¿Cómo impacta la ciberseguridad en proyectos?
¿Qué requisitos necesitamos para garantizar la seguridad de un proyecto? La cantidad de datos que encontramos en el ámbito digital es mucho mayor que el tráfico de información hace unos años. Cada día son más las empresas que incorporan en sus proyectos nuevos elementos que protegen la vulnerabilidad de su información. En la gestión de proyectos garantizar la seguridad de éste es el primer paso en la organización.
Duarte de Oliveira informático experto en seguridad de datos en dispositivos móviles, project manager de infraestructuras y soluciones de seguridad en NTT data y profesor de La Salle URL en el área de dirección de proyectos internacionales realizó una masterclass en la que nos actualiza las necesidades actuales en la gestión de proyectos.
¿Cómo incorporarla para evitar retrasos y sobrecostes? ¿Qué responsabilidades asume la organización y el project manager en el ámbito de la seguridad?
Índice:
-
Plan de seguridad
-
Requisitos de negocio
-
Responsabilidades
-
Security by design
-
Servicios más buscados
-
DLP
-
Pentesting
-
Gestión de proyectos
-
Análisis de vulnerabilidades
-
Cumplimiento de las normas de ciberseguridad
-
Principales recomendaciones
-
Identificar la información sensible en el proyecto
-
Identificar las responsabilidades dentro de los integrantes
-
Implantar un nivel de sensibilidad de la información
-
Conocer los estándares y normativa de seguridad
-
Incluir objetivos de seguridad en los objetivos de proyecto
-
Determinar las responsabilidades legales que tiene la empresa con la información
-
Empleabilidad en ciberseguridad
Oliveira presentó una serie de pasos indispensables en la hoja de ruta de un project manager. Estas pautas fortalecerán la seguridad informática y viabilidad de un proyecto en términos de ciberseguridad.
Plan de seguridad
Para garantizar la seguridad en un proyecto, necesitaremos ser conscientes de los riesgos a los que nos enfrentamos para establecer un plan de seguridad. Duarte de Oliveira plantea la seguridad de la información y los datos como uno de los riesgos principales en la gestión de un negocio. Tenerlos en cuenta nos ayudará a marcar la senda del plan y centrarnos en los objetivos del proyecto. ¿Qué medidas de seguridad necesitaremos?
-
Requisitos de negocio. Debemos entender los requisitos de seguridad digital del proyecto como objetivos de negocio, ya que éstos serán los que garanticen su consecución y éxito.
-
Responsabilidades. El siguiente paso será la asignación de responsabilidades en temas de seguridad. Cada miembro en el equipo deberá tener sus tareas claras en aspectos de seguridad, así como posibles cambios que puedan surgir. Muchos gestores de proyectos utilizan la conocida matriz de asignación de responsabilidades RACI (responsable, aprobador, consultado, informado). Esta matriz permite garantizar la correcta ejecución de los objetivos de proyecto.
-
Security by design. Empezar a organizar un proyecto incluyendo los aspectos de la seguridad desde las bases y automatizando los procesos, mejorará la consecución del proyecto y por ende la seguridad de éste quedará también fortalecida.
Los requisitos de negocio, las responsabilidades y el diseño de la seguridad son los tres aspectos principales a la hora de gestionar proyectos. De esta manera, la seguridad de la información debe plantearse desde el inicio del proyecto, y tenerla en cuenta durante todo el proceso.
“El 75% de las vulnerabilidades y brechas de seguridad están relacionadas con defectos en la implantación de proyectos produciendo sobrecostes, retrasos y en ocasiones gran impacto en la reputación de la empresa” Duarte de Oliveira
Servicios más buscados
A la hora de establecer un plan de seguridad son muchos los servicios requeridos. Entre estos, encontramos:
-
DLP – Data Loss Prevention. Muestra los posibles riesgos de incidentes de seguridad, avisa de las infraestructuras críticas y actividades no rentables de los empleados. Es una herramienta que puede ser muy valiosa para la empresa que desea supervisar la productividad de los empleados y, proteger el activo más importante: la información.
-
Pentesting. Permite dar visibilidad a las brechas de seguridad susceptibles de impactar en la confidencialidad de la información a través de la simulación de acciones ofensivas similares a las que realizaría un atacante. Estas pruebas pueden ejecutarse desde el exterior o desde el interior del ecosistema tecnológico a analizar y se centran en la aplicación estructurada de técnicas, herramientas y acciones de ataque orientadas a probar mecanismos, controles y niveles de seguridad.
-
Gestión de proyectos
-
Matriz de riesgos para parametrizar una serie organizada de controles y medir su eficacia (mitigación)
-
Estado actualizado del nivel de riesgo, del cumplimiento requisitos (normas) y del de conformidades (mejoras)
-
Aportaciones manuales o automática de datos ante ciberataques
-
Gestión de planes de acción para la corrección de las desviaciones en riesgos, cumplimiento y conformidad
-
Integración de la Ciberseguridad en diferentes ámbitos de la empresa
-
Análisis de vulnerabilidades. Cualquier negocio debe analizar la situación para conocer los riesgos más predominantes. Este análisis busca detallar todas las vulnerabilidades de seguridad que causen daños en los sistemas informáticos.
-
Debilidades
-
Nivel de criticidad
-
Riesgos de los activos informáticos
-
Vectores de ataque, entre otros
-
Cumplimiento de las normas de ciberseguridad. El ENS (Esquema Nacional de Seguridad) es obligatorio para el mundo público, garantizando la seguridad en el uso de tecnologías y herramientas digitales. La normativa RD 43/21 (seguridad de las redes y servicios de información) lo es para las empresas de servicios críticos esenciales.
Principales recomendaciones
Además de tener en cuenta las necesidades de seguridad de un proyecto, los managers han de ser conscientes del peligro para ser capaces de prevenir dichos riesgos. Duarte de Oliveira concluyó con una serie de recomendaciones en aspectos de ciberseguridad y gestión de proyectos:
-
Identificar la información sensible en el proyecto
-
Identificar las responsabilidades dentro de los integrantes
-
Implantar un nivel de sensibilidad de la información
-
Conocer los estándares y normativa de seguridad
-
Incluir objetivos de seguridad en los objetivos de proyecto
-
Determinar las responsabilidades legales que tiene la empresa con la información
Además, identificar y aplicar parámetros e indicadores que nos ayuden a controlar la implementación de la seguridad en los proyectos, con algunos ejemplos de estos parámetros e indicadores.
Empleabilidad
Gestionar proyectos y entender la necesidad de establecer objetivos que protejan la seguridad de la información es una necesidad en las organizaciones actuales. La transformación digital y el aumento de datos e información ha derivado en un aumento de la fragilidad y vulnerabilidad de las organizaciones.
Por otro lado, se espera un aumento en las contrataciones de este ámbito, hasta llegar a 87,7 millones de project managers en 2027. En La Salle URL impulsamos el futuro de los project management professionals - PMP con el Máster Universitario en Dirección de Proyectos. Además, podrás aumentar las habilidades y competencias del sector en seguridad de la información con el Máster en Ciberseguridad. Una combinación de conocimientos y aptitudes que afrontan las necesidades actuales en la gestión de proyectos del futuro.