Gestión de Proyectos de Seguridad Bajo El Enfoque PMBOK - Conferencia ISACA

1

Gestión de Proyectos de Seguridad bajo el enfoque PMBOK

E i M á Añ

1Gestión de Proyectos de Seguridad bajo el enfoque PMBOK

Eric Morán AñazcoMBA, PMP, Lead Auditor ISO 27001

Gerente de ConsultoríaM&T [email protected]

AGENDAAGENDAMarco del PMBOKMarco del PMBOKGrupo de Procesos Grupo de Procesos Áreas de ConocimientoÁreas de Conocimiento

Marco del PMBOKMarco del PMBOKGrupo de Procesos Grupo de Procesos Áreas de ConocimientoÁreas de ConocimientoRevisando algunos procesosRevisando algunos procesosEjemplo Ejemplo

Marco de un SGSI (ISO 27001)Marco de un SGSI (ISO 27001)Implementando un SGSI bajo el PMBOKImplementando un SGSI bajo el PMBOK

Revisando algunos procesosRevisando algunos procesosEjemplo Ejemplo

Marco de un SGSI (ISO 27001)Marco de un SGSI (ISO 27001)Implementando un SGSI bajo el PMBOKImplementando un SGSI bajo el PMBOK


2

¿Qué vamos a revisar hoy?

• Definición del alcance del SGSI

• Evaluación de Riesgos.• Plan de Tratamiento de

Riesgos• Definición de Políticas de

• Tratamiento de no conformidades

• Acciones correctivas y preventivas Inicio Planificación Ejecución Control Cierre

Procesos

Áreas de conocimiento

ISO 27001 - SGSI PMBOK

• Implementación de Política, controles y procedimientos

• Asignación de recursos (gente tiempo y dinero)

• Medición de resultados• Análisis de tendencias• Auditoria interna • Revisión de la Gerencia

• Definición de Políticas de Seguridad

ACTUARMantener y mejorar el

SGSI

PLANEAREstablecer el

SGSI

HACERImplementar y operar el

SGSI

VERIFICARMonitorear y

revisar el SGSI

Integración

Alcance

Tiempo

Costo

Calidad

RRHH

Comunicaciones

Riesgos

Proceso de Dirección de Proyectos


TÉCNICASTÉCNICAS

HERRAMIENTASHERRAMIENTAS

ENTRADASENTRADAS

SALIDASSALIDAS


TÉCNICAS

HERRAMIENTAS

ENTRADAS

SALIDAS


(gente, tiempo y dinero)• Programa de

concientización• Tratamiento de riesgo

• Revisión de la Gerencia

Compras

Marco del PMBOK

Plan

Estructura de proyectos en una organización

Estratégico

Portafolio

Programa


ProyectoProyectos de seguridad de la Información

3

Marco del PMBOK

¿Qué propone el PMBOK?

Aplicación de conocimientos, habilidades, herramientas y técnicas a las actividades de un proyecto para satisfacer sus requisitos.


Marco del PMBOK

É

Procesos


TÉCNICAS

ENTRADAS

SALIDAS


HERRAMIENTAS

4

Grupos de Procesos - Inicio

• Desarrolla la descripción del producto y el caso de negocio

• Preparar el project charterp p j• Designa el Gerente del

Proyecto• Identificar restricciones y

supuestos• Definición del apoyo ejecutivo

del proyecto


PROJECT CHARTER

Grupos de Procesos - Planificación

• Desarrollo del plan del proyecto

• Definición del alcance - WBS (1)

• Definición de fechas y tiempos• Estimación de costos• Recursos necesitados

D fi i ió d i


• Definición de riesgos• Hitos y entregables

(1) WBS : WORK BREAKDOWN STRUCTURE

5

Grupos de Procesos - Planificación

• El principal propósito es guiar la ejecución del proyecto

• Las salidas o resultados incluyen:– Un contrato del equipo– Una definición del alcance– Un work breakdonwn structure– Un diagrama de tiempos– Una lista priorizada de riesgos– Un cronograma de actividades

+


Un cronograma de actividades

Grupos de Procesos - Ejecución

• Incluye coordinación de la gente y otros recursos para llevar a cabo el

LIDERAZGO

plan del proyecto• Armar el equipo• Verificar el alcance• Ejercer liderazgo• Asegurar la calidad del proyecto• Diseminar información, etc.


,TRABAJO

EN EQUIPO

6

Grupos de Procesos – Monitoreo y Control

• Asegurar que los objetivos del proyecto son satisfechosEl t d t l• El gerente de proyectos y el equipo miden el avance del proyecto frente a lo indicado en el plan

• Revisión del rendimiento y del “status” del proyecto

• Si se requiere cambios, deben


S se equ e e c b os, debeidentificarse, analizarse y administrarse estos cambios

• Monitorear el cronograma de actividades

Grupos de Procesos - Cierre

• Incluye la aceptación formal de la finalización del proyectop y

• Actividades administrativas tales como documentar los archivos del proyecto, lecciones aprendidas, y recibir la aceptación formal de los


pentregables del proyecto

7

Marco del PMBOK

Inicio Planificación

Interacción de los Grupos de Procesos


SeguimientoY Control Ejecución


Cierre

Marco del PMBOK

Gestión del Alcance

Gestión del Tiempo

Gestión del Costo

Gestión de la Calidad

Áreas de Conocimiento

Gestión de la Integración

Gestión de RRHH

Gestión de las Comunicaciones

Gestión de Riesgos

Gestión de las Ad i i i


RRHH Comunicaciones Riesgos Adquisiciones

8

Marco del PMBOK

Organización de los procesos por grupo y área de conocimiento

Inicio Planificación Ejecución Control CierreProcesos

Áreas de conocimiento

Integración

Alcance

Tiempo

Costo

Calidad

RRHH

C i i



TÉCNICASTÉCNICAS

HERRAMIENTASHERRAMIENTAS

ENTRADASENTRADAS

SALIDASSALIDAS


TÉCNICAS

HERRAMIENTAS

ENTRADAS

SALIDAS


Comunicaciones

Riesgos

Compras

HERRAMIENTASHERRAMIENTASHERRAMIENTAS

Organización de los Procesos


9

Marco de un SGSI

•Definición del alcance del SGSI

•Evaluación de Riesgos.•Plan de Tratamiento de Riesgos

•Definición de Políticas de Seguridad

•Tratamiento de no conformidades

•Acciones correctivas y preventivas


SGSI


SGSI

HACERImplementar y operar el



•Implementación de Política, controles y procedimientos

•Asignación de recursos (gente, tiempo y dinero)

•Programa de concientización

•Tratamiento de riesgo

•Medición de resultados

•Análisis de tendencias•Auditoria interna •Revisión de la Gerencia

y operar el SGSIrevisar el

SGSI

SGSI VS PMBOK


Área de conocimiento


Integración

Desarrollar el acta de constitución del proyecto

Desarrollar el plan de dirección del proyecto

Alcance-Recopilar requisitos-Definir el alcance-Crear la EDT (WBS)-Definir las actividades-Secuenciar las

SGSITiempo

actividades-Estimar los recursos de las actividades-Estimar la duración de las actividades-Desarrollar el cronograma

Costo-Estimar los costos-Determinar el presupuesto

CalidadPlanificar la calidad

Recursos HumanosDesarrollar el plan de Recursos Humanos

ComunicacionesIdentificar a los

Planificar las comunicaciones


interesados

Riesgos

-Planificar la gestión de los riesgos-Identificar los riesgos-Realizar el análisis cualitativo de riesgos-Realizar el análisis cuantitativo de riesgos-Planificar la respuesta a los riesgos

AdquisicionesPlanificar las adquisiciones

10

Proceso – Desarrollar el Project CharterGP – InicioAC – Gestión de la Integración

Desarrollar elProject Charter

TÉCNICAS

ENTRADAS

SALIDAS


HERRAMIENTAS

Elaboración del Project Charter

ENTRADAS TÉCNICAS Y HERRAMIENTAS SALIDAS

1. Enunciado del Trabajo del Proyecto

3. Caso de Negocio4. Contrato5. Factores Ambientales

de la empresa4. Activos de Procesos de

la Organización

1. Juicio de Expertos 1. Project Charter


11

Desarrollo del Plan de Dirección del ProyectoGP – PlanificaciónAC – Gestión de la Integración

Desarrollar el Plan de Dirección del Proyecto

TÉCNICAS

ENTRADAS

SALIDAS


HERRAMIENTAS

Desarrollar el Plan de Dirección del Proyecto

ENTRADAS TÉCNICAS Y HERRAMIENTAS SALIDAS

1. Project Charter2. Salidas de los Procesos de

Planificación3. Factores ambientales de

De la Organización4. Activos de procesos de la

Organización

3. Juicio de Expertos 1. Plan de Gestión del Proyecto


12

Desarrollo del Plan de Dirección del Proyecto

Una lista de los procesos de gestión de proyectos que se serán usados y el nivel de puesta en práctica de cada uno de ellos

Contenido del Plan

Descripción de las técnicas y herramientas que serán utilizadas para completar estos procesos seleccionados

Descripción detallada de las tareas para alcanzar los objetivos

Plan de monitoreo y control de los cambios del proyecto

Detalles sobre gestión de la configuración

Medición en base a baselines

Técnicas de comunicación a los Stakeholdres

Definición del ciclo de vida del proyecto a utilizar


Definición del ciclo de vida del proyecto a utilizar

Plan para definir, documentar el manejo de versiones

Desarrollo del Plan de Dirección del Proyecto

Plan de Gestión del Alcance del Proyecto

Plan de Gestión de Requisitos

Planes que puede contener

Plan de Gestión del Cronograma

Plan de Gestión de Costos

Plan de Gestión de la Calidad

Plan de Mejora de Procesos

Plan de Gestión del Personal

Plan de Gestión de las Comunicaciones

Plan de Gestión de Riesgos


Plan de Gestión de las Adquisiciones

13

SGSI VS PMBOK


Ejecución

Integración

Dirigir y gestionar la ejecución del proyecto

AlcanceTiempoCostoCosto

Calidad

Realizar el aseguramiento de la calidad

Recursos Humanos

-Adquirir el equipo del proyecto-Desarrollar el equipo del proyecto-Gestionar el equipo del proyecto

Comunicaciones

-Distribuir la información-Gestionar la


expectativa de los interesados

Riesgos

Adquisiciones

Efectuar las adquisiciones

Dirigir y gestionar la ejecución del proyectoGP – EjecuciónAC – Gestión de la Integración

TÉCNICAS

ENTRADAS

Dirigir y gestionar la ejecución proyecto

HERRAMIENTAS

SALIDAS

Dirigir y Gestionar la Ejecución del Proyecto es el proceso que consiste en


Dirigir y Gestionar la Ejecución del Proyecto es el proceso que consiste enejecutar el trabajo definido en el plan para la dirección del proyecto paracumplir con los objetivos del mismo.

14


ENTRADAS

1. Plan de dirección del proyecto

TÉCNICAS Y HERRAMIENTAS

1. Juicio de Expertos

SALIDAS1. Entregables2. Información sobre el

desempeño del trabajoWPIproyecto

2. Solicitudes de cambioaprobadas

3. Factores ambientales4. Activos de Procesos

p2. Sistema de información

de gestión de proyectos - PMIS

- WPI3. Solicitudes de cambio4. Actualizaciones al Plan

Dirección de Proyectos5. Actualizaciones a los

Documentos



El sistema de información de la gestión deproyectos es un sistema automatizado usadopor el equipo de dirección del proyecto paracontribuir a la ejecución de las actividadesplanificadas en el plan de gestión del


1. Juicio de Expertos2. Sistema de información de

gestión de proyectos –PMIS

proyecto.

Sistema de Información degestión de Proyectos - PMIS

Sistema de


Sistema degestión de laconfiguraciónSistema de

control decambios

15


Un entregable aprobado es cualquier producto,resultado o capacidad de prestar un servicioúnico y verificable que debe producirse parat i f t


desempeño del trabajoWPI

3. Solicitudes de cambio4 Actualizaciones al Plan terminar un proceso, una fase o un proyecto4. Actualizaciones al Plan


Documentos


WBS # Responsable3.1.2.1.13.1.2.1.23.1.2.1.33.1.2.1.43.1.2.1.53.1.2.1.6

Work package WBS # 3.1.2.1 Nombre: Diseño inicial de pantallas

WP Asignado a: Luis GuerreroDescripción: Se debe lograr obtener el diseño inicial de algunas pantallas internas.

Actividad Duración estimada (horas)


• Conforme el proyecto avanza, lainformación sobre las actividades delmismo se recopila de manerasistemática

• También se conoce como WPI



3. Solicitudes de cambio4 Actualizaciones al Plan También se conoce como WPI

(Work Performance Information)• La información del desempeño

puede incluir, entre otros,:Estado de los entregablesAvance del cronogramaLos costos incluidos

4. Actualizaciones al Plan Dirección de Proyectos

5. Actualizaciones a losDocumentos


16


• Los cambios solicitados para ampliar o reducir el alcancedel proyecto, para modificar políticas o procedimientos,para modificar el coste o el presupuesto del proyecto, opara revisar el cronograma del proyecto, a menudo sonidentificados mientras se realiza el trabajo del proyecto.L li i d d bi d h di



3. Solicitudes de cambio4 Actualizaciones al Plan • Las solicitudes de cambio pueden hacerse directa o

indirectamente, pueden iniciarse de forma externa ointerna y pueden tener carácter obligatorio u opcional, yasea desde el punto de vista legal o contractual.

• Pueden incluir:• Acciones correctivas• Acciones Preventivas• Reparación de defectos



Revisiones de gestión del proyecto


Acciones correctivas, preventivas y reparación de defectos

No conformidades

Resultados de auditorias


Elementos del plan que pueden actualizarse:El plan de gestión de requisitosEl plan de gestión del cronogramaEl plan de gestión de costosEl plan de gestión de calidadEl plan de recursos humanos



3. Solicitudes de cambio4 Actualizaciones al Plan El plan de recursos humanos

El plan de gestión de las comunicacionesEl plan de gestión de riesgosEl plan de gestión de las adquisicionesLas líneas base del proyecto




17


Entre los documentos del proyecto quepueden actualizarse:

El plan de gestión de requisitosLos documentos de requisitosLos registros del proyecto (asuntos,

supuestos etc )



3. Solicitudes de cambio4 Actualizaciones al Plan supuestos, etc.)

El registro de riesgosEl registro de interesados




SGSI VS PMBOK

Área de conocimiento Seg. y Control

Integración

-Monitorear y controlar el trabajo del proyecto-Realizar el control integrado de cambios


revisar el SGSI

Alcance

-Verificar el alcance-Controlar el alcance

TiempoControlar el cronograma

CostoControlar los costos

Calidad

Realizar el control de la calidad

Recursos Humanos

ComunicacionesInformar el desempeño


desempeño

Riesgos

Monitorear y controlar los riesgos

Adquisiciones

Administrar las adquisiciones

18

Monitorear y controlar el trabajo del proyectoGP – EjecuciónAC – Gestión de la Integración

TÉCNICAS

ENTRADAS

Monitorear y controlar el trabajo del proyecto

HERRAMIENTAS

SALIDAS


Monitorear y controlar el trabajo del proyecto

ENTRADAS

1. Plan de dirección del

TÉCNICAS Y HERRAMIENTAS SALIDAS

1. Solicitudes de cambioproyecto

2. Informes de desempeño3. Factores ambientales4. Activos de Procesos

1. Juicio de Expertos2. Actualizaciones al Plan


Documentos


19

Realizar el control integrado de cambiosGP – EjecuciónAC – Gestión de la Integración

TÉCNICAS

Realizar el control integrado de cambios

HERRAMIENTAS

ENTRADAS

SALIDAS


Realizar el control integrado de cambios

ENTRADAS

1. Plan de dirección del proyecto

2 I f b l


1 J i i d E t

SALIDAS

1. Actualizaciones al estado de las Solicitudes d bi2. Informes sobre el

desempeño del trabajo3. Solicitudes de cambio4. Factores ambientales5. Activos de Procesos

1. Juicio de Expertos2. Reuniones de

control de cambio

de cambio2. Actualizaciones al Plan


Documentos


20

Marco de un SGSI VS PMBOK



Cierre

Integración

Cerrar el proyecto o fase

Alcancemejorar el SGSI

ca ce

Tiempo

Costo

Calidad

Recursos Humanos

Comunicaciones

Riesgos

Adquisiciones

Cerrar las adquisiciones


Cerrar proyecto o faseGP – EjecuciónAC – Gestión de la Integración

TÉCNICAS

Cerrar proyecto o fase

HERRAMIENTAS

ENTRADAS

SALIDAS


21

Cerrar proyecto o fase

ENTRADAS

1. Plan de dirección del

TÉCNICAS Y HERRAMIENTAS SALIDAS

1. Transición del producto, 1. Plan de dirección del proyecto

2. Entregables aceptados3. Activos de Procesos

1. Juicio de Expertos

p ,servicio o resultado final

2. Actualizaciones a los activos de procesos


0.0Sistema de Gestión de

Seguridad de Información (SGSI)

2.0 (Planear)Planificación

1.0Gestión del

3.0 (Hacer) Realización

4.0 (Verificar)Verificación

5.0 (Actuar)Corrección

Implementación de un SGSI

del SGSIProyecto del SGSI del SGSI del SGSI

1.1 Gestión del Alcance

1. 2 Gestión del Tiempo

1. 3 Gestión de la Calidad

2.1 Activos de Información

2.2 Requerimiento de Seguridad

2.3 Análisis de Riesgos

3.1 Controles Básicos

3.2 Controles Complementarios

3.3 Evidencia de Operación

4.1 Monitoreo del SGSI

4.2 Medición del SGSI

5.1 No conformidades

5.2 Plan de Mejoras


2.4 Declaración de Aplicabilidad (SOA)

2.5 Plan de Tratamiento de Riesgos

2.6 Definir los controles del SGSI

PlanAct

Check Do

22

Gracias !!!

E i M á Añ


Eric Morán AñazcoMBA, PMP, Lead Auditor ISO 27001

Gerente de ConsultoríaM&T [email protected]

Gestión de Proyectos de Seguridad Bajo El Enfoque PMBOK - Conferencia ISACA

Documents

Transcript of Gestión de Proyectos de Seguridad Bajo El Enfoque PMBOK - Conferencia ISACA