Una vez que la dirección de la empresa es consciente de la necesidad de contar con un plan integral de ciberseguridad, es imprescindible realizar inicialmente un análisis y revisión de todos los procesos, dispositivos y equipos de la compañía, para conocer en profundidad su funcionamiento.

Es imprescindible que el Plan Integral de Seguridad se adapte a la estrategia de la empresa, sus necesidades, recursos y actividad.

Con esta auditoría previa, y de común acuerdo con la empresa, se estudiarán y se determinarán los niveles mínimos de seguridad, después se calculará el grado de protección que se va a establecer como objetivo por parte de la empresa y que se fijará como requisito imprescindible desde ese momento.

Con la información anterior, se elaborará un planning detallado en diferentes fases y tiempos de implantación, en el que se indicarán además el área a la que afecta, quién es el responsable y el equipo de RRHH de la empresa implicados. En algunas de estas fases, bastará con que se cumplan una serie de procesos o nuevos procedimientos de trabajo, que aseguren la normativa, la confidencialidad y/o el acceso.

El Plan Integral de Ciberseguridad debe ser informado a toda la empresa y los empleados formados, adecuadamente, según sus funciones, responsabilidad y tareas. Sin la implicación y concienciación de todos es imposible una correcta aplicación.

Deben ser conocedores de lo que implica su cumplimiento y los riesgos que supone no aplicarlo o no hacerlo adecuadamente.