Desarrollo del Documento IASAP (Information Assurance and Security Action Plan, Plan de Acción de Seguridad y Protección de la Información)

Objetivo: Elaboración del documento Plan de Acción de Seguridad y Protección de la Información como base para la posterior implantación de acciones correspondientes en la organización y elaboración de los Planes de Seguridad de la Organización.


Una vez recibida la aprobación por parte de la alta dirección del Informe SEIS, lo que deberá incluir de forma explícita la aceptación de desarrollo del documento IASAP (Information Assurance and Security Action Plan, Plan de Acción de Seguridad y Protección de la Información), se comenzará la tarea de elaboración del documento abordando en detalle cada una de las acciones propuestas en el Informe SEIS.


La información es uno de los activos más importantes para la organización que, como otros recursos de la misma, tiene un gran valor y por consiguiente debe ser debidamente protegida. El objetivo de la seguridad de la información es proteger a ésta de una amplia gama de amenazas, a fin de garantizar la continuidad de la actividad de la organización, minimizar el daño a la misma y maximizar el retorno sobre las inversiones y las oportunidades, teniendo como objetivo la preservación de la confidencialidad (garantizando que la información sea accesible sólo por aquellas personas autorizadas a tener acceso a ella), integridad (salvaguardando la exactitud y totalidad de la información y, en su caso, los métodos de procesamiento de la misma) y la disponibilidad (garantizando que los usuarios autorizados tengan acceso a la información y los recursos correspondientes siempre que se requiera).


La seguridad de la información se consigue implementando un conjunto adecuado de controles y medidas de seguridad que abarcan políticas, procedimientos, prácticas, estructuras organizacionales o funciones del software, entre otras, que garanticen los objetivos específicos mencionados anteriormente. En el diseño o desarrollo de muchos sistemas de información, en algunos casos, no se tienen en cuenta requisitos o características de seguridad adecuadas. Por ello, la seguridad que puede lograrse por medios técnicos es limitada y debe ser apoyada por una gestión y procedimientos adecuados, participando todos los empleados de la organización, e incluso en algunos casos, proveedores y usuarios o clientes.


Es esencial, por tanto, que la organización identifique sus requisitos de seguridad mediante la evaluación de los riesgos a los que se enfrenta, además de identificar los requisitos legales, normativos, reglamentarios y contractuales que debe cumplir, y los principios, objetivos y requisitos para el procesamiento de la información que ha desarrollado para respaldar sus operaciones.


Una vez identificados los requisitos de seguridad, deben seleccionarse e implementarse las acciones y medidas de seguridad adecuadas para reducir los riesgos a un nivel aceptable. Estas acciones y medidas de seguridad serán las identificadas inicialmente en el informe SEIS y serán desarrolladas en detalle, incluyendo recursos necesarios para su implementación, planificación o valoración económica cuando corresponda, en el documento IASAP.


Este documento conformará el Plan de Acción de Seguridad de la Información de la compañía que incluirá de forma general la planificación completa para la implementación de las acciones identificadas de forma que puedan establecerse unos hitos y fechas asociadas para el cumplimiento y consecución de determinados objetivos a nivel de organización, departamento o incluso personal en la compañía, y particularmente para cada una de las acciones, al menos la siguiente información:


  • Desarrollo técnico (y organizativo cuando corresponda) completo y en detalle de la acción.
  • Planificación completa y detallada de cada acción, incluyendo tiempos y plan de implantación (corto, medio y largo plazo).
  • Identificación de recursos humanos necesarios, incluyendo explícitamente si deben o pueden ser internos o externos.
  • Valoración económica en aquellos casos que pueda realizarse (tanto si se trata de acciones realizadas por proveedores externos como si deben realizarse internamente).
  • Ofertas de proveedores en aquellas acciones que requieran de un tercero para su implementación.

Las acciones a incluir dentro del documento IASAP dependerán de las medidas de seguridad que la compañía ya tuviese implementadas y del grado de "impregnación" de la seguridad de la información en la cultura organizacional de la compañía si bien, como orientación, algunas de las acciones que habitualmente serán incluidas podrán ser:


  • Mejora de la estructura organizativa de la compañía (establecimiento de comité de seguridad, asignación de responsabilidades, etc.)
  • Posible externalización de algunas funciones IT
  • Desarrollo y difusión de políticas de seguridad y procedimientos asociados
  • Mejoras en las plataformas de sistemas o en el centro de proceso de datos
  • Mejoras en la seguridad de los dispositivos de comunicaciones (redes inalámbricas, WAN, LAN, segmentación de redes, etc.)
  • Análisis de vulnerabilidades
  • Desarrollo del proceso de gestión de la continuidad del negocio
  • Análisis de riesgos
  • Desarrollo del plan de contingencia IT
  • Plan de formación
  • Otros

En algunos casos será necesario, e incluso aconsejable, el contacto con terceras partes expertas en determinada área, o la petición de oferta a proveedores para el correcto dimensionamiento tanto en recursos humanos como económicos de algunas de las acciones necesarias.