La gestión de proyectos es una función bien investigada que ayuda a ejecutar proyectos independientemente de si se encuentran en el dominio de TI o no. Hay muchos procesos, modelos de madurez, herramientas y aprendizajes disponibles, y las mejores prácticas documentadas para los profesionales. Tener un marco de gestión de proyectos establecido garantiza que nada se pierda. Ayuda a realizar un seguimiento de los esfuerzos reales y tangibles, junto con el resultado general.
La seguridad cibernética es un dominio de mucha tecnología, y la gestión de proyectos / programas es esencial para entregar proyectos exitosos. Sin embargo, la seguridad cibernética requiere algunos ajustes en las prácticas de administración regulares, ya que viene con un conjunto diferente de requisitos. La seguridad cibernética es un programa de gestión de la seguridad que es de naturaleza compleja e implica procesos sistemáticos. Se ocupa de todos los aspectos de las operaciones de una empresa, desde el mapeo y la contratación de profesionales de seguridad capacitados hasta la gestión de riesgos de los proveedores. Implica proteger y asegurar los sistemas informáticos, las redes y los datos contra robos o daños, asegurando así la continuidad del negocio. Un gerente de proyecto generalmente tiene que supervisar muchas tareas de seguridad cibernética recurrentes y únicas mientras maneja las responsabilidades y prioridades habituales.
Un buen marco de gestión de proyectos garantizará que los proyectos se entreguen sin problemas, sin exceder los presupuestos, y se lleven a cabo en el plazo acordado. Para que cualquier programa de gestión de proyectos tenga éxito, es importante definir roles y responsabilidades, un plan de acción detallado y los hitos a alcanzar.
Si bien la mayoría de las prácticas estándar de gestión de proyectos se mantienen bien en los programas de seguridad cibernética, hay algunos aspectos específicos de la seguridad cibernética que deben ser atendidos con absoluta diligencia y estricto cumplimiento. Aquí hay un cálculo listo para todos los gerentes de seguridad cibernética, presentado además de los principios comprobados de gestión de proyectos / programas regulares:
- Máxima inclusión en el alcance: aunque suene a cliché, pero para la mayoría de los contratos, el enfoque generalmente es definir los elementos ‘fuera del alcance’, independientemente del tipo de proyecto. En seguridad cibernética, sin embargo, el alcance es más importante ya que los controles deben aplicarse en el 100% del patrimonio. Nunca puede haber una seguridad parcial. Incluso si se excluye un servidor crítico, puede provocar una violación devastadora.
- Posición de seguridad básica tal como está: Es crucial establecer una posición de seguridad básica tal como está (estado actual de seguridad) como primer paso, especialmente en la era de la transformación digital. Ayuda a comprender y medir la exposición actual a las amenazas de una organización, de modo que se puedan diseñar los controles adecuados para minimizar las amenazas y los riesgos cibernéticos. El estado de seguridad TO-BE debe diseñarse en colaboración con todas las partes interesadas, y luego se deben priorizar las iniciativas para mejorar la madurez de la seguridad. La línea de base correcta de madurez y conocimiento de los puntos críticos es extremadamente importante para atraer la atención y las inversiones adecuadas de las partes interesadas.
- Secure by Design: Secure by Design es una práctica que tiene dos facetas desde la perspectiva de la gestión de la seguridad cibernética. El primero es crear una cultura de “seguridad por diseño” en toda la organización. Un ciclo de vida de desarrollo de software seguro (SDLC) debe adoptarse obligatoriamente, y es imperativo que el liderazgo ejecutivo y los CISO lo exijan en todos los programas de TI en curso. El segundo es identificar todas las vulnerabilidades existentes, incluidas las que se están reparando, y remediarlas todas con diligencia para que nada quede expuesto. Este es un programa continuo para garantizar que una organización siempre esté libre de vulnerabilidades.
- Endurecimiento cibernético: cualquier migración de aplicación existente a digital agrega nueva complejidad y riesgo al patrimonio. Si los riesgos y las vulnerabilidades se heredan de las aplicaciones heredadas, deben reforzarse la seguridad cibernética. Todos los movimientos de producción deben estar certificados en ciberseguridad.
- Emplear habilidades competitivas y mantener estándares: las habilidades de seguridad cibernética son fundamentales para el éxito de proyectos y programas. Estas habilidades tienen una gran demanda en el mercado y cualquier escasez puede causar retrasos importantes en los proyectos en curso. Las organizaciones deben tener un proceso bien definido para perfeccionar las habilidades o volver a capacitar a los empleados en tecnologías de seguridad cibernética. Además, los gerentes de seguridad cibernética también deben garantizar que los estándares, las pautas de endurecimiento, los libros de jugadas y los casos de uso se basen y pongan en práctica de manera consistente por parte de sus equipos.
- Matriz RACI (Responsable, Responsable, Consultada e Informada) bien definida: Dado que la seguridad cibernética es una responsabilidad compartida en toda la organización, es muy importante que varios equipos conozcan la matriz RACI. Es fundamental que los programas de gestión de proyectos incorporen una matriz RACI detallada, para eliminar cualquier ambigüedad y para obtener resultados precisos.
- Mantenimiento del registro de riesgos: esta herramienta es de uso fundamental para todos los gerentes de seguridad cibernética. Llamar claramente los riesgos no solo ayudará a resaltarlos en los foros apropiados, sino que también ayudará a mitigarlos de manera colaborativa. Es un documento en evolución y debe usarse y mantenerse en todo momento. Se observa que los riesgos críticos se registran en el registro de riesgos y, con mucha frecuencia, se dejan desatendidos. ¡No tiene ningún valor identificar los riesgos y no remediarlos!
- Riesgos de la cadena de suministro: dado que las organizaciones tienen que tratar inevitablemente con socios y proveedores, es fundamental prestar especial atención a la gestión de riesgos de terceros . Aunque es una tarea difícil, las organizaciones deben convencer y asegurarse de que sus proveedores y socios estén invirtiendo en programas de seguridad definidos y sólidos. Si es necesario, se deben publicar políticas y pautas claras para que las partes interesadas externas se adhieran y aseguren las integraciones.
- Métricas cibernéticas: La seguridad cibernética se puede estimar mejor en función de las métricas y tendencias cibernéticas. Hay múltiples métricas definidas en el dominio de la seguridad cibernética y, por lo tanto, la identificación de las métricas correctas, la creación de un proceso para medir, analizar y poner en práctica las mejoras, se puede hacer fácilmente y se sabe que es la clave para el éxito de cualquier programa.
- Innovación: la innovación es otro aspecto importante que los gerentes de seguridad cibernética deben aplicar para gestionar con éxito las iniciativas dentro del tiempo y el presupuesto prescritos. Hay muchas plataformas que se pueden aprovechar para esto junto con tecnologías avanzadas como automatización, IA y ML , aprendizaje profundo, ciencia de datos, innovaciones de productos y Kanban.
- Piratería de sombrero blanco: ¡ el truco consiste en ir un paso por delante del atacante! Es una buena estrategia invertir en el ejercicio ‘Red Teaming’ o ‘Penetration Testing’ para desenterrar minas ocultas. Puede que no haya un ROI directo, pero incluso si se evita un ataque potencial, el ROI es enorme. Los gerentes de seguridad cibernética deben tener el conocimiento y los matices de este dominio para poder administrar proyectos de manera efectiva.
- Conciencia de seguridad: a pesar de todos los controles tecnológicos avanzados, las “personas” todavía se consideran el eslabón más débil de la cadena cibernética. Los ciberdelincuentes tienden a atraer a las personas para que revelen sus credenciales. Invertir en campañas frecuentes de ‘anti-phishing’ y capacitación en concientización con especial enfoque en las personas es una necesidad absoluta para cualquier organización. La implementación de esta estrategia en el plan de gestión del proyecto es vital.
Con los ataques cibernéticos aumentando exponencialmente y las organizaciones invirtiendo fuertemente en controles de seguridad, es fundamental que los programas de seguridad cibernética se administren de manera estratégica y efectiva para maximizar el ROI, minimizar los riesgos potenciales y proteger a las organizaciones.
Fuente:
Editor’s Choice. (2021d, abril 13). 12 steps towards a secure project management framework. Recuperado 13 de abril de 2021, de https://www.information-age.com/12-steps-towards-secure-project-management-framework-123494721/