Plan director de seguridad de una infraestructura crítica

Abstract

[EN] This paper aims to develop the Security Master Plan for an Infrastructure criticism, following the standards, guidelines and methodologies accepted in Spain and which are the recommended by institutes related to cybersecurity. Certain legal aspects must be considered for the handling of data that are within the General Data Protection Regulation.

[ES] En este trabajo pretende desarrollar el Plan director de seguridad para una Infraestructura crítica, siguiendo las normas, directrices y metodologías aceptadas en España y que son las recomendadas por los institutos relacionados con la ciberseguridad. Se ha de considerar ciertos aspectos legales para el manejo de datos que están sujetos al Reglamento General de Protección de datos, puesto que la empresa es un Operador de Servicios Esenciales (OSE) del sector portuario. Dentro de los objetivos del Plan director de Seguridad de la Empresa portuaria sería establecer un plan de Seguridad Integral (Seguridad lógica y física) que con proyectos y acciones a realizar a corto y medio plazo (1 a 4 años) necesarias para: • La correcta Gobernanza y Gestión de la Seguridad • La gestión del Riesgo de forma continuada. • Proteger y asegurar el cumplimiento normativo y legal aplicable, en especial en lo relacionado con los servicios esenciales, infraestructuras críticas, protección de los datos personales y seguridad de los sistemas de información, de operación y de las comunicaciones. • Embeber la cultura de seguridad en el negocio. • Prevenir, detectar, responder a los incidentes de seguridad. • Asegurar la resiliencia de los procesos y sistemas y la continuidad de las operaciones críticas. • Realizar un Inventario de Activos con sus respectivas dependencias. • Establecer las amenazas que afectan a los activos. • Determinar el impacto y el riesgo si las amenazas se materializan. • Caracterizar las salvaguardas y estudiar el impacto que producen sobre el riesgo. • Crear planes de seguridad para los activos. • Definir acciones para la implantación y concienciación en materia de un Sistema de Gestión de la Seguridad de la Información • Identificar las medidas de seguridad necesarias para la adecuada protección de los procesos y sistemas de la entidad de acuerdo con el marco de ciberseguridad a implantar, el análisis de riesgos a la seguridad de la información y el análisis de riesgos a la protección de datos de carácter personal. El alcance del trabajo incluye la estructura, planificación de proyectos (hitos, requisitos y tareas) a alto nivel.