Objetivos del Curso de Elaboración de Planes de Seguridad del Operador

Anclado en la Estrategia de Seguridad Nacional y siguiendo las directrices de la normativa sobre protección de infraestructuras críticas, así como sus guías de contenido y buenas prácticas, desarrollaremos los contenidos de esta formación. Asimismo tendremos en cuenta las orientaciones de la Autoridad Nacional de Seguridad para la Protección de la Información.

Nuestro objetivo el establecimiento de un diseño homogéneo e integral en lo que a políticas de seguridad en las organizaciones se refiere.

Nuestro programa formativo nacerá con la propia Estrategia de Seguridad Nacional, que presentaremos, para antes de entrar a fondo en la materia del curso, abordar, siquiera sea de forma introductoria el Sistema de Protección de Infraestructuras Críticas y su marco normativo.

A partir de ese momento entraremos a fondo en el diseño del Plan de Seguridad del Operador, comenzando por establecer claramente su objeto, ámbito y alcance.

El PSO es equivalente a lo que denominamos un Plan Director de Seguridad y, por ello, para conseguir sus objetivos requiere el compromiso de la Alta Dirección. Desgranaremos en qué se debe traducir exactamente ese compromiso.

A lo largo de toda esta formación insistiremos a menudo en el carácter integral de la seguridad, tanto desde la perspectiva de las diversas amenazas que nos afectan como desde la de las estrategias de protección.

Siguiendo las recomendaciones de la Guía de Buenas Prácticas trabajaremos utilizando matrices RACI que nos aportarán claridad en los diversos roles y responsabilidades que la Organización debe asumir en el trabajo de desarrollo del Plan de Seguridad del Operador.

También dedicaremos un apartado concreto a la figura clave en la seguridad del operador: el Responsable de Seguridad y Enlace, que tiene que poseer, obligatoriamente, la habilitación de Director de Seguridad o equivalente.

Trataremos de forma muy específica el modelo de gestión a aplicar, que debe estar orientado por el ciclo de mejora continua.

No dejaremos atrás la tarea de identificación de los servicios y áreas del Operador que resulten esenciales para el normal desarrollo de la vida ciudadana, clasificando los activos y medios –de cualquier tipo- disponibles. A partir del análisis de los servicios esenciales pasaremos a estudiar las posibles consecuencias de la interrupción de esos servicios, prestando una especial atención a las interdependencias entre unos servicios esenciales y otros, unos operadores críticos y otros.

Sobre el análisis de riesgo debemos utilizar una metodología internacionalmente reconocida (optaremos por ISO 31000), aunque en esta formación no entraremos a fondo en el análisis, puesto que será objeto de una formación específica posterior. Sin embargo, sí que pondremos las bases para poder conocer lo necesario en esta materia tratando aspectos generales de diversas metodologías de análisis de riesgos.

Daremos finalización a la parte teórica de este curso con un apartado sobre el Diseño de las Políticas Corporativas de Gestión del Riesgo y sobre la Coordinación con otros Planes ya existentes (por ejemplo, Autoprotección, Continuidad, Ciberseguridad, etc.).

En la parte práctica de la formación iremos realizando –tuteladamente- un Plan de Seguridad del Operador (o Plan Director de Seguridad, si nos situamos fuera del entorno de la protección de infraestructuras críticas).