Artículo de:
Miguel Femenia
Compartir:
El jueves 10 de septiembre el PMI Valencia realizó un nuevo Webinar, en esta ocasión el tema escogido fue “La Ciberseguridad en la Gestión de Proyectos”.
Para este interesante tema tuvimos la suerte de contar con José Luis Cid Castillo, arquitecto de seguridad de la empresa ViewNext, ingeniero de telecomunicaciones, con múltipes certificaciones profesionales y más de 12 años de experiencia en el desarrollo e implantación de soluciones de ciberseguridad en administración pública y grandes corporaciones.
Tras una introducción de la empresa ViewNext patrocinador del capítulo, se empezó abordando las nociones básicas de seguridad que contribuyan al éxito en los proyectos que gestionamos.
José Luís introdujo los pilares sobre los que se asienta la seguridad, envolviendo al dato a la información con la que trabajamos en los proyectos, es decir la ciberseguridad.
Un interesante aspecto que se trató fue el de las motivaciones que hay detrás de los ciberataques, fama, poder o lucro; se aclaró que la imagen del hacker adolescente en su habitación que se tiene en general no es el prototipo real. Detrás de muchos ciberataque está grupos criminales organizados.
Estos ciberataques aprovechan vulnerabilidades que según José Luis tiene dos causas raiz fundamentales la falta y/o seguimiento de una política de seguridad y la falta de recursos en seguridad, generando errores humanos y técnicos de los que se aprovechan los delincuentes.
La importancia de la seguridad en la gestión de proyectos quedó patente con el siguiente dato: El 75% de de las vulnerabilidades y brechas de seguridad están relacionadas con defectos en la implantación de proyectos, produciendo sobrecostes, retrasos y en ocasiones gran impacto en la reputación de la empresa.
José Luis comentó el modelo mental erróneo que en algunos directores de proyecto tienen sobre la seguridad, ver este aspecto como una fuente de retraso en la entrega del proyecto y de requisitos adicionales. Para cambiar este paradigma se plantea la necesidad de concienciar a los directores de proyecto en qué tipo de requisito es la seguridad, cómo incorporarla para evitar retrasos y sobrecostes y pensar en las responsabilidades que la organización puede tener en caso de un incidente de seguridad.
Se incidió en cada uno de estos tres aspectos. En lo referente a los requisitos, es imprescindible entender que los requisitos de seguridad, son de negocio, y necesarios para la continuidad del negocio, por lo que no se deben obviar; respecto a los costes José Luis comento que el entenderlos como requisitos de negocio puede suponer también que en los proyectos debe haber un presupuesto de la organización, de negocio, adicional al del proyecto, ya que el solventar y prevenir las vulnerabilidades es un aspecto global del negocio que debe beneficiar a múltiples proyectos.
El otro aspecto que se planteó fue la necesidad de una asignación clara de responsabilidades en temas claves de seguridad como metodología de acceso y privilegios, escalada, cambios,… usando la conocida matriz RACI.
El tercer aspecto para evitar retrasos y sobrecostes que se presentó fue el de Security by Design, incorporar la seguridad de forma continua en la metodología de dirección de proyectos, sea la que sea, evitando dejarla como una tarea de verificación y control al final del proyecto.
Esta integración en la metodología debe buscar un equilibrio entre coste/beneficio, ya que la seguridad al 100% no existe.
Dentro de este aspecto se planteó a alto nivel, qué fuentes se utilizan en un análisis de riesgos, las posibles estrategias ante los mismos, y los tipos de controles a usar en caso de una estrategia de mitigación.
José Luís termino el apartado de la seguridad por diseño indicando la importancia de definir y aplicar métricas e indicadores que nos permitan realizar un seguimiento de la implantación de la seguridad en los proyectos, planteando algunos ejemplos de las mismas.
Terminó su exposición con una serie de recomendaciones a tener en cuenta en la implantación de proyectos al respecto del a seguridad:
Concluyendo con los puntos clave para conseguir los objetivos de seguridad en la gestión de proyectos:
- Contemplar la seguridad de la información no como un requisito funcional, sino como un requisito de negocio.
- Incorporar la seguridad al inicio del proyecto.
- Concebir la seguridad como un aspecto transversal que aplica a todos los ámbitos dentro del proyecto.
- Pensar en las responsabilidades que se asume con las decisiones que afectan a la seguridad del proyecto.
- Conteeplar El área de Seguridad como apoyo en la gestión de un proyecto y no como un stopper.
A continuación se planteó un ejemplo práctico en el sector de la alimentación, planteando la situación de partida a la que se enfrentaba la organización y los impactos que las vulnerabilidades estaban causando, el tipo de proyecto que se planteó y cómo se abordó así como los resultados desde el punto de vista de seguridad que se obtuvieron.
Aprovechando la ocasión ViewNext empresa patrocinadora del capítulo de Valencia del PMI, ofreción la participación en un sorteo de un hacking ético gratuito a 10 empresas de los miembros del capítulo.
José Luis también planteó una serie de recomendaciones para los usuarios en general que contribuyen a la seguridad en sus organizaciones y equipos.
Finalizó la sesión con una extensa sesión de preguntas sobre diversas cuestiones relacionadas con ciberseguridad que José Luis respondió amablemente.
Una gran sesión con un estupendo ponente y un tema muy interesante.