ACHC | Revista Hospitalaria del sector salud

EN PORTADA
Modelo actual de gobernanza en seguridad digital de Colombia
Compartir en facebook
Compartir en twitter
Compartir en linkedin
Compartir en whatsapp

En 2009 se sancionó la Ley 1341 o Ley de Tecnologías de la Información y las Comunicaciones (TIC), que establece un marco jurídico acorde con la realidad mundial y el posicionamiento de las TIC en el ciberespacio. Ese mismo año, ante la necesidad de modificar el Código Penal para reconocer delitos informáticos, se expidió la Ley 1273 de 2009, en la cual se establece la protección de la información y los datos, y se “preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones”. También en 2009 se crea la Unidad de Delitos Informáticos de la Fiscalía General de la Nación, encargada de investigar y perseguir los delitos informáticos.

En el 2011 Colombia formalizó sus esfuerzos en establecer un modelo de gobernanza para reconocer la ciberseguridad y la ciberdefensa como elementos fundamentales para garantizar la defensa nacional, pues el ciberespacio se considera el quinto dominio de la seguridad de un Estado (Douzet, 2014). Dada su importancia, el CONPES 3701 de 2011 estableció por primera vez los lineamientos de política para ciberseguridad y ciberdefensa del país, reconociendo la importancia de protegerlo de amenazas cibernéticas ante la importancia del ciberespacio para el desarrollo socioeconómico del país. Este CONPES tuvo como objetivo promover la cultura de la seguridad cibernética, concienciar a la población sobre los riesgos y buenas prácticas del uso de las TIC y establecer organismos de respuesta a los incidentes cibernéticos de la Nación.

El Conpes conformó varias instancias: ColCERT (Grupo de Respuesta a Emergencias Cibernéticas de Colombia), adscrito en su momento al Ministerio de Defensa Nacional; el Comando Conjunto Cibernético, encargado de la defensa del país en el ciberespacio; y el Centro Cibernético Policial, encargado de la seguridad ciudadana en el espacio. Dichas entidades fueron encargadas del diseño e implementación de políticas y estrategias de seguridad cibernética y del establecimiento de mecanismos de protección de la información y de respuesta a incidentes cibernéticos.

El Decreto 289 de 2011 establece el Comité Nacional de Ciberseguridad como órgano de consulta y asesoría para la formulación de políticas en materia de ciberseguridad y en 2012 se establece el Plan Nacional de Ciberseguridad desarrollando una serie de estrategias para proteger las infraestructuras críticas del país. En la Resolución 05839 de 2015, la Policía Nacional estableció las funciones del Centro Cibernético Policial como una dependencia de la Dirección de Investigación Criminal, “encargada de desarrollar estrategias, programas, y proyectos para la ciberseguridad, ciberdefensa y la protección de la información y los datos que circulan por el ciberespacio de los habitantes en el territorio nacional, a través de la investigación criminal” (art. 15).

En 2016 el Conpes 3855 estructura la Política Nacional de Seguridad Digital mediante la protección de la información crítica del país y se plantea la necesidad de mejorar las capacidades de respuesta ante incidentes cibernéticos por medio de la coordinación de diferentes entidades del Estado y la asignación de recursos económicos a las instancias creadas en el Conpes 3701 de 2011. “Colombia no cuenta con una instancia de coordinación nacional en seguridad digital que optimice la gestión de los recursos destinados a esta materia” (Conpes 3855, 2016, pág. 32).

En 2018 Colombia adoptó, mediante la Ley 1928, el “Convenio sobre la ciberdelincuencia”, firmado en Budapest en 2001, cuyo objetivo es promover la cooperación internacional en la lucha contra la ciberdelincuencia en delitos como acceso ilegal a sistemas informáticos, fraude informático, abuso de niños en línea, robo de identidad, entre otros.

En 2020 el Conpes 3995 estableció la Política Nacional de Confianza y Seguridad Digital, que busca ejecutar los lineamientos planteados en el Convenio de Budapest y establecer medidas para mejorar la seguridad digital del país por medio de una actualización del marco de gobernanza. En él se reitera la importancia de la coordinación entre las instancias del Estado, el sector privado y la academia para implementar de manera efectiva la política de confianza y seguridad digital, así como la necesidad de asignar recursos financieros para ejecutar las propuestas de dicha política.

La Resolución 500 de 2021 de MinTic establece los lineamientos para la implementación de la estrategia de seguridad digital y la adopción del Modelo de Seguridad y Privacidad de la Información (MSPI). Asimismo, señala que todas las entidades públicas debían adoptar medidas técnicas, administrativas y de talento humano para garantizar la seguridad digital y prevenir incidentes.

En 2022 el Decreto 338 modificó el Título 21 de la parte 2 del libro 2 del Decreto 1078 de 2015, “con el fin de establecer lineamientos generales para fortalecer la gobernanza de la seguridad digital, la identificación de estructuras críticas, cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta incidentes de seguridad digital” (Decreto 339, 2022). De igual manera, el Ministerio de Tecnologías de la Información y las Comunicaciones expidió la Resolución 00473, actualizada en la Resolución 3066 del mismo año, en donde se establece que el Grupo Interno de Trabajo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT) estaría adscrito a dicho ministerio bajo la dirección del Viceministerio de Transformación Digital y tendría como una de sus funciones “Actuar como punto único de contacto y coordinación para responder de manera rápida y eficiente a incidentes y vulnerabilidades de Seguridad Digital para la gestión de amenazas e incidentes de Seguridad Digital Nacional” (Resolución 03066, 2022, pág. 20).

De acuerdo con lo anterior, se evidencia que, en materia de Política Nacional de Seguridad Digital, Colombia se ha caracterizado por ser un país donde se han creado marcos normativos en materia de ciberseguridad. Sin embargo, la aplicación de los mismos se ha visto frenada ante la falta de coordinación de las instancias creadas, así como la falta de asignación presupuestal destinada al sector, lo que conlleva no contar con el personal necesario para aplicar la normativa.

Algunas obligaciones de entidades del sector salud en ciberseguridad [T2]

Los actores del sector salud (prestadores de servicios de salud públicos y privados, Entidades Promotoras de Salud [EPS], Entidades Adaptadas en Salud [EAS], entidades que administren planes voluntarios de salud, Administradoras de Riesgos Laborales [ARL], fondos de pensiones en sus actividades de salud, entidades pertenecientes a los regímenes de excepción o regímenes especiales de salud, y las secretarías, institutos y unidades administrativas departamentales, distritales y municipales de salud), que accedan a la información de manera innominada, y las compañías de seguros que emitan pólizas de accidentes de tránsito deberán cumplir con las siguientes obligaciones en materia de seguridad de la información (de acuerdo con el artículo 19 de la Resolución 886 de 2021 de Minsalud y MinTic):

  • Adoptar una estrategia de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio, en la cual deberán desarrollar periódicamente una evaluación del riesgo de seguridad digital que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo. Para el desarrollo de la estrategia deberán contar con normas, políticas, procedimientos, recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo. Deben adoptar los lineamientos generales para la implementación del Modelo de Seguridad y Privacidad de la Información (MSPI), la guía de gestión de riesgos de seguridad de la información, el procedimiento para la gestión de los incidentes de seguridad digital, y los lineamientos y estándares para la estrategia de seguridad digital emitidos por MinTic en el marco de la política de Gobierno Digital.
  • Asegurar la infraestructura, sistemas de tecnología de la información y prácticas de negocios que interactúan o implican el uso de cualquier información o dato personal.
  • Incorporar prácticas y procesos de desarrollos destinados a salvaguardar la información personal de los individuos a lo largo del ciclo de vida de un sistema, programa o servicio.

Obligaciones específicas para los prestadores de servicios de salud (IPS) [T2]

Las Instituciones Prestadoras de Servicios de Salud (IPS), tanto públicas como privadas, deberán tener en cuenta que les aplican las siguientes obligaciones específicas, de acuerdo con las disposiciones del artículo 24 de la Resolución 886 de 2021 de Minsalud y MinTic):

  • Contar con estrategias de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio que permitan el uso de los mecanismos de comunicación y garantizar la confidencialidad, integridad, disponibilidad, autenticación y autorización en el intercambio de datos.
  • Adoptar estándares alineados con la Política de Gobierno Digital, expedida por el Ministerio de Tecnologías de la Información y las Comunicaciones, la cual en el Manual de Gobierno Digital establece las necesidades y problemáticas que determinan el uso de las TIC.
  • Cumplir las obligaciones derivadas de la condición de responsable o encargado del tratamiento de datos y las derivadas de la Ley 1581 de 2012 y las normas que la modifiquen, sustituyan o desarrollen.
  • En desarrollo de los principios de finalidad y libertad de los datos personales, la recolección, la transferencia y el uso de datos personales deberán limitarse a aquellos pertinentes y necesarios para la finalidad para la cual son recolectados o requeridos conforme a la normativa vigente.

Respecto a las obligaciones establecidas en la Resolución 866 de 2021 de Minsalud y MinTic, la inspección, vigilancia y control corre por cuenta de la Superintendencia Nacional de Salud, facultada por el artículo 131 de la Ley 1949 de 2019 para imponer sanciones. Entre dichas sanciones, se destacan multas entre 200 y 8.000 salarios mínimos legales mensuales vigentes (SMMLV) para personas jurídicas, y entre 50 y 2.000 SMMLV para las personas naturales, amonestaciones escritas y revocatoria total o parcial de la autorización de funcionamiento.

Buenas prácticas según normas HIPAA [T2]

El cumplimiento de las normas de seguridad de la regulación más relevante del sector salud y farmacéutico en Estados Unidos, como la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios de 1996 (HIPAA por sus siglas en inglés), se basa en varios principios clave que pueden constituir una guía de buenas prácticas que se deben considerar para los actores del sector salud en Colombia:

  • Implementación de un proceso de gestión de la seguridad, que incluya un análisis de riesgos y medidas de seguridad para mitigar los riesgos potenciales.
  • Adopción de los procedimientos ilustrados en su Título II, los cuales incluyen lineamientos de privacidad, reglas transaccionales y de seguridad, y pautas de aplicación para protegerse contra softwares maliciosos.
  • Formación de los usuarios sobre los principios de protección contra el software malintencionado.
  • Integración de limitaciones en los controles de acceso y concesión de acceso únicamente a personas que hayan recibido formación en materia de protección de datos.
Colombia tendría Agencia Nacional de Seguridad Digital

David Luna, Senador

De aprobarse en el Congreso de la República el Proyecto de Ley N.º 010 de 2023-Senado, en Colombia se crearía la Agencia Nacional Digital como máxima autoridad para la formulación y aplicación de la estrategia nacional y políticas públicas en materia de seguridad digital y ciberdefensa nacional. Esta propuesta responde a la necesidad del país de fortalecer su marco institucional en seguridad digital, para prevenir y combatir ciberataques de manera coordinada, con tiempos acordes a las necesidades de reacción.

El proyecto, radicado el 24 de julio de 2023 por los senadores Ana María Castañeda y David Luna y la representante Ingrid Sogamoso, se justificó en el hecho de que Colombia es el segundo país de América Latina con más ciberataques presentados (IBM,2022), a nivel mundial ocupa el puesto 69 (NCIS, 2022) y solo en 2022 el país recibió 20.000 millones de intentos de ciberataques (con grandes entidades afectadas como la Fiscalía General de la Nación, el Invima, la EPS Colsanitas, Audifarma, Carvajal, Empresas Públicas de Medellín [EPM] y Cafam, entre otras).

“Actualmente Colombia enfrenta desafíos significativos en términos de preparación y respuesta a las amenazas cibernéticas. Para contrarrestarlas, la creación de un CSIRT (Equipo de Respuesta a Incidentes de Seguridad Cibernética) de Salud es fundamental[1]. Además, es necesario intensificar la concientización sobre ciberseguridad en todos los niveles, desde empleados hasta altos directivos para evitar poner en riesgo sus datos y los de la compañía, pues son ellos la primera puerta de acceso por donde ingresan los ciberdelincuentes”.

Estas son las propuestas del senador y exministro de Tecnologías de la Información y Comunicaciones, David Luna, luego de señalar que “en Colombia hemos observado un marcado aumento de ciberataques a entidades tanto públicas como privadas, especialmente en el contexto post-COVID-19. Los ciberataques contra entidades prestadoras de servicios de salud o relacionadas con la salud como Keralty o el Invima han aumentado en 45 %, siendo el sector más afectado por los ciberataques”.

Explica el exministro que “para los ciberdelincuentes se volvió un negocio muy rentable, incluso superior que el narcotráfico, extorsionar con los datos de salud de los ciudadanos, pues son una infraestructura crítica que puede poner en jaque al país y ellos lo saben. Es por ello que se pronostica que el mercado mundial de ciberseguridad en salud crecerá un 15 % al año, alcanzando 125.000 millones de dólares acumulados entre 2020 y 2025”.

David Luna considera que la implementación de sistemas de detección temprana, que puedan identificar patrones de comportamiento sospechosos, también se vuelve esencial: “Las entidades prestadoras de servicios de salud y las entidades del Estado encargadas de la salud de los colombianos deben considerar la ciberseguridad como una de sus prioridades e invertir recursos de manera preventiva en su protección. También la colaboración entre el sector público y privado es clave, pues fortalece las defensas cibernéticas al compartir información sobre amenazas y adoptar mejores prácticas de seguridad”.

El senador estima que, dada su alta vulnerabilidad, deben desarrollarse estrategias específicas para el sector: “Definitivamente el sector salud, al manejar información altamente sensible, requiere estrategias para protegerse contra ciberataques. Una de las principales medidas sería implementar, como lo dije anteriormente, el CSIRT de Salud. Asimismo, implementar sistemas de cifrado robustos para resguardar la confidencialidad de los datos del paciente, establecer protocolos de seguridad detallados y realizar auditorías periódicas para identificar y corregir posibles vulnerabilidades”.

Agrega que la concientización del personal en el sector salud también juega un papel crucial: “Capacitar a los profesionales de la salud sobre las mejores prácticas de ciberseguridad y cómo reconocer posibles amenazas, puede reducir significativamente el riesgo de ataques”.

También considera que la colaboración entre las entidades de salud, tanto públicas como privadas, es fundamental: “Compartir información sobre amenazas y vulnerabilidades puede fortalecer la postura de seguridad de todo el sector. Para esto hemos planteado la creación de una Agencia Nacional de Seguridad Digital, la cual esté encargada de la coordinación y la vocería a la hora de enfrentar un ciberataque”.

David Luna recalca además que la inversión en tecnologías de prevención, detección y respuesta ante ciberataques, específicas para el ámbito de la salud, debe ser una prioridad, para mitigar los riesgos de manera efectiva. Asimismo, el exministro de Tecnologías de la Información y Comunicaciones formuló algunas recomendaciones de cara al futuro:

  1. Pasar de la reacción a la prevención: implementar medidas de seguridad avanzadas, como firewalls actualizados y sistemas de detección de intrusiones, para fortalecer la infraestructura contra posibles amenazas.
  2. Concientización: realizar programas regulares de formación en ciberseguridad para el personal del sector salud, enfocándose en la identificación de amenazas y prácticas seguras en línea.
  3. Colaboración interinstitucional: fomentar una mayor colaboración entre las entidades de salud, tanto públicas como privadas, para compartir información sobre amenazas y adoptar estrategias comunes de ciberseguridad. Para esto será clave la creación de la Agencia Nacional de Seguridad Digital y el CSIRT Salud.

Pese a que Colombia ha establecido legislación para la investigación y reacción a ataques cibernéticos, se evidencia la falta de coordinación entre las entidades ya creadas: Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT), Comando Conjunto Cibernético y el Centro Cibernético Policial. Además, el poco presupuesto y la falta de personal capacitado para cumplir con las necesidades de seguridad digital del país son aspectos que deben corregirse.

La iniciativa legislativa establece acciones para garantizar la coordinación entre el Comando Conjunto Cibernético y el Centro Cibernético Policial, así como con el Ministerio de Tecnologías de la Información y las Comunicaciones y sus entidades adscritas, el Ministerio de Defensa Nacional, la Fiscalía General de la Nación y otros órganos del Estado necesarios para generar una política preventiva en seguridad digital.

El proyecto de ley crea la Agencia Nacional de Seguridad Digital como una entidad que garantice la articulación entre el Estado, el sector privado y los ciudadanos. La entidad no significa más gasto de recursos, pues se creará el Fondo Nacional para la Seguridad Digital y Ciberdefensa que distribuirá los recursos hoy destinados a la ciberdefensa y buscará la inversión del sector privado. Además, el proyecto determina las funciones de la Agencia, así como su estructura y presupuesto, creando institucionalidad en la materia y permitiendo que Colombia pase de una política reactiva a una preventiva en materia de seguridad digital. Asimismo, el país sería pionero en la región en crear una Agencia de dicha naturaleza.

[1] Un Equipo de Respuesta a Incidentes de Seguridad Cibernética (CSIRT, por sus siglas en inglés: Cyber Security Incident Response Team) es un grupo de expertos en ciberseguridad que se encarga de detectar, analizar y responder a los incidentes de seguridad informática en una organización. El objetivo principal de un CSIRT es minimizar el impacto de los incidentes de seguridad en la organización y reducir el tiempo de inactividad. Los CSIRT suelen estar formados por personal técnico especializado, como el responsable de seguridad de la información (CISO), el Centro de Seguridad de Operaciones (SOC) y el personal de Tecnología e Innovación (TI).
Gestión de la ciberseguridad de entidades de salud

La ciberseguridad en el sector salud es particularmente relevante debido a la sensibilidad de la información que maneja. Las tecnologías que apoyan la Historia Clínica Electrónica, la telemedicina y los dispositivos médicos avanzados son sistemas críticos, y fueron víctimas de ataques en los últimos años. Los Datos Personales de Salud son los datos más valorados en los mercados negros, con valores decenas de veces más altos que, por ejemplo, los números de tarjeta de crédito. En el 2020 en Estados Unidos las fugas de datos del sector salud crecieron un 55 %, según el Departamento de Salud y Servicios Humanos; de estas fugas, el 67 % se debe a incidentes de ciberseguridad. En ALC la tendencia de los ciberataques también es creciente.

El sector salud no solo fue uno de los más atacados por hackers en 2019, sino que es la industria que sufrió los ataques más dañinos en los últimos años. El BID calcula que el costo promedio de un ciberataque en el sector salud en términos de pérdida de negocio, gastos de prevención, detección y recuperación equivale a 7,13 millones de dólares en comparación con los 3,86 millones de dólares que, en promedio, cuestan los ciberataques en cualquier otra industria. Además, el 80 % de la información comprometida por ciberataques son datos personales y, en el sector salud, se tarda más tiempo en detectar una posible vulneración de información: desde que tiene éxito un ataque hasta que la institución se da cuenta que vulneraron sus datos, pasa un promedio de 329 días. ALC tiene uno de los mayores tiempos de detección de ataques a nivel mundial.

BID propone siete pasos para implementación de ciberseguridad en organizaciones de salud

Con el fin de fortalecer la seguridad de la información en las organizaciones, es importante que cuenten con herramientas para enfrentar esta realidad, con base en la implementación de marcos de trabajo, controles y guías. Para facilitar el acceso a conocimiento y herramientas de apoyo para diagnosticar y mejorar el estado de la ciberseguridad en organizaciones de salud y para proteger a los ciudadanos de América Latina y el Caribe, el Banco Interamericano de Desarrollo (BID) elaboró la guía “Protegiendo la salud digital-Una guía de ciberseguridad en el sector de salud”, en la cual propone una estrategia de siete pasos esenciales para iniciar o fortalecer la ciberseguridad en esas entidades, además de que recopila y clasifica el conocimiento existente a nivel global en cuanto a normas, marcos de trabajo, estándares, buenas prácticas y guías de implementación de ciberseguridad.

El proceso de implementación debe realizarse de manera sistemática, estructurada y continua, ya que el cambio no se conseguirá de la noche a la mañana. El BID propone una metodología simple, un ciclo de mejora continúa compuesto por siete pasos, que se presentan a continuación:

  1. Incluir la ciberseguridad como prioridad en la gestión estratégica de la organización. Dado que el fin de las organizaciones de salud es salvar vidas, para lograr este objetivo buscan garantizar la seguridad del paciente, lo que implica entre otras cosas, poner el foco en una adecuada gestión de la seguridad de la información y la ciberseguridad. Por esta razón la gestión estratégica de la organización debe incluir objetivos, metas e hitos que agreguen la ciberseguridad en la agenda de la organización.
  2. Definir la estructura organizacional en ciberseguridad. Para cumplir los objetivos, metas e hitos definidos en el paso anterior, así como para promover la gestión de la seguridad de la información, debe definirse una estructura organizacional adecuada que, como mínimo, establezca un responsable de seguridad de la información en la organización y un Comité de Seguridad de la Información.

Este Comité tendrá como objetivos definir lineamientos estratégicos, junto con sus objetivos, metas e hitos anuales; definir responsabilidades generales; definir, aprobar y hacer seguimiento de políticas de seguridad de la información; apoyar y hacer seguimiento a los proyectos definidos en el Plan Director (deberá conseguir los recursos para que dichos proyectos tengan éxito); y ser el interlocutor y facilitador en seguridad de la información para agentes externos a la organización.

Se recomienda definir con dicho Comité toda la estructura de seguridad de la información. Por ejemplo, la gestión de la respuesta a incidentes que se puede abordar de múltiples maneras: con un equipo de respuesta a incidentes, un centro de respuesta a incidentes centralizado o descentralizado, entre otros. Para cada función de seguridad se debe definir la estructura que mejor se adapte a la organización y, para cada caso, las dependencias jerárquicas, responsabilidades y constitución del equipo con los perfiles asociados.

  1. Definir los objetivos y las metas de ciberseguridad. Establecer claramente objetivos y metas de seguridad de la información y ciberseguridad, teniendo en cuenta objetivos organizacionales como necesidad de cumplimiento, normativa nacional e internacional aplicables, mejores prácticas de la industria y perfil de riesgo organizacional. Este perfil se puede definir por varios factores, como tamaño y recursos de la organización, sensibilidad de activos que maneja, nivel de madurez actual y umbrales aceptables de riesgo definidos. Es fundamental fijar métricas e indicadores para evaluar los objetivos y metas.
  2. Realizar un diagnóstico de situación con análisis de brechas o GAP. Luego de definir objetivos y metas de seguridad de la información, se debe hacer un diagnóstico de la situación actual, considerando las diferencias entre la situación actual y el objetivo (usualmente, conocido como análisis de brechas o GAP).

Dependiendo de los objetivos definidos, se pueden utilizar diferentes herramientas para hacer el diagnóstico; si se adoptó un marco, se debe elaborar un análisis de brechas con el mismo, lo cual puede efectuarse mediante consultorías especializadas o herramientas de evaluación (la mayoría de los marcos tienen herramientas de evaluación o autoevaluación).

Para escenarios en los que no se adopta un marco, el BID desarrolló herramientas para facilitar el diagnóstico, como una de autoevaluación para el sector salud respecto a las mejores prácticas de la industria, basada en el marco de ciberseguridad del NIST; mediante un cuestionario simple, ayuda a calcular las brechas y brinda recomendaciones que sirven como base para elaborar el Plan Director. Y es importante incluir en el diagnóstico un análisis de riesgos de seguridad de la información, para priorizar entre las brechas detectadas los controles sugeridos y evaluar el riesgo remanente de aplicar dichos controles.

  1. Elaborar el Plan Director de Ciberseguridad. El responsable de seguridad de la información, con apoyo y asesoría del Comité de Seguridad, debe elaborar un Plan Director. Este debe incluir los objetivos de seguridad de la información, las metas específicas y un portafolio de proyectos y/o servicios. Debe reflejar claramente el aporte de cada proyecto y/o servicio a las metas, y cómo llegar al resultado mediante el logro de los hitos definidos, junto a los indicadores de gestión para los proyectos y servicios que permitan monitorear las variables estratégicas. Para asegurar la viabilidad del plan se deben incluir los costos estimados para los proyectos y/o servicios, incorporando la forma de financiamiento. Y se recomienda que el plan contemple la gestión de riesgos asociados a los proyectos y/o servicios.

El Plan Director de ciberseguridad es el instrumento de gestión que se utilizará para cumplir los objetivos y metas de ciberseguridad. No es otra cosa que un programa con duración, alcance y presupuesto determinados, que agrupa todos los proyectos de ciberseguridad que deben realizarse para cumplir un conjunto de metas y objetivos y reducir el GAP existente.

  1. Ejecutar el Plan Director. Es preciso hacer un monitoreo integral del Plan Director para asegurar su éxito. El responsable de seguridad de la información debe hacer seguimiento a la ejecución del plan, analizando los indicadores de gestión y riesgos asociados, y debe informar al Comité sobre cualquier desvío mayor, con el fin de definir las medidas correctivas necesarias y los recursos correspondientes.

Evaluar los resultados y el riesgo remanente. Los resultados obtenidos de la ejecución del plan deben evaluarse de forma periódica, analizando su impacto en la organización. En función de dicha evaluación, se debe hacer un análisis del estado de la situación, considerando los riesgos remanentes y, según el resultado, comenzar nuevamente el ciclo de mejora continua, volviendo al paso 4. Con una periodicidad mayor y ante cambios en la realidad de la organización, se necesita revisar la visión estratégica, ante lo que se debe comenzar nuevamente el ciclo de mejora continua, con el paso 1.