Resumen:
Actualmente, las instituciones y sus sistemas de información están expuestos, progresivamente, a riesgos e inseguridades provenientes de diversas fuentes; la mayoría de incidencias ocurren debido a que los usuarios, por parte de la organización, hacen uso de los sistemas de información de la manera incorrecta o indebida (fraudes informáticos, espionaje, sabotaje, vandalismo, etc.). Y ya no por fallos técnicos, por ejemplo, que los equipos dejen de funcionar. Esas malas acciones no se pueden prevenir con sólo medidas de seguridad técnicas; también se necesita políticas claras y procedimientos para la seguridad de la información, formación y sensibilización dirigida a todos los empleados, protección legal, medidas de disciplina, etc. La elaboración de un Plan de Gestión para la mejora de la Seguridad de la Información es una decisión estratégica la cual tiene un impacto positivo sobre toda la institución, y debe ser guiada y apoyada desde la dirección de la misma. El diseño va a depender de los objetivos y carencias de la institución así como de su estructura, estos elementos son los que definirán el alcance del Plan de Gestión de Seguridad de la Información, es decir los componentes (áreas, unidades, direcciones, departamentos, etc.) que se verán involucrados en el cambio; en ocasiones no es necesario que el Plan de Gestión de Seguridad de la Información abarque a toda la institución, se puede dar el caso que solo abarque a una dirección u oficina técnica, una sede en concreto o una unidad de negocio. El tiempo de implementación del Plan de Gestión de Seguridad de la Información va a depender del tamaño de la institución, los recursos con los que cuenta y la situación actual; pero se podría estimar que la duración del Plan varía de seis (06) meses a un (01) año.