Cualquier evolución en seguridad de la información debe estar basada en el establecimiento previo de unas directrices que garanticen el alineamiento con el modelo de negocio, la existencia de un análisis riesgo, coste, beneficio, así como el seguimiento y control del avance y la monitorización de las desviaciones que pudieran presentarse.

Este es el objetivo principal asociado a la definición de un Plan Director de Seguridad.

 Plan de acción priorizado atendiendo a diferentes dimensiones, adaptado y personalizado, que permite valorar cualquier acción realizada en materia de seguridad de la información.

Definición de Políticas de Seguridad:

• Definición de los objetivos de seguridad de la información (Definición Estratégica PDS)
• Clasificación de la información basada en los principios básicos (CDI)
• Diseño de matriz de controles según valoración de la información
• Establecimiento de la estructura organizativa de seguridad de la información

Análisis de Riesgo:

• Implantación de metodología de gestión de riesgos (Magerit, Octave, CRAMM, …)
• Inventario y valoración de activos de información.
• Análisis de amenazas, vulnerabilidades e impacto y cuantificación de riesgos.
• Diagnóstico de seguridad y definición de estrategia para la mitigación del riesgo.