capitulo ii marco teÒrico 1. antecedentes de la …virtual.urbe.edu/tesispub/0096241/cap02.pdf ·...
TRANSCRIPT
16
CAPITULO II
MARCO TEÒRICO
1. ANTECEDENTES DE LA INVESTIGACION
Con el propósito de apoyar la fundamentación teórica, se presentan los
antecedentes de la investigación, los cuales representan un soporte o
guía para el inicio del presente estudio investigativo. Se realiza una
revisión de diversas investigaciones anteriores en las que se han
considerado variables similares a las expuestas en este capítulo.
Como fundamentación teórica de la investigación se presenta el trabajo
de Camacho, A. (2008) “Diseño de un Sistema de Gestión de Seguridad de
la Información (SGSI) para la protección de los activos informáticos de la
Universidad Central de Venezuela” desarrollado en la Universidad Central de
Venezuela (UCV) para el Post Grado de Ingeniería Eléctrica.
Entre los autores que sustenta la referida investigación, se encuentran:
Albert y Dorofree (2003), Norma BS 7799 (1999), Peters (2005), Cazemier
(2000) entre otros.
La investigación citada desarrollada en la ciudad de Caracas determinó
que las organizaciones deben establecer políticas de seguridad de la
17
información así como también de activos tecnológicos y mantener
documentados los procesos de seguridad para proteger la infraestructura
tecnológica de los posibles ataques. Adicionalmente recomienda que las
empresas públicas y privadas y por consiguiente la UCV, donde fue
desarrollada la investigación, implementen un conjunto de medidas de
protección en sus plataformas mediante el uso de los criterios de auditoría
integral que permitan mitigar los riesgos y reducir las amenazas de los
sistemas corporativos.
El sustento de este trabajo y al mismo tiempo la semejanza en la
presente investigación se debe claramente al diseño del sistema de gestión
de seguridad de la información basado en las normas y estándares
internaciones que permitieron el diseño del referido sistema de gestión y que
en definitiva constituyó la plataforma normativa para el desarrollo del modelo
para la gestión de proyectos en este mismo tema de la seguridad de la
información, en cuanto a la diferencias no se contempla en la investigación
de Camacho (2008) que el proceso de implementación del sistema de
gestión de seguridad de la información sea llevado a cabo a través un
proceso completo definido como un proyecto.
Del mismo modo Villena, C. (2008) con su investigación titulada
“Sistema de Gestión de Seguridad de Información para una institución
financiera” desarrollada en la ciudad de Lima, Perú, bajo la metodología de
la Pontificia Universidad Católica del Perú para optar al Post Grado en
Gerencia de la Tecnología. En dicho desarrollo investigativo se realizó una
18
investigación de las normas y estándares que van difundiéndose con mayor
énfasis en el mercado peruano, en especial en el sector financiero.
Basados en los autores: Sullivan (2004), Sarbanes (2004), se
rescataron los aspectos más resaltantes de cada norma y estándar, a partir
de los cuales se plantea un esquema de gestión de seguridad de
información que puede ser empleado por una institución financiera en el
Perú, lo cual permitiría que ésta cumpla con las normas de regulación
vigentes en lo relacionado a la Seguridad de Información.
El autor justificó su investigación tomando como base que surge la
necesidad que toda institución financiera deba contar con un Sistema de
Gestión de Seguridad de Información, que permita administrar toda la
información, garantizando los aspectos de confidencialidad, integridad,
disponibilidad y auditabilidad que ésta debe cumplir. Los resultados
determinaron que es necesario contar con un sistema complejo de seguridad
de la información en las entidades bancarias en el Perú, en vista de los
constantes ataques informáticos a las plataformas bancarias en ese país y
que conllevan a la pérdida importante de recursos económicos y
tecnológicos en esas organizaciones.
La investigación presenta como semejanza la consideración de un
sistema de gestión para la seguridad de la información, aporta información
de relevancia para el establecimiento de las pautas a seguir en el diseño del
modelo de gestión dentro del contexto de la presente investigación, así
como lo referente a las bases teóricas relacionadas con la selección de las
19
normas y procedimientos. La diferencia principal en cuanto a la presente
investigación radica que Villena (2008) propone un sistema de gestión de
seguridad de la información para una institución financiera mientras que en
la presente investigación se desarrolla para la gestión de proyectos en las
empresas del sector telecomunicaciones.
Por otra parte, el estudio realizado por Mendoza, M. (2009) titulado:
“Modelo para la gestión de proyectos de ingeniería en las cooperativas del
municipio Maracaibo”. Esta investigación, propuso un modelo de gestión
dirigido a los gerentes y coordinadores de proyectos de ingeniería, para que
cuenten con una herramienta de fácil aplicación que permita determinar las
debilidades durante la ejecución, plantear acciones para minimizarlas y
facilitar la toma de decisiones que conduzcan a un proceso de mejoramiento
continuo, garantizando a las cooperativas una estabilidad económica,
imagen y posición en el mercado.
La metodología utilizada por Mendoza, M. (2009), fue de tipo
descriptiva, de campo, proyecto factible; con un diseño no experimental,
transeccional, descriptiva y de campo, utilizó una población de 20 sujetos,
conformada por planificadores y coordinadores del área de proyectos de las
cooperativas.
Empleó como técnica de recolección de datos la encuesta y aplicó un
cuestionario constituido por 70 ítems con escala de respuesta múltiple. La
validación fue realizada por cinco expertos del área de ingeniería de
proyectos, con un coeficiente de confiabilidad de 0,90, calculado por Alfa de
20
Cronbach. La prueba piloto se aplico a 10 sujetos de cooperativas similares
y totalmente ajenas a las empresas de la población.
Como resultado de esta investigación, se deduce que las cooperativas
del municipio Maracaibo no cuentan con un modelo para gestionar sus
proyectos de ingeniería, una guía que contemple las actividades necesarias
y orientadas a garantizar el cumplimiento de sus objetivos, como
consecuencia de esta carencia, se enfrentan a debilidades para analizar el
alcance de los proyectos, los cuales terminan fuera de presupuesto y
tiempos de entrega; enfrentándose a pérdidas irremediables y sin lograr
mantenerse en el tiempo.
El estudio de Mendoza, M. (2009), se asemeja al estudio en desarrollo,
en su propósito de comprobar que la utilización de herramientas de gestión
de proyectos es una alternativa viable para alcanzar una mayor
competitividad en los proyectos de implementación como es el caso
específico de un modelo que permita la gestión de los proyectos de
seguridad de la información, donde se incluya todos los elementos
necesarios para garantizar el éxito en su desarrollo.
Entre los aportes de esta investigación, para el presente estudio,
resaltan la metodología utilizada y en la teoría sobre las herramientas de
gestión, mientras que las diferencias se presentan evidentemente al área de
desarrollo.
De igual forma, Matalobos, H. (2009), emprendió su investigación
titulada: “Análisis de Riesgo de la Seguridad de la información” bajo la
21
tutoría de la Universidad Politécnica de Madrid, como requisito para obtener
su Maestría en Ciencias de la Informática.
La metodología usada se basó en un desarrollo documental, ya que el
objetivo fundamental de la investigación es analizar todos los estándares,
normas internacionales e internas en España que refiere a la seguridad de la
información, específicamente los potenciales riesgos que presenta la
información independientemente el área a la que se dedica la organización.
Esta investigación a la cual se hace referencia y que fue presentada en
la ciudad de Madrid en España, sirve como fundamento al desarrollo del
objetivo No. 3 referido al análisis de los riesgos presentes en los proyectos
de seguridad de la información en las empresas del sector
telecomunicaciones.
El trabajo de investigación presentado por Mujica, K. (2009), “Modelo
para la gestión gerencial de proyectos sociales en la Industria Petrolera”, fue
definida como una investigación de tipo proyecto factible, descriptiva, de
campo, con diseño no experimental, transeccional, descriptiva y de campo.
La población en estudio fue conformada por 17 sujetos de las diferentes
divisiones (Occidente, Oriente y Centro Sur) de la Gerencia de Operaciones
Exploratorias
La técnica de recolección de datos utilizada fue un cuestionario
conformado por 73 preguntas cerradas. El instrumento fue validado por 5
expertos. Como técnica de análisis de los datos se utilizó estadística
descriptiva, mediante la distribución de frecuencia absoluta, considerando el
22
valor de la medida aritmética y la tendencia más relevante por cada
dimensión.
A través del análisis e interpretación de los datos se encontró, que no
se cuenta con un modelo de gestión, esquema o marco de referencia
estructurado para la administración de los proyectos sociales en la industria
petrolera, que permita el aprendizaje continuo para que lleve a cabo la
planificación y ejecución de los proyectos sociales.
Adicionalmente, señaló la carencia del establecimiento de
procedimientos, políticas y normativas dentro de la organización para regular
las actividades inherentes a los procesos; verificó además que el
conocimiento técnico-practico debía ser evaluado debido a una utilización
ineficiente de los recursos de los proyectos, manifestándose esto
directamente en la programación de plazos, control de cambio, satisfacción
del cliente, flujo de información, comunicación en el equipo entre otros.
Dicha investigación aporto información valiosa para la elaboración del
modelo para la gestión de proyectos semejantes a los que se desarrollan en
las Empresas de Producción Social (EPS) apalancados por la industria
petroquímica.
Otra investigación de interés fue la presentada por Soto, M. (2010),
quien propuso un “Modelo para la gestión de riesgo en proyectos del sector
telecomunicaciones en el estado Zulia”, se empleo una investigación del tipo
descriptiva, transeccional y diseño no experimental. La población de la
investigación estuvo conformada por 15 coordinadores de proyecto, los
23
cuales estaban a cargo de planificar, controlar, dirigir e implantar el proyecto
durante todas sus fases.
Para el proceso de recolección de los datos se utilizo el cuestionario, el
cual estuvo conformado por 59 preguntas cerradas, con 4 alternativas de
respuestas. La confiabilidad del instrumento se aplicó a través de la técnica
Alfa de Cronbach, la cual arrojó una muy alta confiabilidad del cuestionario
con un valor de 0,992. Para su validación debieron ser analizadas por parte
de 5 expertos en el área de gestión de riesgo.
Luego de realizar el análisis de resultados, se obtuvo que el proceso de
gestión de riesgo presenta fallas, errores y debilidades para el uso de las
técnicas y herramientas necesarias para la identificación, evaluación,
análisis, seguimiento y control a las respuestas de los riesgos dentro del
proyecto por parte de los coordinadores.
Por tanto se propuso un modelo de gestión de riesgos basado en
lineamientos teóricos, los cuales permitieron a los coordinadores o lideres de
proyectos, controlar, mitigar, y reducir los factores que amenazan los
objetivos y recursos del proyecto, así como gestionar los riesgos positivos a
través de oportunidades de negocio.
La diferencia radica en que solo se direcciona la investigación a una
sola fase dentro de la gestión de proyectos, específicamente a la gestión de
riesgo. El aporte de esta investigación lo constituyen las fases del modelo de
gerencia de riesgo propuesta, el cual es fundamental para la presente
investigación considerando que la información en las empresas de este
24
sector se encuentra vulnerable y por otro lado las bases teóricas que lo
sustentan.
2. BASES TEÓRICAS
2.1. PROYECTO
La definición de proyectos ha sido abordada por muchos autores
durante el transcurso de la historia, por su parte Baca (2006), lo define como
la de una solución inteligente al planteamiento de un problema tendente a
resolver, entre muchas, a una necesidad humana. El autor afirma, que
puede haber diferentes ideas, inversiones, tecnología y metodología, pero
todas ellas destinadas a cumplir el objetivo común del proyecto, al igual que
cada una de las fases comprometidas y que generalmente están dirigidas a
satisfacer las necesidades humanas y a las exigencia de las empresas.
Por otra parte, Gido y Clements (2007), definen proyecto como un
esfuerzo para lograr un objetivo especifico por medio de una serie de tareas
interrelacionadas y la utilización eficaz de los recursos. Según los autores
los proyectos se definen en las siguientes fases: La identificación de las
necesidades, la propuesta de una solución, la realización del proyecto y la
conclusión del proyecto.
De lo antes expuesto se puede afirmar que los proyectos son
propuestas destinadas a satisfacer las necesidades precisas de un problema
determinado. Así mismo se puede afirmar que los autores concuerdan en
que los proyectos surgen de la necesidad de satisfacer requerimientos o
necesidades presentados por el cliente, mediante el planteamiento de
25
objetivos específicos, utilizando los recursos disponibles eficientemente,
mediante la interrelación de actividades definidas.
Para comprender un poco mejor como se conciben los proyectos, Gido
y Clements (2007), desglosan las fases de los proyectos en:
Identificación de necesidades: es la etapa inicial. Comienza con el
reconocimiento de una necesidad, problema u oportunidad y culmina con la
emisión o solución de una propuesta.
Selección de proyecto: implica la evaluación de varias necesidades u
oportunidades, para luego decidir cuál de ellas se va a implementar.
En esta etapa deben evaluar las ventajas, desventajas, beneficios,
consecuencias, riesgos, entre otros. Para lograr esto los autores proponen 4
pasos a seguir: desarrollar un conjunto de criterios para evaluar la
oportunidad, listar los supuestos, reunir datos e información sobre cada
oportunidad y evaluar la oportunidad según los criterios.
Preparación de una solicitud de propuesta: en esta etapa se debe
establecer de manera explícita y con el mayor detalle posible lo que se
requiere, desde el punto de vista del cliente.
Los autores proponen los siguientes lineamientos para la redacción de
una solicitud de propuesta final: debe proporcionar una descripción del
trabajo (DDT), debe incluir los requisitos del cliente que definen las
especificaciones y los atributos, debe especificar los productos y servicios
por entregar, se deben establecer las condiciones de pago, y el programa
establecido para la determinación del proyecto, entre otros.
26
Solicitud de propuestas: una vez preparada la propuesta, el cliente
solicita a los posibles contratistas sus propuestas para la realización.
La propuesta de una solución: es la segunda fase del proyecto, se
inicia cuando la solicitud de la propuesta se pone a disposición de los
contratistas, una vez analizada, discutida y bien definida, culmina cuando se
llega al acuerdo con las personas seleccionadas para implementar la
solución.
Esta propuesta debe contener ciertos requerimientos para su
evaluación, que según los autores son:
Sección técnica: en esta etapa se debe convencer al cliente de que el
contratista comprende su necesidad y puede proporcionar una solución.
Sección administrativa: explica que el contratista es capaz de
completar el trabajo y lograr los resultados obtenidos.
Sección costos: en esta sección se trata de convencer al cliente que el
presupuesto es realista y razonable.
La realización del proyecto: corresponde a la tercera fase del proyecto,
es aquí donde se ejecutan la propuesta de planificación seleccionada.
Conclusión de un proyecto: es la última fase del proyecto, los autores
proponen varias acciones para cerrar el proyecto en forma apropiada, se
debe realizar una evaluación interna, que contemple la evaluación del
desempeño, técnico, de costos, de programa, entre otros y la
retroalimentación del cliente.
27
De las definiciones planteadas por Gido y Clements (2007), se puede
afirmar, que todo proyecto, requiere cumplir las fases descritas
anteriormente para completar finalmente el objetivo propuesto.
2.1.1. CICLO DE VIDA DE UN PROYECTO
Las características principales del proyecto, se pueden definir por
separado para lograr un análisis preciso del proyecto. Para Chamoun
(2005), estas características están definidas en cinco procesos;
Inicio del proyecto: en ese proceso se establece la visión del proyecto,
el qué, la misión por cumplir y sus objetivos, la justificación del mismo, las
restricciones y supuestos.
Planeación del proyecto: consiste en desarrollar un plan que ayude
proveer el cómo se cumplirán los objetivos, basados en la prevención más
que en improvisación.
Ejecución del proyecto: establece como su nombre lo indica, la
ejecución de las actividades según lo planificado.
Control del proyecto: compara lo ejecutado con lo real y establece las
acciones pertinentes de ser necesario.
Cierre del proyecto: en este proceso se concluye el proyecto, se cierran
relaciones, se presentan resultados y evaluaciones.
De acuerdo a esta clasificación, el autor, señala que dentro del ciclo de
vida del proyecto, al eliminar los procesos de inicio y cierre, se tiene una
sola operación rutina, en vez de un proyecto. Es decir, el ciclo repetido de la
28
mejora continua: planear-hacer-verificar-actuar descrito por Deming (2004) y
otros expertos en calidad, donde planear es planificar, hacer es ejecutar,
verificar es control y actuar es planeación adicional y ejecución.
Gráfico 1: El Ciclo: Planificar, Hacer, Revisar y Actuar. Fuente: Chamoun (2005)
En el gráfico 1 se muestra la interacción del ciclo de vida del proyecto;
inicia en la etapa de planificar, hacerlo, verificar y por último cómo se puede
mejorar, mediante el proceso de verificación y retroalimentación.
Por su parte Gido y Clements (2007), sostienen que el ciclo de vida de
un proyecto se desarrolla en cuatro fases, y las organizaciones, personas y
recursos juegan papeles preponderantes en cada una de ellas. Los autores
afirman: que los proyectos “nacen” cuando el cliente identifica la necesidad,
29
problema u oportunidad, y solicita a una persona o grupo de personas la
presentación de una propuesta para solucionar dicha necesidad.
Muchas veces este proceso es llamado solicitud de propuesta, es el
cliente, quien es el encargado del aporte presupuestario, manifiesta los
requerimientos mínimos de la propuesta, su visión y por consiguiente sus
exigencias.
La segunda fase del ciclo según Gido y Clements (2007, consiste en el
desarrollo de una propuesta a la necesidad o problema, para entregar al
cliente, quien deberá evaluarlas y elegir la más conveniente en relación a los
objetivos planteados, para luego proceder al establecimiento del contrato
entre el cliente y los responsables de la propuesta.
La tercera fase la define Gido y Clements (2007) como la
implementación de la solución propuesta, en esta fase se desarrolla el
detalle del plan a seguir y los objetivos para su implantación. Es en esta fase
donde se asignan los recursos económicos, humanos, técnicos, entre otros.
Es la etapa más larga, ya que contempla todo el desarrollo del proyecto
desde la planificación hasta la ejecución y seguimiento.
Según Gido y Clements (2007 la cuarta y última fase es la conclusión
del proyecto, el cierre, donde se confirma que se han entregado todos los
productos al cliente, se han pagado todas las facturas y se han realizado
todos los cobros pendiente, igualmente esta fase, sirve para realizar la
evaluación del proyecto y generar recomendaciones para próximos
proyectos, en otras palabras realizar el proceso de lecciones aprendidas.
30
En el siguiente gráfico 2, se representa el ciclo de vida según Gido y
Clements (2007), en ella se diferencian claramente las cuatro fases del
proyecto, previamente explicadas, como es de esperarse la tercera fase
(implantación del proyecto), ocupa el mayor número de tiempo del proyecto.
Gráfico 2: Ciclo de Vida de un Proyecto.
Fuente: Gido y Clemente (2007)
De los planteamientos realizados por los autores anteriores, coinciden
en que los proyectos inician en la identificación de una necesidad y una
visión de qué se quiere hacer, seguidamente se tiene la elaboración de una
propuesta para satisfacer al cliente, posteriormente se tienen la planificación
y ejecución del proyecto, es en este punto, donde los autores difieren, pues
31
Gido y Clements (2007) sostiene la existencia de una sola fase del proyecto,
al contrario de Chamoun (2002), quien la divide en dos fases separadas.
Según Chamoun (2005), indica que para cerrar el ciclo de vida del
proyecto, se debe hacer un control de las actividades y una
retroalimentación y correcciones de ser necesario, finalmente se ejecuta el
cierre del proyecto.
Por su parte Gido y Clements (2007), sostienen que el ciclo de vida del
proyecto finaliza en el cierre, y es aquí donde se realizan las evaluaciones y
se emiten las recomendaciones futuras.
De lo antes expuesto se puede afirmar, que en el ciclo de vida del
proyecto, todas las etapas son importantes, pero la definición clara del
objetivo o necesidad definirá la pauta de los pasos a seguir, si no se tiene
claro esto en algún momento del proyecto se corre riesgo de tener que
definir nuevamente algunas de las fases siguientes.
El cliente debe manifestar claramente sus requerimientos, para realizar
una planeación ajustada, con objetivos, recursos y tiempo de ejecución bien
definidos. Igualmente debe tener claro la definición de la propuesta y una
planificación detallada que permite que las fases siguientes se completen
satisfactoriamente.
Por lo tanto se concuerda con el Chamoun (2002), en que todo
proyecto debe tener un control en todas sus fases para garantizar la buena
gestión del mismo, no solo en la fase de ejecución.
32
2.2. GESTIÓN DE PROYECTOS.
Para Drudis (2002), la gestión de proyectos consiste en la resolución
de problemas, mediante la descomposición de proyectos en componentes
más simples. Igualmente indica que las técnicas de gestión de proyectos se
enmarcan en el ciclo de vida del proyecto, entre la relación de la
planificación, evaluación, ejecución y el control, con la finalidad de reducir la
incertidumbre y a cumplir con el alcance y los objetivos establecidos
mediante la utilización eficiente de los recursos asignados.
Por otro lado Gido y Clements (2007), indican que la gestión de
proyectos, significa planear el trabajo y después trabajar el plan. El esfuerzo
en la etapa inicial de la gestión de un proyecto debe centrase en establecer
un plan inicial, a fin de lograr el alcance del proyecto a tiempo y dentro del
presupuesto.
El plan inicial del proyecto debe definir claramente el objetivo, dividir y
subdividir el alcance del trabajo, definir quien hará las actividades, elaborar
una estimación de cuánto tomará y cuánto costará. Los autores sostienen
que la gestión efectiva del proyecto se debe medir el avance real y
compararlo con el avance planeado de manera oportuna y regular, y aplicar
la acción correctiva de inmediato, para garantizar la gestión de proyecto.
En el mismo orden de ideas PMBOK (2008), describe la gestión de
proyectos como la serie de procesos y actividades necesarios para
identificar, definir, combinar, unificar y coordinar las distintas actividades de
33
un proyecto. Así mismo engloba la gestión de proyectos como la integración,
consolidación, articulación y acciones de integración que son necesarias
para concluir el proyecto y, al mismo tiempo, cumplir satisfactoriamente con
los requisitos de los clientes y otros interesados, y gestionar las
expectativas.
En este contexto Casal (2006), expone la gestión de proyectos, como
un conjunto de procedimientos explícitos, cuya finalidad es mejorar la toma
de decisiones en relación a las asignaciones de recursos, con la finalidad de
cumplir los objetivos planteados a través de la movilización adecuada de los
recursos disponibles. Igualmente la autora define la existencia de un ciclo
de gestión de proyectos, que supone una atención detallada e integral de las
fases del proyecto, desde su concepción como idea, hasta la evaluación
final.
De estas definiciones se pueden afirmar que la gestión de proyectos
permite integrar todos los elementos del plan de trabajo, para luego realizar
el seguimiento de las acciones ejecutadas hasta completar finalmente su
evaluación de las actividades.
Los autores anteriormente citados, coinciden en que la gestión de
proyectos dependerá de la definición del plan en la etapa temprana del
proyecto y del seguimiento y control durante la ejecución del mismo, para
realizar las correcciones necesarias y lograr los objetivos establecidos en los
tiempos y costos planificados.
34
Así mismo, afirman la importancia de la incorporación de técnicas de
gestión a los proyectos, cualquiera sea su área, esto garantiza el éxito de
los mismos.
2.3. GESTIÓN DE SEGURIDAD DE INFORMACION
Las principales tareas a desarrollar según Camacho (2008) son:
a.- Asegurar que las reglas para el uso de los sistemas de información
estén alineadas con las políticas de seguridad de información establecidas
en las normas.
b.- Asegurar que los procedimientos administrativos para los sistemas
de información estén alineados con las políticas de seguridad de
información.
c.- Asegurar que los proveedores de servicios sigan las políticas de
seguridad de información de la empresa.
d.- Asegurar que la seguridad de la información no se vea
comprometida en el proceso de administración de cambios que se
promulguen en las organizaciones.
e.- Asegurar que las evaluaciones de vulnerabilidades midan la
efectividad de los controles implementados.
f.- Asegurar que los aspectos que no cumplan las normas sean
atendidos oportunamente.
g.- Asegurar que el desarrollo de actividades de seguridad de
información puedan influenciar en la cultura de los empleados y por
35
consiguiente en el comportamiento del personal de la organización siendo
fundamental para el desarrollo de una gestión de seguridad informática.
Alexander (2007), señala que hoy en día, dada la competencia que la
globalización y las nuevas reglas del comercio internacional han generado,
las empresas, no importa su tamaño, la industria en la que estén ubicadas o
su naturaleza, tienen que ser creativas e innovadoras para poder aumentar
su competitividad. Pero una empresa creativa e innovadora no puede
asegurar que sus nuevos diseños prototipos lleguen primero antes que la
competencia al mercado.
Muchas veces sucede que otra empresa se adelanta y sale primero con
el producto al mercado, pero en muchas ocasiones, en la empresa hay fuga
de información y los secretos llegan rápidamente a manos inescrupulosas
que venden esa información al mejor postor.
Para proteger la información en las empresas se debe identificar los
activos de información que tienen impacto en el negocio Alexander (2007),
hacerles un análisis y evaluación de riesgos y decidir cuáles son las
opciones de tratamiento del riesgo a implantar para minimizar las
posibilidades de que las amenazas puedan causar daño y no se penetren a
la organización.
Albert y Dorofree (2003), definen un sistema de gestión de seguridad
de la información como un establecimiento de un sistema que determine que
requiere ser protegido, y porque, de qué debe ser protegido y cómo
36
protegerlo, también Peltier (2003), lo define como la preservación de la
confidencialidad, integridad y disponibilidad de la información.
El modelo ISO 27001:2005 (2009) define como la parte del sistema de
gestión global, basada en una orientación a riesgo de negocio, para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la información. Además de esto, ISO 27001:2005(2009) define
la seguridad de la información como la confidencialidad, integridad, no
repudio y confiabilidad.
Según lo planteado con anterioridad y tomando en consideración las
diversas definiciones, se entiende por gestión de seguridad de la
información al conjunto de procesos necesarios para el cumplimiento de una
meta especifica, que en este caso es la implantación de una arquitectura de
seguridad. Entonces se puede decir que la gestión de seguridad de la
información consiste en la realización de las tareas necesarias para
garantizar los niveles de seguridad informática exigibles en una
organización.
La gestión de seguridad de la información en una organización puede
ser en muchos casos compleja, no tanto desde un punto de vista técnico,
sino más bien desde un punto de vista organizativo. Una organización
necesita identificar y gestionar muchas actividades a fin de funcionar
eficazmente.
Cualquier actividad que utiliza recursos, y que se gestiona con el fin de
permitir que los elementos de entrada se transformen en resultados, se
37
puede considerar como un proceso. Frecuentemente el resultado de un
proceso constituye directamente el elemento de entrada del siguiente
proceso.
El enfoque basado en procesos para la gestión de seguridad de la
información enfatiza la importancia de: la comprensión de los requisitos de
seguridad de la información de una organización y la necesidad de
establecer la política y objetivos para la seguridad de la información así
como también realizar seguimiento y revisar continuamente el desempeño y
por consiguiente la mejora continua con base en mediciones objetivas que
permita la seguridad absoluta.
En este sentido, Camacho (2008), señala que el modelo ISO
27001:2005 está diseñado bajo una óptica de enfoque de procesos. El
proceso de gestión de la seguridad de la información esta conceptualizado
para funcionar en cualquier tipo de organización, operando bajo el enfoque
de procesos. El sistema está concebido para que opere con base en
insumos provenientes de clientes, proveedores, usuarios, accionistas, socios
y otras partes interesadas.
La norma exige que el mecanismo de retroalimentación para controlar
el desempeño de la gestión de seguridad de la información se establezca y
se diseñe la métrica por medio de indicadores para poder medir su
respectivo desempeño. El enfoque también contempla los recursos que
deben ser provistos para que las operaciones internas funcionen
adecuadamente.
38
El modelo ISO 27000:2005, en su óptica de procesos, también permite
que cada organización influencie el desempeño del modelo a través de
consideraciones estratégicas, tales como objetivos y políticas particulares de
la misma.
2.3.1. REGLAS PARA EL USO DE LOS SISTEMAS DE INFORMACION
Asegurar que las reglas de uso de los sistemas de información cumplan
con las políticas de seguridad de información, garantiza una buena gestión
de seguridad de la información contemplando contar con procesos eficiente
en esta área.
Los aspectos a tomar en cuenta incluyen la identificación de la
importancia de los activos de información, la necesidad de seguridad de los
datos, definición de la sensibilidad y criticidad de los mismos, su
confidencialidad, integridad y disponibilidad.
Las políticas deben ser consistentes y mapeadas con algún estándar,
tal como el ISO/IEC 17799 visto en el marco de referencia.
Este estándar puede servir como checklist para asegurar que todos los
tópicos de seguridad sean cubiertos en sus distintas fases etapas y
procedimientos.
Debe tenerse en cuenta que el diseño de una estrategia de seguridad
puede ser el vehículo más importante para contar con la participación de la
alta gerencia de estas organizaciones, obteniendo consenso y soporte para
39
el programa de seguridad, necesarios si se desean políticas de seguridad
efectivas.
2.3.2. PROCEDIMIENTOS ADMNISTRATIVOS PARA LOS SISTEMAS DE
INFORMACION
Al contar con una política aprobada por la alta gerencia, con los roles y
responsabilidades asignados, se torna imprescindible contar con
procedimientos y estándares de gestión.
Estos procedimientos se desarrollan para definir los pasos mínimos
necesarios para desarrollar las bases de seguridad, métricas y
requerimientos específicos de los sistemas.
Es crítico que el administrador de seguridad de información trabaje y
coordine de cerca con los administradores de sistemas operativos,
aplicativos, redes y correo, para asegurar de esta manera que los
procedimientos administrativos cumplan con las políticas de seguridad de la
información.
Los procedimientos administrativos pueden abarcar en algunos casos
los pasos necesarios para las solicitudes, autorizaciones, creación de
usuarios, y su revisión periódica, transferencias y terminación.
Estos procesos pueden ser desarrollados manualmente o de manera
automatizada; sin embargo cada proceso debe cumplir con los estándares
de seguridad asociados a la realidad de la organización poniendo en
40
práctica el cumplimiento de las políticas y procedimientos de seguridad de la
institución.
2.3.3. PROVEEDORES EXTERNOS
Las organizaciones a menudo cuentan con servicios brindados por
departamentos, divisiones y proveedores externos. El administrador de
seguridad de la información debe tomar las medidas necesarias para
garantizar que los proveedores acaten las políticas de seguridad de
información de la organización.
Es necesario contar con controles que minimicen el riesgo al que se ve
expuesta la empresa frente a proveedores externos, que acceden de
manera directa o indirecta a la información de la misma.
Define Camacho (2008), que el administrador de seguridad de
información debe comunicar a los proveedores de las políticas de seguridad
de la institución, y obtener de ellos un acuerdo escrito de confidencialidad,
dado que la mayoría de las veces la información confidencial se puede ver
expuesta.
Generalmente este aspecto, así como otros niveles de servicio se
establecen en un contrato firmado entre el proveedor y las empresas u
organizaciones.
2.3.4. USO DE MÉTRICAS PARA MEDIR, MONITOREAR Y REPORTAR
41
El empleo de métricas para medir, monitorear y reportar la efectividad y
eficiencia de los controles de seguridad de información, así como las
políticas de seguridad de información es una tarea continua que debe
desarrollar el administrador de seguridad de información en una
organización.
Adicionalmente, el monitoreo permite realizar los cambios que sean
necesarios, dado que los sistemas de información y recursos de información
constantemente cambian.
Por lo expuesto, la herramienta más efectiva para gestionar el
programa de seguridad es el empleo de métricas.
El administrador de seguridad de la información debe contar con una
metodología completa y formal para medir la efectividad del programa de
seguridad desde todas sus perspectivas.
Según Camacho (2008) en el diseño de métricas, una buena base debe
ser establecida. Buenas métricas deben ser específicas, medibles,
alcanzables, repetitivas y dependientes del tiempo. Luego, las métricas
pueden ser usadas para medir el progreso.
El administrador de seguridad de información debe contar con un
proceso de revisión periódica de las métricas, reportándose cualquier
actividad inusual. Un plan de acción para reaccionar a estas actividades
debe ser desarrollado.
2.3.5. GESTION DE CAMBIOS
42
Según Camacho (2008), el administrador de seguridad de información debe
implementar mecanismos de control en donde la seguridad sea considerada
en cada proceso de cambio que se efectúe.
La seguridad debe ser monitoreada y mantenida constantemente, en la
medida que nuevas vulnerabilidades pueden ser introducidas en los
sistemas, como resultado de cambios y/o actualizaciones. Un riesgo común
es el desarrollo o implementación de una nueva aplicación que accede la
red. Si los sistemas de comunicaciones de datos no cumple con los
requerimientos de seguridad, surgen nuevos riesgos para los recursos de
información.
A medida que se realizan cambios en los sistemas y procesos en el
tiempo, existe a menudo una tendencia a que los controles de seguridad se
vuelvan menos efectivos. Por ello, el administrador de seguridad de
información debe tener participación activa en los cambios, para asegurar
que no surjan nuevas vulnerabilidades.
Del mismo modo es importante mantener actualizados los controles de
seguridad como resultado de los cambios.
2.3.6. EVALUACION DE VULNERABILIDADES
La evaluación de vulnerabilidades es una de las herramientas vital en
la medición de la efectividad del programa de seguridad de la información.
La evaluación de vulnerabilidades típicamente incluye: la revisión de
controles de seguridad para determinar si existen vulnerabilidades; prueba
43
de controles en curso para determinar su efectividad; pruebas de
penetración para localizar vulnerabilidades; desarrollo de recomendaciones
para reducir las vulnerabilidades y mejorar la seguridad; seguimiento de los
progresos; debilidades en los sistemas operativos; deficiencias en las redes;
aplicaciones (incluyendo bases de datos, aplicaciones web, correo, etc.),
definido de esta forma por Camacho (2008)
En algunas ocasiones es recomendable contratar los servicios de
terceros para realizar estas evaluaciones. Esto brinda un punto de vista
independiente y objetivo de las posibles vulnerabilidades que enfrenta. Estas
evaluaciones deben incluir recomendaciones para mitigar las
vulnerabilidades detectadas.
Las evaluaciones de vulnerabilidades son útiles para determinar las
debilidades en un sistema, pero es importante tener en mente que la
mayoría de veces existirá una amenaza que explote una vulnerabilidad y
causará un impacto.
2.3.7. ASPECTO DE NO CUMPLIMIENTO
Para asegurar que aspectos de no cumplimiento sean resueltos de
manera oportuna, el administrador de seguridad de la información debe
emplear procesos específicos. Dependiendo en qué tan significativo sea el
riesgo, varios puntos de vista podrían aplicarse. Dependerá del
administrador de seguridad de información emplear la mejor alternativa. Si
44
un aspecto de no cumplimiento encierra un riesgo serio, es obvio que la
resolución debe ser rápida.
Generalmente se lleva una bitácora de estos aspectos de no
cumplimiento, registrando las responsabilidades asignadas y los eventos
ocurridos.
Estos aspectos pueden ser identificados por medio de distintos
mecanismos tales como: monitoreo; reportes de auditoría; revisiones de
seguridad; y escaneo de vulnerabilidades.
2.3.8. CULTURA, COMPORTAMIENTO Y EDUCACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
Para Camacho (2008) la capacitación y educación en temas de
seguridad puede influenciar en la cultura y comportamiento del personal y se
vuelve un factor crítico para el éxito de un programa de seguridad.
Esta educación y capacitación incluye varios aspectos, desde
especialización del personal de seguridad, a habilidades generales para
todo el resto del personal de la organización. La Gerencia debe tener
conocimiento claro de su cultura y de la actitud de las personas
responsables de la seguridad de la información. El proceso de educación y
capacitación debe ser un proceso continuo, teniendo el administrador de
seguridad la responsabilidad de que sea desarrollado de la mejor manera y
cumpliendo las normas establecidas.
45
2.3.9. ESTABLECIMIENTO DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
Según Veiga (2009), para ello se debe definir el alcance y los límites
de la gestión de seguridad de la información en términos de las
características del negocio, la organización, su ubicación, activos,
tecnología, incluyendo los detalles y la justificación; como también se hace
necesario el hecho de crear políticas en base a la organización, que
permitan elaborar objetivos y de esta forma establecer un sentido de
dirección general y principios para la acción con relación a la seguridad de la
información.
Continuando con el establecimiento de un sistema de gestión de
seguridad de la información, es fundamental identificar una metodología de
cálculo de riesgo adecuado para poder medir el grado de vulnerabilidad,
amenaza e impacto de los mismos en los procesos y procedimientos de los
activos de la organización pudiendo entonces nivelar el impacto comercial
que traería el aumento de estos riesgos.
2.3.10. IMPLEMENTAR Y OPERAR UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
Según Veiga (2009), se debe formular un plan de tratamiento de
riesgo que identifique la acción gerencial apropiada, los recursos, las
responsabilidades y prioridades para manejar los riesgos de la seguridad de
la información, pudiendo así implementar el plan de tratamiento de riesgo
46
para de esta forma lograr los objetivos de control identificados en la fase de
establecimiento de un sistema de gestión de seguridad de la información, los
cuales incluyen tener en consideración el financiamiento y asignación de
roles y responsabilidades dentro de un modelo de gestión de seguridad de la
información.
Se debe definir cómo medir la efectividad de los controles o grupos de
controles seleccionados y especificar cómo se va a utilizar estas mediciones
para evaluar la efectividad del control para producir los resultados
comparables y reproducibles,
Además de implementar programas de capacitación, que permitan
establecer un conocimiento ideal para indagar en nuevos procedimientos
así, como otros controles capaces de permitir una pronta detección de
riesgos y respuestas a incidentes de seguridad que permita evitar la pérdida
de la información.
2.3.11. MONITOREAR Y REVISAR EL SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
Indica Veiga (2009), que se debe detectar prontamente los errores en
los resultados de procedimientos e identificar prontamente los incidentes y
violaciones de seguridad fallidos como exitosas, de esta manera pudiendo
entonces permitir a la gerencia determinar si las actividades de seguridad
delegadas a las personas o implementadas mediante la tecnología de
información se está realizando como se esperaba.
47
Sin embargo, un punto que debe ser tomado en cuenta durante todo
el proceso del modelo es realizar revisiones regulares de la efectividad del
sistema de gestión de seguridad de la información, incluyendo satisfacer la
política y objetivos de seguridad del mismo, además de revisar los controles
de seguridad, tomando en cuenta los resultados de auditores externos e
internos, incidentes, mediciones de seguridad, sugerencias y
retroalimentación de todas las partes interesadas.
2.3.12. MANTENER Y MEJORAR EL SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
Según Veiga (2009), se deben tomar las acciones correctivas y
preventivas que permitan a la organización determinar la acción para
eliminar la causa de las no conformidades potenciales, con los
requerimientos del sistema de gestión de seguridad de la información para
evitar su ocurrencia.
Las acciones preventivas tomadas deben ser apropiadas para el
impacto de los problemas potenciales, incluyendo que las mismas se deben
determinar en base a los resultados de la evaluación del riesgo.
Además se deben comunicar los resultados a todas las partes
interesadas, con un nivel de detalle apropiado de acuerdo a las
circunstancias y cuando sea relevante, acordar como proceder para
asegurar que las mejoras logren sus objetivos señalados en la fase de
48
establecimiento de la gestión de la seguridad de la información, esto se dará
siempre y cuando se revisen la efectividad del modelo de gestión.
2.4. RIESGOS EN LA SEGURIDAD DE LA INFORMACION
El autor Camacho (2008), comenta que el objetivo de la administración
de riesgos es identificar, cuantificar y administrar los riesgos asociados a la
seguridad de información, con el fin de cumplir con los objetivos de negocio.
Se puede mencionar cinco tareas principales dentro del proceso de
administración de riesgos:
a.-Desarrollo de un proceso sistemático, analítico y continuo de
administración de riesgos.
b.-Garantizar que la identificación de riesgos, su análisis y mitigación,
se encuentren integrados al ciclo de vida de los procesos de negocio.
c.-Aplicar metodologías de análisis e identificación de riesgos.
D.-Definición de estrategias para mitigar los riesgos a niveles
aceptables para la institución financiera.
e.-Reportar cambios significativos en el riesgo a la gerencia, para tomar
las decisiones que sean necesarias.
Por otra parte Amoroso (2004) define el Riesgo como la combinación
de una amenaza que aprovecha alguna vulnerabilidad de un activo para
impactarlo y causarle daño.
Según los autores el riesgo es un proceso que asegura que el impacto
de las amenazas al explotar las distintas vulnerabilidades se deben
49
encontrar en un nivel aceptado para la organización, incluyendo los costos
asociados. A este nivel, esto se obtiene balanceando la exposición al riesgo
con la implementación de controles de distintos tipos, sean por ejemplo
administrativos o tecnológicos.
Para el caso especifico de las organizaciones, generalmente el riesgo
es la probabilidad de que un evento o transacción produzca pérdida
monetaria, daño a la imagen, su personal y a sus activos. Se puede resumir
el concepto en la siguiente ecuación:
Riesgo Total= Amenazas x Vulnerabilidad x Valor del Activo
El riesgo es parte de la vida diaria de una empresa y por tanto es poco
práctico pretender eliminarlo, por lo que todas poseen un nivel de riesgo que
aceptan. Una forma para establecer el nivel aceptable de riesgo es
determinando un punto óptimo donde los costos de las pérdidas se sopesen
con el costo de los controles. Algunas estrategias que pueden adoptar para
tal fin son: Dar fin a la actividad que origina el riesgo; Transferir el riesgo;
Reducir el riesgo empleando mecanismos de control; Aceptar el riesgo.
Es importante que una empresa cuente con un perfil de riesgo de su
negocio. No existen modelos completos pero el dividir de manera lógica las
áreas de riesgo de la organización, facilita el poder concentrarse en
estrategias y decisiones para administrarlos. Asimismo permite desarrollar e
implementar medidas que sean relevantes y económicamente convenientes
para la mitigación de los riesgos.
50
Para desarrollar un programa de administración de riesgos, se debe
emplear y adaptar un modelo referencial. En el marco de referencia se
expone el estándar australiano AS/NZS 4360:2004, el cual en la actualidad
es el más conocido y difundido en administración de riesgos.
Empleando COBIT y su plataforma para el análisis de riesgos, se
puede valorar los activos, evaluar sus vulnerabilidades, amenazas, riesgos,
para luego aplicar medidas de control que dejen un riesgo residual, al cual
luego se le puede aplicar un plan de acción.
La valoración de los activos suele ser compleja, por tanto debe
realizarse de manera cuidadosa, pues a partir de ella se determinarán las
medidas de control para cada activo en particular.
El primer paso de este proceso suele ser la identificación y clasificación
de los recursos de información. La clasificación busca obtener el nivel de
sensibilidad de los activos, siendo generalmente una tarea compleja. Se
puede emplear como criterio de clasificación el costo de reemplazo de un
activo: esto se aplica especialmente a los activos tangibles (hardware por lo
general).
La valoración de datos e información se convierte en un aspecto
bastante subjetivo. Por tanto es importante que la valoración incluya siempre
como criterio el daño producto de la exposición de información a riesgos con
niveles no aceptables para la empresa.
51
Algunos ejemplos típicos de activos asociados con información y
tecnología son: Información y datos; hardware; software; servicios;
documentos; personal.
Algunos ejemplos típicos de amenazas son: Errores; Accidentes; daño
malicioso; eventos naturales (terremotos por ejemplo); fraude; robo; fallas
de equipos y/o software; Pérdida de servicios (energía eléctrica por
ejemplo).
Mientras que algunos ejemplos de vulnerabilidades son: software
defectuoso; Equipos configurados erróneamente; Diseño de red equivocado;
personal insuficiente; tecnología no probada; transmisión de información en
medios inseguros.
El punto clave en la administración de riesgos es la mitigación o
procesos de tratamiento (cómo el riesgo evaluado es tratado en la
organización). Los elementos de control que deben ser considerados
pueden ser preventivos o detectivos, manuales o automatizados.
En resumen, el proceso de administración de riesgos consiste en tomar
decisiones de negocio. El impacto de ataques y el nivel de riesgo aceptable
para situaciones específicas, se convierten en una decisión fundamental de
acuerdo a políticas de la organización.
2.4.1. PROCESO DE ADMINISTRACIÓN DE RIESGOS
Los procesos deben ser diseñados de tal manera que puedan ser
monitoreados en cuanto a su seguridad.
52
Las Organizaciones usualmente deben usar algunas de las siguientes
técnicas en este proceso:
a.- Identificar el perfil de riesgo de la organización.
b.- Entender y documentar la naturaleza y extensión de los riesgos a
los que está expuesta la institución.
c.- Identificar prioridades en la administración de riesgos, lo cual se
obtiene mediante la: identificación de la probabilidad de ocurrencia de las
amenazas. Tambien es necesario la identificación del valor cuantitativo
(monetario) y cualitativo (efecto) de la información o recurso crítico y
vulnerable.
d.- Determinación del impacto en el negocio si la vulnerabilidad es
explotada con éxito.
Se debe tener un entendimiento preciso de las necesidades de
confidencialidad, integridad y disponibilidad de los recursos de información.
Es necesario tener un conocimiento en detalle de los procesos de
negocio y determinar qué recursos de información son críticos para cada
línea de negocio en una institución.
Esta información se puede obtener en charlas con los dueños de cada
proceso de negocio, documentación de procesos, y charlas con los gerentes
de área.
No se podrá definir adecuadamente qué tan críticos son los recursos
hasta que no se tenga detalle de los procesos de negocios a los que dan
soporte.
53
2.4.2. INTEGRACIÓN EN EL CICLO DE VIDA DE LOS PROCESOS DE
INFORMACION
Asegurar que la identificación de riesgos, análisis y actividades de
mitigación estén integradas en el ciclo de vida de los procesos, es un tarea
importante en la gestión de seguridad de información.
Desde que los recursos de información van cambiando, surgen nuevas
vulnerabilidades, lo cual implica una variación en el riesgo asociado. Por
ello, es necesario realizar un seguimiento a estos cambios para adoptar las
medidas necesarias en caso el riesgo tienda a aumentar.
Cada empresa debe implementar procedimientos personalizados de
gestión de cambios en los recursos de información para mantener siempre
controlado el nivel de riesgo expuesto de los mismos. Es recomendable que
estos procedimientos sean clasificados por línea de negocio y/o áreas
dentro de la organización.
Integrando la identificación de riesgos, análisis y actividades de
mitigación en ciclo de vida de los procesos, se estará asegurando que la
información crítica sea adecuadamente protegida.
Este es un aspecto proactivo, que permitirá planear e implementar
políticas de seguridad y procedimientos alineados con los objetivos y el
fundamento del negocio así como también los objetivos de la organización a
largo plazo.
54
Debido a que la administración de riesgos es un proceso continuo, éste
debe ser visto como un ciclo de vida. Al aplicar una administración de
riesgos basada en ciclos de vida, se optimizan costos, lo que una evaluación
total de riesgos no permitiría. Por el contrario, las actualizaciones permiten
la evaluación de riesgos y su administración, como un proceso periódico.
2.4.3. IDENTIFICACIÓN DE RIESGOS Y MÉTODOS DE ANÁLISIS
La identificación de riesgos y métodos de análisis permiten un diseño e
implementación de estrategias para mitigar la exposición al riesgo de la
información más crítica.
Los métodos de identificación de riesgos deben incluir:
a.- Examinar los recursos de información de todas las áreas de la
empresa, de manera sistemática y objetiva.
b.- Una actitud proactiva antes que reactiva.
c.- Sintetizar todas las fuentes de riesgo para la información, tanto
internas como externas.
Un primer paso es realizar un mapeo de riesgos o una evaluación
macro de las amenazas más importantes para estas organizaciones. Se
debe reiterar que esta actividad debe realizarse de manera continua.
Una gran variedad de riesgos pueden ser identificados, por lo que es
necesario establecer qué riesgos serán objetivos de administración.
Métodos técnicos que incluyan el uso de software, so posibles de
emplearse para identificar y hacer seguimiento a los riesgos. Para la
55
aplicación de un análisis de riesgos y métodos de identificación, se debe
preparar un plan de acción detallado, definir requerimientos de recursos, y
establecer un presupuesto que permita desarrollar las tareas más
importantes.
2.4.4. MITIGACIÓN DE RIESGOS
Cuando los riesgos que amenazan han sido identificados y priorizados,
se plantean las estrategias de seguridad y se priorizan las opciones para
mitigarlos. Los controles incluyen:
a.- Controles preventivos, para reducir las vulnerabilidades y hacer que
un ataque fracase o reducir el impacto del mismo.
b.- Controles correctivos para reducir el impacto.
c.- Controles detectivos, para descubrir ataques anticipadamente, y
aplicar los controles preventivos o correctivos.
Existen herramientas y procesos diversos para mitigar los riesgos
dentro de la organización de una institución financiera. Debe hacerse un
balance entre las opciones disponibles y lo que las empresas están
dispuestas a aceptar. Para esto se consideran los costos e impactos en las
empresas, siempre garantizando que los procesos de negocios no se vean
afectados. El costo de un control nunca debe exceder el beneficio esperado.
Algunas de las medidas eficientes que pueden emplearse para mitigar
riesgos son: medidas de seguridad en aplicaciones; seguridad física;
56
controles de acceso lógico; controles de acceso a las redes; firewalls;
sistema de detección y prevención de intrusos; procesos de administración
de crisis; seguridad inalámbrica; encriptación; antivirus.
2.4.5. CAMBIOS SIGNIFICATIVO EN LOS RIESGOS
Es de primordial reportar cambios significativos en los riesgos a los
responsables de la gestión de seguridad de la información en una empresa.
A medida que ocurren cambios, la evaluación de riesgos debe ser
actualizada para asegurar su efectividad y eficiencia.
Para administrar adecuadamente los riesgos, es necesaria una
adecuada documentación. Las decisiones en relación a la documentación y
su extensión implicarán costos y beneficios. La política de administración de
riesgos debe definir la documentación que sea necesaria.
Específicamente en cada etapa del proceso, la documentación debe
incluir: objetivos; audiencia; recursos de Información; decisiones.
El documento de políticas de administración de riesgos puede incluir
información como:
a.- Objetivos de la política para administrar los riesgos.
b.- Relación entre la política de administración de riesgos, la estrategia
y los planes de negocio.
c.- Extensión y rango de aspectos a los cuales aplica la política.
d.- Guía para catalogar riesgos aceptables.
e.- Responsables de la administración de riesgos.
57
f.- Nivel de documentación requerido.
g.- Plan de revisión de la política de administración de riesgos.
Una documentación típica de administración de riesgos debe incluir
como mínimo lo siguiente:
a.- Un registro por riesgo: asimismo, para cada riesgo identificado
registrar lo siguiente: fuente de origen del riesgo; naturaleza del riesgo;
controles existentes; consecuencias y probabilidad de ocurrencia; nivel de
riesgo inicial; vulnerabilidad a factores internos y externos.
b.- Un plan de mitigación y acciones para los riesgos, detallando lo
siguiente: Identificación del responsable de la implementación del plan;
recursos a utilizarse; presupuesto asignado; cronograma de implementación;
detalle de controles; frecuencia de revisión; documentos de monitoreo y
auditoria, que deben incluir: resultados de revisiones y auditorias, y otros
procedimientos de revisión relacionado con los riesgos.
Seguimiento y recomendaciones de implementaciones.
2.5. NORMA BS 7799.
Desarrollado por el British Standards Institute (Reino Unido) en el año
de 1995. Ampliamente aceptado y utilizado como base para elaborar otros
estándares de seguridad de información, por lo que ha sido como base para
el desarrollo de ISO 17799.
58
Está organizado en diez secciones, cubriendo cada una un área
distinta (aspectos organizacionales, aspectos técnicos, aspectos de
instalaciones).
Gráfico 3: Secciones del BS 7799 Fuente: NORMA BS 7799
En el gráfico 3 se pueden apreciar las secciones del BS 7799 Se puede
apreciar a partir de la leyenda las distintas secciones del BS 7799,
empezando por los aspectos organizacionales, hasta llegar a los aspectos
operacionales.
La versión actual del estándar tiene dos partes
a.- BS7799-1: 1999 Information Security Management. Code of Practice
for Information Security Management: es una guía que contiene consejos y
59
recomendaciones para asegurar la seguridad de información de una
organización de acuerdo a diez campos de aplicación.
b.- BS7799-2: 1999 Information Security Management Specification for
Information Security Management Systems: consiste en recomendaciones
para establecer un efectivo Sistema de Administración de Seguridad de
Información (ISMS).
Este estándar cubre las necesidades de organizaciones de todo tipo,
privadas y públicas. Será de gran interés para cualquier organización que
almacene información confidencial en sistemas internos o externos, y que
dependa de éstos para el normal desarrollo de sus operaciones.
Gráfico 4: Grado de exposición de un sistema de información. Fuente: NORMA BS 7799
60
En la Gráfico 4 se puede observar el grado de exposición de un
sistema de información y el riesgo asociado en cada uno de los niveles
desde el nivel más bajo hasta el nivel definido como alto, en el caso de una
empresa del sector telecomunicaciones, que es un servicio y se puede
apreciar que es alto en vista al nivel de información que en ella se maneja y
los altos requerimientos de confidencialidad que se exigen.
Por tanto, podemos observar que este estándar encierra aspectos
importantes para la gestión de la seguridad de la información que estamos
planteando para una organización, más aún sí como sabemos el riesgo de
los sistemas de información es alto.
2.6. NORMA ISO 17799
El enorme éxito que tuvo el estándar BS 7799 hizo que hoy en día sea
aceptado internacionalmente y publicado como ISO 17799, siendo una
norma de suma importancia en las organizaciones.
Es importante mencionar que el estándar ISO 17799 no está destinado
a ser usado como una normativa de administración de calidad a diferencia
del ISO 9000.
Esencialmente el ISO 17799 es un estándar de seguridad, centrado
principalmente en requerimientos de control y dividido en diez secciones.
En el Gráfico 5 se aprecian las secciones del ISO 17799, las cuales
reflejan claramente la influencia del BS 7799 y cada una de las etapas
inmersas en esta norma.
61
Gráfico 5: Secciones del ISO 17799. Fuente: Norma ISO 17799
A continuación se describe cada sección y las acciones involucradas
para asegurar el cumplimiento de sus objetivos:
Políticas de Seguridad: la administración define en sus políticas de
seguridad una dirección estratégica para la seguridad de la información y
demuestra su respaldo y compromiso. Una política de seguridad
documentada y aplicada es el núcleo vital para la aplicación de un ISMS5.
62
Organización de la seguridad: La organización de la seguridad significa
principios y procedimientos para administrar la seguridad de la información.
Los principales objetivos de esta sección son:
a.- Administrar la seguridad de la información dentro de la organización
b.- Mantener la seguridad de la información de la organización cuando
es posible acceder a ella mediante elementos externos, como resultado de
algunas facilidades brindadas.
c.- Mantener la seguridad de la información de la organización cuando
la responsabilidad de su procesamiento se ha encargado a un ente externo.
d.- Clasificación y Control de Activos: para proteger activos de
información primero se debe elaborar un inventario de todos los activos de
información dentro de la organización para así clasificarlos por grado de
importancia, y en función a ello asignar acciones de protección a los
mismos.
Por tanto el principal objetivo de esta sección es: o Mantener la
apropiada protección de los activos corporativos y asegurar que los activos
de información reciban el apropiado nivel de protección.
Seguridad de Personal: se intenta reducir los riesgos por errores
humanos, robo, fraude o abuso de facilidades.
El entrenamiento del personal es vital para el adecuado entendimiento
de la seguridad de la información y el compromiso que ella requiere,
promoviendo un comportamiento adecuado. Por tanto, los principales
objetivos de esta sección son:
63
a.- Asegurar que los usuarios estén alerta de las amenazas de la
seguridad de la información.
b .- Equipamiento adecuado de los usuarios para respaldar las políticas
de seguridad de la organización en el curso de un normal desarrollo de
trabajo.
c.- Minimizar los daños frente a incidentes de seguridad, fallas, etc.,
buscando aprender de ellos.
Seguridad Física y Ambiental: áreas seguras previenen accesos no
autorizados, daños, interferencia en las premisas de negocios. Además
protegen de pérdidas de activos de información, y finalmente de
interrupciones propias del negocio.
Por lo tanto el principal objetivo de esta sección es:
a.- Prevenir el robo de información
Administración computacional y de redes: los principales objetivos de
esta sección son:
a.- Asegurar un procesamiento de información seguro
b.- Mitigar las fallas de sistema.
c.- Proteger la integridad del software y la información relacionada al
mismo.
d.- Asegurar la disponibilidad e integridad del procesamiento de
información y los servicios de comunicación.
e.- Proteger la seguridad de información en las redes y su
infraestructura
64
f.- Prevenir daños a los activos de información y asegurar la
continuidad de los procesos de negocio.
g.- Prevenir la pérdida, modificación y uso indebido de la información
que es compartida entre organizaciones.
Control de acceso a los sistemas: los principales objetivos de esta
sección son:
a.- Controlar el acceso a la información.
b.- Prevenir accesos no autorizados a los sistemas de información.
c.- Asegurar la protección de los servicios de red.
d.- Prevenir accesos no autorizados a las computadoras.
e.- Detectar actividades no autorizadas.
f.- Asegurar la seguridad de información cuando se usa tecnología
móvil y demás facilidades de red.
Desarrollo y Mantenimiento de Sistemas: los principales objetivos de
esta sección son:
a.- Asegurar qué criterios de seguridad se tienen en cuenta al momento
del desarrollo de sistemas.
b.- Prevenir la pérdida, modificación o mal uso de la data de los
usuarios en las aplicaciones de sistemas.
c.- Proteger la confidencialidad, autenticidad e integridad de la
información.
d.- Asegurar que los proyectos de TI y sus actividades relacionadas
sean conducidas de manera segura.
65
Administración de Continuidad de Negocios: esta sección señala las
acciones correctivas y preventivas que deben tomarse en cuenta para hacer
frente a interrupciones que afecten las actividades de negocio y para
proteger los procesos críticos de negocio de los efectos, fallas o desastres
mayores.
Cumplimiento de requerimientos legales: esta sección busca reducir las
brechas que pudieran existir en cuanto a obligaciones contractuales y
regulatorias. Asimismo se busca cumplir con las políticas y estándares
previamente establecidos por el ente regulador.
2.7. NORMA ISO/IEC 27000.
ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO
(International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco legal de
implementación de un proceso de seguridad de la información utilizable por
cualquier tipo de organización, pública o privada, grande o pequeña de
cualquier ramo.
Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión
general de las normas que componen la serie 27000, una introducción a los
Sistemas de Gestión de Seguridad de la Información, una breve descripción del
ciclo Plan-Do-Check-Act y términos y definiciones que se emplean en toda la
serie 27000, como se detalla en el gráfico 6 desde 1995 se inicio el desarrollo
de la norma ISO27001.
66
Gráfico 6: Historia de ISO 27001. Fuente: www.ISO27000.es
Entre los beneficios que brinda la norma ISO/IEC 27000, se pueden citar:
• Establecimiento de una metodología de gestión de la seguridad clara y
estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y
confidencialidad comercial.
67
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del
sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO
14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad
intelectual y otras.
• Confianza y reglas claras para las personas de la organización, reducción de
costes, mejora de los procesos y servicio, aumento de la motivación y
satisfacción del personal.
Una de las bases fundamentales sobre las que iniciar un proyecto de
implementación de un sistema de seguridad de la información es el apoyo
claro y decidido de los niveles gerenciales de las empresas del sector
telecomunicación, es de suma importante el compromiso de todos los factores
de la organización.
No sólo por ser un punto contemplado de forma especial por la norma
sino porque el cambio de cultura y concienciación que lleva consigo el proceso
hacen necesario el impulso constante del directorio de estas empresas, como
se evidencia en el gráfico 7.
68
Gráfico 7: PLAN, DO, CHECK, ACT de ISO 27001. Fuente: www.ISO27000.es
2.8. REQUERIMIENTOS PARA LA GESTIÓN DE SEGURIDAD DE
INFORMACIÓN
En todo proyecto que busca gestionar y que plantea conseguir un
objetivo final se presentan una serie de requerimientos y que según Gido y
Clements (2007), indican que estos requerimientos son de tipo: humano,
técnicos y económicos,
69
2.8.1. REQUERIMIENTOS HUMANOS
Estos requerimientos están asociados al equipo de trabajo, ya que las
personas son el principal factor para lograr el objetivo del proyecto, en
relación en este tema Gido y Clements (2007), definen al equipo del
proyecto como un grupo de personas que trabajan de manera
independientemente para lograr el objetivo final. La efectividad o la falta de
ésta pueden hacer la diferencia entre el éxito y el fracaso de un proyecto.
2.8.2. REQUERIMIENTOS TÉCNICOS
Los requerimientos técnicos están asociados a la implantación de
herramientas, técnicas y software de gestión de proyectos destinados a
facilitar la elaboración, seguimiento y control de los indicadores del mismo.
Respecto a este tema, Davidson (2005), presenta tres instrumentos de
trabajo que satisfacen las necesidades para programar cualquier proyecto,
desde el más simple hasta el más complejo. Estos instrumentos son: la
estructura de análisis de trabajo (EDT), el diagrama de Gantt y la Red de
planificación.
Davidson (2005), describe la estructura de análisis del trabajo, como
una formulación descendente de la manera en que las tareas del proyecto
encajan dentro de su estructura general.
Igualmente, el autor plantea la necesidad del manejo de técnicas de
gestión por parte de los integrantes del proyecto, de esta forma, el autor
propone la utilización de las redes PERT (Program Evaluation and Review
70
Techinique): técnica de evaluación y revisión de programas y el método de
la ruta critica (CPM) hacen uso de un diagrama de red para mostrar el flujo
secuencial y las interrelaciones de las actividades. Las redes PERT / CPM
son muy útiles para planificación, porque obligan al equipo de trabajo a
identificar cuidadosamente las tareas que deben realizarse y la interrelación
existente entre ellas.
Por su parte el PMBOK (2008) propone la utilización de varias
técnicas que permiten la gestión de proyectos, estas son:
Metodología de Dirección de Proyectos: se define un proceso que
contribuye a que un equipo de dirección del proyecto desarrolle y controle
los cambios en el plan de gestión del proyecto.
Sistema de Información de la gestión de proyectos: el equipo de
dirección del proyecto usa el sistema de información de la gestión; un
sistema automatizado, para respaldar la generación del plan de gestión del
proyecto, facilitar los comentarios a medida se desarrolla el documento,
controlar los cambios y publicar el documento aprobado de tal manera todo
el equipo pueda contar con el flujo de la información.
Sistema de Gestión de la Configuración: es un subsistema del sistema
de información de la gestión de proyectos general. El sistema incluye el
proceso para presentar los cambios propuestos, realizar el seguimiento de
sistemas para la revisión y aprobación de los cambios propuestos, definir los
niveles de aprobación para autorizar los cambios y proporcionar un método
para validar los cambios aprobados.
71
Sistema de Control de Cambios: conjunto de procedimientos formales
documentados que definen cómo se controlan, se cambian y se aprueban
los productos entregables y la documentación del proyecto. El sistema de
control de cambios es un subsistema del sistema de gestión de la
configuración.
2.8.3. REQUERIMIENTOS ECONÓMICOS
Los requerimientos económicos según Gido y Clements (2007), son
todos aquellos relacionados a la gestión de costos, para ello los autores
proponen distintas herramientas para su gestión, entre las cuales se tienen:
Costo total presupuestado (CTP): es la asignación de los costos
totales del proyecto para los distintos elementos, como mano de obra y
materiales a los paquetes de trabajo apropiados, según la EDT.
Costo acumulado presupuestado (CAP): Refleja la sumatoria de los
costos presupuestados para cada período establecido.
Costo acumulado real (CAR): Refleja la sumatoria de los costos reales
por periodo para todo el proyecto.
Valor devengando acumulado (VDA): Es el resultante de la
multiplicación de cada porcentaje de culminación por cada CTP para cada
paquete de trabajo.
Así mismo, los autores proponen una técnica de control
presupuestario, mediante la cual se realiza, una comparación del costo real
con el costo presupuestado, esta comparación se efectúa utilizando
72
sistemas que incluyan desde procedimientos y formas para recabar datos,
hasta una estructura de contabilidad del proyecto con base a la estructura
de división de trabajo de cada fase, de modo que cada elemento del costo
real pueda cargarse al paquete de trabajo apropiado, y así completar la
comparación.
Por su parte Chamoun (2004), sostiene que los proyectos tienen
requerimientos económicos y los mismos deben ser analizados en base a:
Presupuesto Base: Es una grafica del presupuesto acumulado a lo
largo del tiempo.
Se desarrolla mediante la aplicación de la técnica de valor ganado,
mide el desempeño del proyecto tanto en tiempo como en costo, aquí se
muestran las obligaciones financieras que serán asumidas por el proyecto y
servirá como la base para medir el desempeño.
Para la aplicación eficiente de esta técnica se debe definir el valor
planteado lo más cercano posible a la realidad, ya que la comparación de
este versus el ganado indicará si el proyecto se encuentra dentro o fuera del
presupuesto.
De los planteamientos realizados por los autores expuestos en la
definición de los requerimientos, se puede decir que los recursos humanos,
los técnicos y los económicos tienen relación preponderante en la gestión de
los proyectos, ya que, de no contar con un equipo de trabajo comprometido
con el objetivo del proyecto la aplicación de las técnicas y el control del
presupuesto no se realizará eficientemente.
73
En este orden de ideas, de presentarse el caso de contar con un
equipo de trabajo alineado a los objetivos del proyecto, pero que desconoce
de técnicas y herramientas gerenciales, la gestión del proyecto se verá
comprometida, por el riesgo de la toma de decisiones erradas. Finalmente
de contar con un equipo de trabajo comprometido y que maneje las técnicas
de gestión de proyectos, si las mismas no son aplicadas a gestión del costo,
se pueden perder la inversión inicial y comprometer la rentabilidad del
proyecto.
2.9. MODELO
Para Peteiro (2005), es la representación de un sistema, formado por
distintos elementos interrelacionados tales como: persona, equipos,
productos, tareas, materiales, documentación, software, hardware, entre
otros. En tal sentido, un modelo describe el sistema, cómo funciona, cómo
se controla, y que produce. El mismo debe permitir: mejorar el diseño del
sistema, facilitar la integración de nuevos sistemas o la mejora de los
existentes, servir de documentación de referencia para la comprensión de
los sistemas y facilitar la comunicación entre las personas participantes del
diseño y funcionamiento de los sistemas.
Por otro lado, Islas y Pesas (2004), definen el modelo como
representaciones idealizadas de eventos físicos en la naturaleza,
construidos por el hombre de ciencias ante la necesidad de solventar
aquellos problemas que se presentan en el mundo; dichos modelos se
74
elaboran a la luz de una teoría, la formulación se realiza desde un marco
conceptual y metodológico y desde estas delimitaciones los investigadores
deciden las variables a tomar en cuenta y cuales despreciar según el
análisis que realizan.
Sobre la base de lo antes referido, se puede afirmar que la formulación
de los modelos surge como una propuesta explicativa a un fenómeno que
acontece en la naturaleza, por tal motivo un modelo no cubre la totalidad de
los aspectos del sistema real representado, sino aquello cuya relevancia a la
luz de la teoría hace referencia a ese sistema.
En la base de lo expuesto, Peteiro (2005), define el modelo
básicamente como una representación de un sistema, en este sentido Islas y
Pesas (2004), definen como representaciones idealizadas de eventos físicos
en la naturaleza, en consecuencia se puede afirmar que ambos autores
coinciden en la definición de los modelos, pues los ubican como
representaciones de un hecho.
2.9.1. TIPOS DE MODELO
Al estudiar los modelos; se hace necesario estudiar sus características
y tipos, la variedad de los mismos dependerán del criterio de cada autor y
del análisis que este .
A continuación se enumeran los tipos de modelos según López (2005)
basado en Pentin (2003), quien afirma que los mismos pueden ser
clasificados según su empleo.
75
Modelo replicas: pretenden copiar al referente de manera analógica, es
decir, reproducciones a escala, ejemplo de estos modelos son las maquetas,
los maniquíes y los mapas
Modelo figurativos: son aquellos que utilizando formas, figuras, signos y
conceptos que combinados pueden representar objetos y procesos
naturales, ejemplos de estos modelos son la representación de los circuitos.
Modelos formales: se refieren a los modelos con un alto grado de
abstracción sintética, y su pretensión de representación rigurosa y exacta,
ejemplo de estos, son los físicos, matemáticos y los computacionales.
Por su parte Eppen (2003), clasifica los modelos en dos grandes
grupos, los físicos y los simbólicos, a continuación la descripción de cada
uno de estos tipos de modelos:
Modelo físico: son sistemas que representan a una escala determinada
una realidad específica, por ejemplo; el modelo de un avión. Los análogos
representan un conjunto de relaciones a través de un medio diferente, por
ejemplo; el velocímetro de un automóvil representa el desplazamiento
análogo de una aguja sobre una escala determinada.
Modelo simbólico: representado por variables cuantitativamente
definidas y todas sus relaciones pueden tener una representación
matemática en lugar de física o por analogía, los físicos crean modelos
cuantitativos del universo y los economistas de la economía.
En el mismo orden de ideas Prawda (2004), hace referencia en la
construcción de modelos según su nivel de abstracción:
76
Modelo icónicos: son aquellos donde ocurre la representación exacta
de la realidad que muchas veces aparecen en la misma dimensión del
objeto o a escala.
Modelos análogos: no son una representación exacta de los objetos
reales, sino que hacen sustituciones de las partes representadas.
Modelo simbólicos: se componen de juegos de símbolos y objetos que
representan fenómenos reales.
A pesar de lo expresado por López (2005) y Prawda (2004), al
momento de afirmar la existencia de tres tipos de modelos.
Eppen (2000), afirma que solo existen dos. Sin embargo los autores
coinciden en las definiciones de los modelos físicos, concretos y las replicas
representan la escala de un objeto de la realidad y los simbólicos, abstractos
y los figurativos son la representación de un concepto basados en figuras.
Por lo descrito anteriormente se afirma que para el desarrollo de esta
investigación de un Modelo para la gestión de proyectos, se tomarán en
cuenta los modelos simbólicos, por su particularidad para representar
gráficamente los hechos o fenómenos y sus relaciones.
2.9.2. CARACTERISTICAS DE LOS MODELOS
Prawda (2004), indica que las características de los modelos según su
tipo, son los siguientes:
a.- Representan una realidad exacta o a escala que permiten inferir el
problema y formular hipótesis para su solución.
77
b.- Describe una realidad simplificándola. Los modelos dan una imagen
sintética sin considerar todas las variables que se dan en los fenómenos,
solo las más importantes.
c.- Los modelos son un conjunto de enunciados teóricos sobre las
relaciones entre las variables que caracterizan un fenómeno.
Por su parte López (2005), sostienen como característica principal de
los modelos es la representación de la realidad, bien sea de manera
figurativa o en forma de réplica.
El fenómeno es captado casi en su totalidad, fiel a la realidad o de
manera formal, donde la realidad se plasma de una manera abstracta para
representar enunciados e hipótesis que permiten explicar el fenómeno en
estudio.
Tomándose en consideración las características presentadas
anteriormente, se pueden indicar como principal de los modelos, la de
representar una descripción de una realidad simplificada.
De las definiciones planteadas por los autores citados anteriormente se
puede notar la coincidencia de ambos autores en que la característica
principal de los modelos es la representación de la realidad, bien sea de
forma figurativa mostrando todos o parte de los componentes de la misma, o
de forma abstracta mostrando las variables de la realidad, luego de que se
realiza un análisis completo de la situación.
Para la investigación en curso se tomara la definición de modelo, como
una representación grafica del proceso de gestión de proyectos.
78
2.10. FASES DEL MODELO PARA LA GESTIÓN DE PROYECTOS
A lo largo de esta investigación se ha explicado en detalle lo referente
a los proyectos, sus características, elementos y requerimientos, con la
finalidad de describir que es la gestión de proyectos y poder elaborar un
modelo que permita obtener los resultados deseados en el tiempo y costo
planificado, con los recursos asignados garantizando la satisfacción del
cliente.
Referente al temo Gido y Clements (2007), como se mencionó
anteriormente sostienen que la gestión de proyectos significa plantear el
trabajo y después trabajar el plan.
Los autores, indican que la gestión de proyectos se basa
fundamentalmente en la aplicación de conocimientos, habilidades y técnicas
a las actividades de un proyecto para satisfacer los requisitos del cliente,
mediante la integración de otras áreas de la organización durante los
procesos de planificación, ejecución, seguimiento, control y cierre.
Por su parte, Chamoun (2002), sostiene que la gestión de proyectos
busca lograr con la integración de las organizaciones y las personas hacia
un objetivo común: el objetivo del proyecto, coincidiendo con lo afirmado por
Gido y Clements (2007), recomienda aplicar la gestión en los cinco (5)
procesos del proyecto: inicio, planificación, ejecución, control y cierre.
A pesar de las diferencias presentadas entre los autores en cuanto al
nombre de los procesos del proyecto, según lo plasmado en la teoría
anterior se puede afirmar la coincidencia entre ambos planteamientos, ya
79
que para Gido y Clements (2007), el inicio entra en la fase de planificación y
para Chamoun (2002), el seguimiento del proyecto entra en la fase de
control, para esta investigación las fases de la gestión de proyectos serán la
aplicación de técnicas y herramientas de gestión a los procesos de
planificación, ejecución, control y cierre.
2.10.1. FASE DE PLANIFICACIÓN DE PROYECTOS
Palacios (2005), plantea que así como planificar tiene una serie de
aspectos favorables, es importante señalar que también tiene limitaciones; a
saber:
a.- Depende de la calidad y cantidad de información disponible.
b.- Para hacer una buena planificación se requieren habilidades para
pronosticar situaciones desconocidas.
c.- Puede crear una falsa sensación de seguridad de las previsiones,
por lo que, deben ser manejadas con precaución.
d.- puede generar inflexibilidad para asumir los cambios.
De igual forma Palacios (2005), plantea que en materia de
planificación, en primer lugar se debe analizar en el área del manejo de los
principales procesos: la planificación, delimitación del alcance y la creación
de la EDT.
Siguiendo el tema, Gido y Clements (2007), señalan algunos elementos
a definir en la etapa de planificación, de la que se conoce como la primera
fase, los mismos son los siguientes:
80
Planificación del Alcance: es el primer proceso de la planificación,
donde se definen el objetivo del proyecto, es decir, el resultado esperado o
el producto final, así como la definición de la delimitación del trabajo que
forma parte y el que no forma parte del proyecto.
Estructura Detallada de Trabajo: consiste en dividir en piezas o partes
manejables para asegurar que se identifiquen todos los elementos
necesarios para completar el alcance del proyecto.
Matriz de Responsabilidad: es utilizado para mostrar, en formato de
tabla, a los responsables de la realización de los elementos de trabajos en la
EDT, es aquí donde se asegura la asignación adecuada de los roles.
Definición de Actividades: en los proyectos la actividad es una pieza de
trabajo definida y que consume tiempo, por medio de ellas se permite
establecer las fechas de inicio y terminación del proyecto.
Programación de Actividades: es el proceso de ensamblaje de la red de
trabajo, donde se indican los períodos de inicio y terminación de cada
actividad y del proyecto en general.
De los planteamientos anteriores, se puede definir entonces la etapa de
planificación, como el proceso de elaboración del plan de trabajo integrando
las estrategias y las herramientas de gestión para definir cómo se van a
lograr los objetivos del proyecto.
Los autores, anteriormente citados concuerdan en que la planificación
depende de la definición efectiva del alcance del proyecto y del aporte que
los gerentes puedan definir previamente.
81
2.10.2. FASE DE EJECUCION DE PROYECTOS
Luego de finalizada la fase de planificación del proyecto, inicia la fase
de ejecución, donde se inicia la implantación de las actividades
mencionadas en la fase anterior, sin embargo, Chaumon (2002), plantea que
la ejecución comienza durante el desarrollo de la planeación, así mismo el
autor plantea seis (6) aspectos o herramientas que no deben ser
descuidadas en la ejecución de los proyectos, las cuales se citan a
continuación:
a.- Confirmar el grado de compromiso de cada miembro del equipo.
b.- Establecer las reglas de juego del equipo previo a la ejecución.
c.- Acordar la forma de dar y recibir retroalimentación.
d.- Adoptar guías y técnicas que ayuden al equipo para resolver los
problemas sin desgaste.
e.- Establecer guías y normas para el manejo de reuniones de trabajo.
f.- Crear un listado de asuntos pendientes por resolver y discutir en las
reuniones de trabajo.
Por su parte, Drudis (2002), sostiene que la fase de ejecución
comprende las actividades de dirección que conducen a la realización del
proyecto, entre las cuales destacan:
a.- Asegurar la satisfacción del cliente o usuario del producto, mediante
la precepción de las necesidades.
b.- Dirigir y controlar las actividades necesarias para completar el
producto.
82
c.- Negociar con los suministros de los componentes del producto para
obtener las cantidades, costes y plazos apropiados.
d.- Preparar el entorno de ejecución del proyecto, que comprende la
definición del sistema de información y la estructura organizativa.
El autor sostiene, que la aplicación de herramientas, técnicas y
software permiten realizar de forma eficiente gestión en la fase de
ejecución.
Por lo antes expuesto, se puede definir la fase de ejecución como el
conjunto de acciones necesarias para poner en práctica el plan del proyecto,
inicia desde la fase de planificación, por lo que, una planificación detallada y
efectiva permite asegurar el éxito de las fases subsiguientes.
2.10.3. FASE DE CONTROL
Inicialmente se debe definir el proceso de control, para García (2006),
se inicia con la identificación del estándar, el cual servirá para definir el
patrón de comparación, es decir, en primer lugar se debe definir el plan.
Seguidamente el autor propone la mediación de resultados, mediante la
aplicación de una unidad de medida, que deben definirse de acuerdo con
sus características propias, estas medidas pueden ser cualitativas o
cuantitativas dependiendo de las actividades.
La comparación es la tercera fase del proceso de control, y ocurre una
vez completada la medición, es en esta fase cuando se evalúa los
resultados de la medición con los estándares establecidos, para pasar a la
83
siguiente fase la cual consiste en la detección de desviaciones y generar el
reporte con las mismas.
Luego de detectadas estas desviaciones sigue la fase de corrección, la
cual es la base del proceso de control pues, realizar las correcciones
oportunamente permite evitar las desviaciones de tiempo y costo finales del
proyecto.
Finalmente García (2006), propone para cerrar el proceso, la fase de
retroalimentación, en la cual se inicia nuevamente el ciclo para realizar
revisiones a las actividades con las correcciones ejecutadas.
En el mismo orden de ideas, el autor indica que la implantación del
control requiere contar con los siguientes requerimientos:
a.- Controlar con objetivos o estándares estables.
b.- Que el personal comprenda y este de acuerdo con los controles.
c.- Que los resultados finales de cada actividad se establezcan en
relación con los objetivos.
d.- Evaluar la efectividad de los controles.
De lo antes expuesto se puede notar que el autor hace hincapié en
detectar las desviaciones y corregirlas, pues en eso está basado el proceso
de control como tal.
Por su parte Palacios (2005), indica que controlar un proyecto implica
medir y reportar el avance de los principales parámetros. Esto significa
presentar la descripción de las actividades ya realizadas en el punto de
control y estimar lo que falta por hacer.
84
El autor plantea que en la fase de control se debe ejecutar los
siguientes elementos:
Variables a Controlar: las principales variables a medir en el proyecto
deben ser el avance del proyecto, el consumo de presupuesto e indicadores
de calidad de lo ejecutado.
Equipo Medidor: debe existir un equipo encargado de tomas las
mediciones, para medir el avance físico o financiero del proyecto en el
tiempo, se utilizan preferiblemente las mediciones en campo.
Rango de Decisión: se debe definir los estándares de comparación, ya
que, se debe determinar que desviaciones pueden ser aceptables en el
avance físico y financiero de un proyecto.
Equipo Ejecutor: un sistema efectivo de control de proyectos requiere
de un equipo ejecutor que pone en marcha las acciones correctivas.
En el mismo orden de ideas, el autor sostiene que tener el plan del
proyecto facilita el proceso de control, ya que se cuenta con las
herramientas previstas para el manejo del tiempo, los costos, la
comunicación y el manejo efectivo de los cambios.
Esta afirmación concuerda con lo expuesto por Munch García (2006),
en su planteamiento de gestión de proyectos, ya que proponen la utilización
del control como herramienta principal, aunado a la definición precisa del
alcance.
Para esta investigación, la fase de control y seguimiento, comienza con
el establecimiento de un plan inicial (fase de planificación), que será
85
concebido como el plan del proyecto, con un tiempo y presupuesto
estimado.
Una vez iniciado el proyecto (fase de planificación), se definen los
períodos de comparación entre el avance real con el avance planificado
donde se permite evaluar la realidad.
El control del proyecto se mantiene a lo largo de la fase de ejecución
del ciclo de vida del proyecto, realizando un seguimiento continuo a las
actividades.
2.10.4. FASE DE CIERRE DE PROYECTO
La fase de cierre del proyecto la describe Gido y Clements (2007),
como la fase de terminación, la misma inicia cuando el desempeño del
proyecto se completa, y el resultado es aceptado por el cliente.
En tal sentido, los autores afirman que para cumplir el cierre del
proyecto se deben completar dos evaluaciones, una interna y otra externa.
Internamente se deben evaluar: los desempeños técnico, de costos, del
programa, la planeación y control del proyecto, las relaciones con el cliente y
con los proveedores, las relaciones entre los miembros del equipo, la
comunicación, la identificación y solución de problemas y emitir
recomendaciones.
De forma externa, se debe realizar una retroalimentación con el cliente,
evaluar su nivel de satisfacción, el mismo puede evaluarse mediante
reuniones directas.
86
Por su parte el proceso de cierre del proyecto, según el PMBOK (2008),
incluye finalizar todas las actividades completadas a lo largo de todas las
fases del proyecto.
Este proceso también establece los procedimientos para coordinar las
actividades requeridas para verificar y documentar los productos entregables
del proyecto, coordinar e interactuar para formalizar la aceptación de estos
productos entregables por parte del cliente e investigar y documentar las
razones por los cuales se realizaron ciertas acciones si un proyecto se da
por finalizado antes de completarlo.
Para completar ésta fase de cierre el PMBOK (2008); propone dos
procedimientos para establecer las interacciones necesarias para las
actividades de cierre a lo largo de todo el proyecto o de una fase:
Procedimiento de Cierre Administrativo: este proceso de cierre incluye
las actividades integradas requeridas para recopilar los registros del
proyecto, analizar el éxito o el fracaso del proyecto y determinar las
conclusiones necesarias para sus respectivos análisis.
Reunir las lecciones aprendidas y archivar la información del proyecto,
para su uso futuro por parte de la organización.
Procedimiento de Cierre del Contrato: este procedimiento implica tanto
la verificación del producto (trabajo completado de forma correcta y
satisfactoria) como el cierre administrativo (actualización de registros de
contrato para reflejar los resultados finales y archivo de esa información
para su uso futuro).
87
Los términos y condiciones del mismo pueden establecer
especificaciones determinantes para su cierre, que deben ser parte de este
procedimiento.
La finalización anticipada de un contrato es un caso especial de cierre
del contrato que podría suponer la incapacidad para entregar el producto,
una desviación del presupuesto o la falta de los resultados requeridos.
Los autores coinciden en sus planteamientos de validar la entrega de
productos en el cierre, todo esto con la finalidad de satisfacer los
requerimientos iníciales realizados por el cliente.
3. BASES LEGALES
Las variables de estudio de la presente investigación está
representada por la necesidad de un Modelo para la Gestión de Proyectos
de Seguridad de la información en las empresas del sector
telecomunicaciones, esta variable se define conceptualmente y
operacionalmente.
3.1. DEFINICIÓN CONCEPTUAL DE LA VARIABLE
Por ser una variable compuesta, se define a través de sus partes:
Citando en primer lugar a Peteiro (2005), quien define un modelo como
la representación de un sistema, formado por distintos elementos
interrelacionados tales como: personas, equipos, productos, tareas,
materiales, documentación, software, entre otros.
88
Por otra parte, Drudis (2002), define la gestión de proyectos, como la
resolución de problemas, mediantes la descomposición de proyectos en
componentes más simples.
Igualmente indica que las técnicas de gestión de proyectos se
enmarcan en el ciclo de vida del proyecto, entre la relación de la
planificación, evaluación, ejecución y el control, con la finalidad de reducir la
incertidumbre y a cumplir con el alcance y los objeticos establecidos
mediante la utilización eficiente de los recursos asignados.
Por consiguiente es necesario definir Seguridad de la información,
según la NORMA ISO 17799, como todas aquellas medidas preventivas y
reactivas del hombre, de las organizaciones y de los sistemas tecnológicos
que permitan resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma.
De lo expuesto por los autores Peteiro (2005) y Drudis (2002), se
define conceptualmente el modelo para la gestión de proyectos, como un
sistema formado por distintos elementos interrelacionados tales como:
personas, equipos, productos y tareas, haciendo uso eficiente de los
recursos para culminarlos dentro del alcance, tiempo y costos definidos.
3.2. DEFINICION OPERACIONAL DE LA VARIABLE
Considerando la gestión de proyectos como una herramienta gerencial
en las organizaciones, se percibe el modelo para la gestión de proyectos de
seguridad de la información, como el proceso de planeación, ejecución,
89
control y cierre de proyectos de seguridad de la información, como el
conjunto adecuado de controles que abarca la implementación de políticas
de seguridad, procedimientos y diseño de una arquitectura para la gestión y
resguardo de los sistemas de información.
Adicionalmente teniendo claro el propósito de alcanzar el objetivo final
de contar con un modelo de gestión de proyectos de seguridad de la
información en un plazo de tiempo y costo especifico, mediante la
optimización de recursos ya sea humano, técnico, económico y tecnológico
en las empresas del sector telecomunicaciones.
90
3.3.- Tabla de Operacionalización de la Variable.
OBJETIVO GENERAL: Proponer un modelo para la gestión de proyectos de seguridad de la información en las empresas del sector telecomunicaciones.
OBJETIVOS VARIABLE DIMENSIONES INDICADOR
Diagnosticar la situación actual de la gestión de proyectos de seguridad de la información en las empresas del sector telecomunicaciones en el estado Zulia.
MODELO PARA LA GESTIÓN DE PROYECTOS DE SEGURIDAD DE
LA INFORMACIÓN
Situación actual de la gestión de proyectos de seguridad de la información.
• Identificación de amenazas. • Detección de vulnerabilidades. • Registro de ataques • Análisis de controles. • Determinación de probabilidades • Plan de acción • Identificación de impacto
Identificar los riegos presentes en los proyectos de Seguridad de la información en las empresas del sector telecomunicaciones.
Riesgos en los proyectos de seguridad de la información.
• Perdida de información • Confidencialidad de la información • Integridad de la información • Disponibilidad de la información
Determinar los requerimientos para la gestión de seguridad de la información en las empresas del sector telecomunicaciones en el estado Zulia.
Requerimientos para la gestión de seguridad de la información.
• Humanos • Técnicos • Económicos • Tecnológicos
Establecer las fases del modelo para la gestión de proyectos de seguridad de la información en las empresas del sector telecomunicaciones.
Fases del modelo para la gestión de proyectos.
• Planificación • Ejecución • Control • Cierre
Diseñar el modelo para la gestión de proyectos de seguridad de la Información en las empresas del sector telecomunicaciones en el estado Zulia.
Se alcanza con el logro de los objetivos anteriores.
Fuente: Rincón (2013)
91
3.4.- Categoría de Análisis.
OBJETIVO GENERAL: Proponer un modelo para la gestión de proyectos de seguridad de la información en las empresas del sector telecomunicaciones.
OBJETIVO DOCUMENTAL CATEGORÍA SUBCATEGORÍA UNIDAD DE ANÁLISIS
Analizar las normas internacionales sobre la seguridad de la Información.
Normas Internacionales
• Norma BS 779 • Norma ISO 17779 • Norma ISO / IEC 27000
• Procesos • Análisis • Comunicación • Uso adecuado • Diferencias • Documentación
Fuente: Rincón (2013)