El Plan Director de Seguridad define la estrategia de ciberseguridad a 24-36 meses, priorizando proyectos según análisis de riesgos y madurez actual. Coste fase 1 pyme: 8.000-25.000 €.
El Plan Director de Seguridad (PDS) es el documento estratégico que define hacia dónde debe ir la ciberseguridad de tu empresa en los próximos 24 a 36 meses, qué proyectos se van a ejecutar, con qué prioridad, qué recursos se necesitan y cómo se va a gobernar la seguridad. Mientras el plan de ciberseguridad operativo (las 20 medidas esenciales) resuelve lo urgente, el Plan Director resuelve lo importante: construir una postura de seguridad sólida, sostenible y alineada con la estrategia de negocio. Si aún no tiene las medidas básicas implementadas, consulta primero nuestro plan de ciberseguridad para PYMEs. Si buscas el caso real, salta al caso de la aseguradora española.
¿Qué es y qué no es un Plan Director de Seguridad?
El PDS es un documento estratégico que parte de un diagnóstico de la situación actual de seguridad, define una situación objetivo basada en los riesgos y necesidades del negocio, prioriza los proyectos necesarios para pasar de la situación actual a la objetivo, estima los recursos (presupuesto, personal, tecnología) necesarios, establece indicadores de progreso y éxito, y define la gobernanza de la seguridad (quién decide qué, cómo se escala, cómo se reporta).
Lo que el PDS no es: no es un documento de 200 páginas que nadie lee; no es un catálogo de productos de seguridad para comprar; no es un ejercicio teórico desconectado del negocio. Un buen PDS cabe en 20-30 páginas, es comprensible por la dirección y contiene decisiones concretas con recursos asignados.
Las cinco fases del Plan Director de Seguridad
Fase 1: diagnóstico de la situación actual
El diagnóstico evalúa la madurez de seguridad de la organización en todas sus dimensiones. El modelo de INCIBE para PYMEs es una referencia práctica que evalúa la madurez en cinco niveles (inexistente, inicial, gestionado, optimizado, excelente) en áreas como la gobernanza de seguridad, la gestión de riesgos, la protección de activos, la detección de amenazas y la capacidad de respuesta.
El diagnóstico debe incluir un inventario de activos de información (qué tiene y dónde está), un análisis de riesgos (qué amenazas enfrenta y cuál es su impacto potencial), una evaluación de cumplimiento normativo (ENS, ISO 27001, RGPD, NIS2), una evaluación técnica de vulnerabilidades, y una evaluación organizativa (roles, procesos, formación, cultura de seguridad).
Fase 2: definición de la situación objetivo
Basándose en el diagnóstico, los riesgos identificados y los requisitos del negocio, define el nivel de seguridad que la organización necesita alcanzar. Los factores que determinan la situación objetivo son las obligaciones legales y contractuales (ENS si es proveedor del sector público, RGPD si trata datos personales, NIS2 si es operador de servicio esencial), el nivel de riesgo aceptable por la dirección, las expectativas de los clientes y partners, y la estrategia de negocio (si va a crecer, a internacionalizarse, a digitalizar más procesos, la seguridad debe acompañar esa evolución).
Fase 3: selección y priorización de proyectos
Identifica todos los proyectos necesarios para cerrar la brecha entre la situación actual y la objetivo. Para cada proyecto, define el objetivo concreto (qué mejora produce), la reducción de riesgo esperada, el coste estimado, el plazo de ejecución, las dependencias con otros proyectos, y el responsable.
Priorice los proyectos usando una matriz de impacto-esfuerzo. Los proyectos de alto impacto y bajo esfuerzo (quick wins) se ejecutan primero. Los de alto impacto y alto esfuerzo se planifican a medio plazo. Los de bajo impacto se evalúan caso a caso.
Fase 4: planificación de recursos y presupuesto
Estime el presupuesto total del PDS desglosado por año. Un presupuesto de referencia para ciberseguridad en una PYME es del 5 al 10 % del presupuesto de TI, aunque puede ser mayor el primer año si se parte de un nivel de madurez muy bajo. Identifica las fuentes de financiación: presupuesto interno, Kit Consulting (hasta 18.000 € en ciberseguridad), Kit Digital (hasta 29.000 € en ciberseguridad gestionada), ayudas autonómicas (DigitalICE, Digiempresas, Innobonos) y la deducción fiscal por innovación tecnológica.
Fase 5: definición de la gobernanza
Establece la estructura de gobierno de la seguridad: quién es el responsable de seguridad de la información (CISO, aunque en PYMEs suele ser un rol combinado con otra función o externalizado), qué comité revisa la seguridad y con qué frecuencia, cómo se reporta el estado de seguridad a la dirección, cómo se escalan los incidentes, y qué indicadores se monitorizan.
Tabla de presupuestos 2026 · Plan Director de Seguridad
Estructura típica de coste de un PDS para pyme española según tamaño. Cifras IVA no incluido, basadas en proyectos reales 2025-2026:
| Concepto | Pyme 25-60 emp | Pyme 60-150 emp | Plazo |
|---|---|---|---|
| Diagnóstico de madurez (INCIBE / NIST CSF) | 2.500-4.000 € | 4.000-6.500 € | 3-5 semanas |
| Análisis de riesgos (MAGERIT) | 2.000-3.500 € | 3.500-5.500 € | 2-4 semanas |
| Redacción del PDS (20-30 páginas + anexos) | 2.500-4.500 € | 4.500-7.000 € | 3-4 semanas |
| Comité de validación y aprobación dirección | 800-1.500 € | 1.500-2.500 € | 1-2 semanas |
| Subtotal diseño PDS | 7.800-13.500 € | 13.500-21.500 € | 9-15 semanas |
| Arranque de 2-3 proyectos prioritarios año 1 | 5.000-12.000 € | 12.000-25.000 € | 6-9 meses |
| CISO externo fraccional (24 meses) | 1.500 €/mes | 2.500 €/mes | contrato anual |
| Inversión total fase 1 (mes 0-9) | 12.800-25.500 € | 25.500-46.500 € | 9 meses |
| Presupuesto anual recurrente años 2-3 | 15.000-35.000 €/año | 35.000-80.000 €/año | anual |
El Kit Consulting (Red.es, Orden TDF/38/2026) cubre hasta 18.000 € del asesoramiento estratégico previo, reduciendo el desembolso efectivo del diseño y arranque del PDS.
Indicadores (KPIs) del Plan Director de Seguridad
Los KPIs que demuestran el progreso del PDS y que la dirección debe revisar trimestralmente:
- % proyectos completados respecto al plan (objetivo: 90 %+ por trimestre).
- Nivel de madurez global medido con el mismo modelo del diagnóstico (objetivo: subir 1 nivel cada 12-18 meses).
- Número y severidad de incidentes (objetivo: tendencia descendente).
- MTTD / MTTR: Mean Time To Detect / To Respond (objetivo: MTTD < 24h, MTTR < 8h en incidente medio).
- % vulnerabilidades críticas/altas corregidas en plazo SLA (objetivo: 95 % en 30 días).
- Tasa de clic en phishing simulado (objetivo: tendencia descendente, < 5 % a 12 meses).
- % empleados formados en concienciación (objetivo: 100 % anual).
- Estado de cumplimiento normativo (objetivo: brechas cerradas vs pendientes).
Relación del PDS con ISO 27001, ENS y NIS2
El Plan Director de Seguridad es el puente natural hacia la certificación ISO 27001, la adecuación al ENS o el cumplimiento de NIS2. Un PDS bien elaborado contiene ya gran parte de la documentación que estos marcos exigen: el análisis de riesgos, la selección de controles, el plan de tratamiento de riesgos y los indicadores de desempeño.
Si su objetivo a medio plazo es certificarse, diseña el PDS directamente alineado con los requisitos de ISO 27001 (Anexo A controles) o ENS (Anexo II del RD 311/2022). Esto evitará duplicidades y reducirá significativamente el coste del proyecto de certificación posterior. Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.
Caso real: PDS de 30 meses en aseguradora española de 95 empleados
Una aseguradora mediana española con 95 empleados, sede central en Madrid y dos oficinas territoriales, encargó el diseño completo del PDS tras la entrada en vigor de la Directiva NIS2 y el RD 311/2022 (ENS) por su condición de proveedor de servicios financieros con datos especialmente protegidos. El diagnóstico inicial dio una madurez global nivel 2 sobre 5 (Inicial-Gestionado), con gaps mayores en gobernanza, gestión de proveedores y detección de amenazas.
El proyecto se ejecutó con un horizonte de 30 meses y una fase 1 de 22.000 € (diagnóstico 4.500 € + análisis de riesgos MAGERIT 4.000 € + redacción PDS 5.500 € + comité aprobación 1.500 € + arranque proyectos prioritarios 6.500 €). Cinco entregables clave:
- Documento PDS de 26 páginas + 9 anexos, aprobado por consejo de administración.
- Catálogo de 14 proyectos priorizados con presupuesto plurianual (año 1: 78.000 €; año 2: 65.000 €; año 3: 42.000 €).
- Estatuto del Comité de Seguridad, reuniones mensuales, CISO fraccional 3 días/mes.
- Matriz de cumplimiento NIS2 + ENS Medio + ISO 27001 + DORA con responsables y plazos.
- Dashboard KPIs (Power BI) con 12 indicadores actualizados mensualmente y revisados trimestralmente por dirección.
Resultados al mes 12: madurez global subió a nivel 3 (Gestionado-Optimizado), 6 proyectos cerrados, 4 en curso, 4 en backlog. MTTD bajó de 96h a 18h. Tasa de clic en phishing simulado del 31 % al 7 %. Auditoría externa ENS Medio iniciada al mes 15 con previsión de certificación al mes 20.
Mini-glosario del Plan Director de Seguridad
- PDS: Plan Director de Seguridad.
- NIST CSF 2.0: NIST Cybersecurity Framework versión 2.0 (2024): funciones Govern, Identify, Protect, Detect, Respond, Recover.
- MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información del CCN.
- SOA: Statement of Applicability · declaración de aplicabilidad de controles (ISO 27001 cláusula 6.1.3).
- MTTD / MTTR: Mean Time To Detect / To Respond · tiempo medio de detección y respuesta.
- SLA: Service Level Agreement · compromiso de plazo para acciones (corrección, respuesta, restauración).
- Quick win: proyecto de alto impacto y bajo esfuerzo, candidato a ejecutar primero.
- CISO fraccional: CISO externo a tiempo parcial (habitualmente 1-3 días/mes).
¿Necesita diseñar el Plan Director de Seguridad de tu empresa? Hablamos. Te ayudo a crear un PDS realista, presupuestado y alineado con su estrategia de negocio, aprovechando todas las subvenciones disponibles.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs, con sede en Aranda de Duero (Burgos). Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.
¿Necesitas ayuda con esto?
Trabaja conmigo en Plan Director de Seguridad
Diseño de PDS a 24-36 meses con presupuesto realista para PYMEs y aprovechamiento de Kit Consulting.
Agendar sesión →