IS2ME

Presentación del Documento IASAP a Alta Dirección

Objetivo: Presentación del Plan de Seguridad y Protección de la Información a la Alta Dirección para su aprobación, sentando así la base para su posterior implantación.

Finalizado el documento IASAP deberá realizarse la presentación y defensa del mismo a la alta dirección. Esta presentación deberá haber sido planificada con anterioridad en la misma presentación del informe SEIS y establecerá una continuidad en el proyecto de implantación de la seguridad objeto de este método.

La aprobación del documento IASAP por la alta dirección supondrá un hito crucial en el compromiso de la organización en la inclusión de la seguridad de la información en todos sus procesos, puesto que en caso afirmativo, esta aprobación supondrá el comienzo del Plan de Acción de Seguridad de la Información según las características, planificación y estimación de recursos humanos y económicos correspondientes.

Será en este punto cuando la alta dirección cuente con toda la información para valorar en su justa medida los esfuerzos necesarios que la organización deberá tomar para cumplir sus objetivos de disminución del riesgo y mejora de sus niveles de seguridad, juzgando la conveniencia de los plazos y acciones propuestas en el documento IASAP y ajustando o modificando los mismos teniendo en cuenta otras consideraciones adicionales que en algunos casos puede aportar únicamente este nivel de dirección como estrategias globales de negocio, sinergias existentes con otras organizaciones, etc.

Para la realización de la presentación, al igual que en el caso de la presentación del Informe SEIS, deberá tenerse en cuenta que es muy probable que la audiencia no tenga una formación técnica en el campo de la seguridad y por tanto deberá enfocarse el mensaje adecuadamente. Para ello serán de aplicación todas las recomendaciones ya efectuadas en el punto "Presentación del Informe SEIS a Alta Dirección".

Se incluye a continuación a modo de ejemplo, y como referencia, una posible estructura de la presentación del documento IASAP:

Introducción sobre el origen del documento IASAP y el proceso de desarrollo asociado.
Descripción temporal y justificada del corto, medio y largo plazo describen el tipo de acciones y su razón para ser incluidas en dichos plazos
Planificación general: identificación de todas y cada una de las acciones a realizar a corto, medio y largo plazo.
Corto Plazo: descripción detallada de cada acción a realizar en este plazo incluyendo plazo temporal de implantación, recursos necesarios (indicando explícitamente si son internos y/o externos), propuestas de proveedores cuando aplique, tareas incluidas y valoración económica (por ejemplo, aquellas tareas con un plazo de cumplimiento inferior a 6 meses).
Medio Plazo: descripción detallada de cada acción a realizar como se ha indicado anteriormente (de 6 a 12 meses).
Largo Plazo: descripción detallada de cada acción a realizar como se ha indicado anteriormente (más de 12 meses).
Propuesta de Planificación Temporal: propuesta con fechas reales objetivo de cumplimiento del documento IASAP (traslado de la planificación propuesta al calendario real con propuesta de fechas para hitos, finalización de acciones, etc.).

Además de todas las mejoras aportadas en el campo de la seguridad, el establecimiento del documento IASAP como marco de implementación de las acciones indicadas podrá suponer una base sobre la que establecer una política de cumplimiento de objetivos a distintos niveles de la organización desde las distintas direcciones, áreas o departamentos, hasta el establecimiento de objetivos individuales asociados a distintas personas o roles existentes.

Introducción Objetivos El Método

Identificación de Interlocutores

Recolección General de Información

Recolección Técnica de Información

Análisis de Información

Desarrollo Informe SEIS

Presentación Informe SEIS

Desarrollo Documento IASAP

Presentación Documento IASAP

Implantación IASAP

Conclusiones