Seguridad y Metodologías de Gestión de Proyectos
Existen diversas metodologías de gestión de proyectos, generalmente híbridas que combinan predictivas, incrementales o adaptativas (también conocidas como ágiles). Más allá del abordaje metodológico es importante que la metodología escogida contemple la seguridad de la información en todos los aspectos posibles.
Muchos estudios de mercado, investigaciones e informes de reconocidos actores referentes en seguridad de la información sugieren que la mayoría de las organizaciones se preocupa por la seguridad luego de sufrir algún incidente que implica un impacto medio o alto en lo que respecta a costos y/o imagen de la empresa. Asimismo, muchas organizaciones desconocen cómo abordar de forma correcta la Seguridad de la Información y se limitan a algunas acciones puntuales, llevadas a cabo por iniciativas individuales, generalmente desde el área de TI.
Para organizaciones con alto grado de madurez en gestión de portafolios, programas y proyectos, que posean alguna unidad organizativa con perfil estratégico dedicada a desarrollar lineamientos y buenas prácticas para la gestión de proyectos, así como alinear el portafolio a la estrategia, entre otros, puede ser interesante introducir y desarrollar la seguridad de la información en la organización desde el portafolio de programas y proyectos.
Estas unidades organizativas podrían ser una Oficina de Gestión de Proyectos (PMO, Project Management Office), una PMO empresarial (EPMO) para organizaciones más grandes, una Oficina de Entrega de Valor (VDO) o Centro de Excelencia Ágil (CoAE) para organizaciones más ágiles y planas, u otras figuras equivalentes. Lo importante es que sea una unidad con perfil estratégico, con una posición muy cercana a la alta dirección y posea una alta madurez en gestión de portafolios. Podría ser un socio ideal para el CISO.
La seguridad de la información debe ser abordada con una visión holística a la organización, desde la estrategia hacia la operación, gestionando los riesgos que implican los activos digitales para el negocio. La gestión de portafolios tiene una visión parcial, no incluye todo el mundo de operaciones, por lo que no es suficiente integrar la seguridad a la gestión de portafolios, pero puede ser una buena estrategia dado que la PMO y el CISO poseen mucho en común.
En ambos casos, deben tener foco en la estrategia, los mercados y el ecosistema donde se desempeña la organización. En ambos casos tienen que estar continuamente alineado y gestionando recursos que son limitados, procurando lograr el mayor impacto positivo posible en la estrategia. Deben gestionar riesgos, equipos de trabajos, deben conocer la normativa, factores ambientales internos y externos a la organización, entre otros. Deben contar con habilidades blandas de liderazgo, negociación, trabajo en equipo y gestión de equipos multidisciplinarios. Deben posicionarse como un asesor a la alta dirección, entregando valor en forma continua.
La dirección de proyectos implica desarrollar procesos, conocimiento, técnicas y herramientas, independientemente del enfoque, que podría ser predictivo, incremental, adaptativo o híbrido. Si en todos estos elementos para la gestión de portafolios, el CISO integra la seguridad de la información podríamos lograr una gestión de portafolios, programas y proyectos segura. Esto implicaría que los productos y servicios que la organización desarrolla y comercializa tienen a la seguridad de la información contemplada en todo su ciclo de vida. Inclusive más allá de los productos y servicios, que se desarrollan mediante la ejecución de proyectos, todos los equipos de trabajo vinculados a proyectos se comportan aplicando conocimientos, técnicas y herramientas para proteger la integridad, disponibilidad y confidencialidad de la información de la organización, sus socios y sus clientes.
Desarrollar metodologías, procesos y herramientas para la gestión de portafolios con Seguridad de la Información incorporada no es suficiente para desarrollar la seguridad de la información en una organización, pero puede ser una buena estrategia para iniciar este proceso en una organización madura en gestión de portafolios, programas y proyectos.