monitoreo y control y acciones de contingencia.6
Definir una cultura de ciberseguridad en la organización
Es, tal vez, uno de los pasos clave. Todos los integrantes de la organización deben estar concientizados sobre los riesgos y la importancia de la ciberseguridad para combatirlos. La definición de la cultura involucra capacitación, uso de herramientas específicas de concientización y la promoción de buenas prácticas entre todos los colaboradores.7
Implementar el plan de ciberseguridad
Es el momento de poner manos a la obra. Asignar los recursos, concretar las acciones decididas, armar las estructuras necesarias, implementar las soluciones, establecer los programas de capacitación y todas las acciones definidas.8
Evaluar el plan de ciberseguridad
Tal como se mencionó, los riesgos y las amenazas son dinámicas. Por lo tanto, es fundamental revisar periódicamente el plan. Esto garantiza que continúe siendo efectivo y que se adapte a los cambios, tanto del contexto como de la propia organización. Para esto, se utilizan diversas estrategias que van desde auditorías de seguridad hasta penetration tests.