T2: Propuesta de proceso de gestión de ciber seguridad en la gestión de proyectos de TI

En base a lo estudiado en el curso y a su experiencia como jefe de proyectos de TI, trabaje en grupo del Taller Integral para desarrollar el área de
conocimientos numero 11: 14. Gestión de la Seguridad

Ejemplo

Inicio Planificación Ejecución Control Cierre

14. Gestión de la 14.2 Planificar un 14.3 Ejecutar plan 14.4 Monitoreo 14.5 Cierre y
Seguridad de la 14.1 Definir los plan de mitigación de mitigación. de plan de evaluación del plan
Información datos. ante ciber mitigación. de mitigación.
ataques.

Inicio: 14.1 Definir los datos sensibles para el proyecto.

Entradas Técnicas & Herramientas Salidas

• Políticas de empresa de información • Normativas y regulaciones vigentes (ISO • Definición SLA corporativo
sensible 27001) • Clasificación de Datos
• Organigrama • Reuniones • Matriz de riesgo
• Acta de inicio • Juicio experto • Responsable en escalamiento de
• Leyes y regulaciones • Análisis de Riesgos. incidentes.
• Listado de activos.

Inicio: 14.2 Planificar un plan de mitigación ante cyber ataques

Entradas Técnicas & Herramientas Salidas

• Matriz de riesgo • Consultoría • Plan de mitigación de riesgos.
• Responsable en escalamiento de incidentes
• Reuniones • Plan de escalamiento.
• Matriz de comunicaciones.
• Clasificación de los datos de acuerdo a riesgos.
• Revisión Presupuesto • Documentación requisitos de seguridad
• Documentación de requisitos de seguridad. • Multicriterio para toma de decisiones • Plan de capacitación para equipo de
• Plan de concienciación. proyecto.
• Gobernante

Inicio: 14.3 Ejecutar plan de mitigación.

Entradas Técnicas & Herramientas Salidas

• Plan de seguridad • Ética hacking • Informe de vulnerabilidades

• Plan de capacitación • Control del presupuesto • Reporte de información sensible
• Plan de escalamiento • Auditoria • Registro cumplimiento del plan de
• Matriz de comunicaciones • Plan de pruebas seguridad.
• Políticas de seguridad • Reuniones • Registro de capacitación.
• Análisis de datos • Cumplimiento SLA del proyecto.

Inicio: 14.4 Monitoreo de plan de mitigación

Entradas Técnicas & Herramientas Salidas

• Reporte información sensible • Reuniones • Reporte de incidentes

• Informe de Vulnerabilidades • Análisis de data • Indicadores SLA
• Cumplimiento SLA del proyecto. • Diseño de Dashboard • Actualización al plan de mitigación
• Informe de rendimiento. • Auditoria

Inicio: 14.5 Cierre y evaluación del plan de mitigación.

Entradas Técnicas & Herramientas Salidas

• Plan de mejora continua • Reuniones • Acta de cierre

• Informe de cumplimiento del plan de • Análisis de cumplimiento de plan de • Acta de lecciones aprendidas
seguridad seguridad • Actualización de políticas de seguridad
• Indicadores SLA • Herramientas para toma de
decisiones
Fases Procesos Entradas
- Framework de referencia
- Políticas y normativas empresariales
14.1 Definición del marco de referencia de seguridad - Lista de lecciones aprendidas de proyectos anteriores
de la información - Activos críticos de información
- Alcance del proyecto (seguridad)
Inicio - Requisitos de infraestructura y seguridad
- Levantamiento de usuarios para la creación de perfiles
- Definición de data sensible
14.2 Levantamiento y análisis de riesgos
- Registro de riesgos
- Análisis de posibles vulnerabilidades
- Plan de pruebas de vulnerabilidad
- Estrategia de mitigación y alta disponibilidad
14.3 Definir plan de seguridad de la información
- Plan de capacitación a usuarios finales
- Plan de prevención ante incidentes
Planificación
- Construir SLA para estimar tiempos de configuración de
14.4 Definir costo para el aseguramiento de la perfiles, roles y rutas dentro del proyecto
seguridad de la información - Estudio de alcance en infraestructura y software mínimos
para el aseguramiento de información
14.5 Implementar Plan de seguridad de la
Ejecución - Ejecutar el plan de seguridad de la información
información
- Reporte de incidentes de seguridad
14.6 Control de riesgos y monitoreo de - Reporte de alerta de rendimiento de los software y hardware - Análisis a reportes obtenidos
Control
vulnerabilidades - Reporte de métricas de seguridad
14.7 Revisión y actualización continua de la - Plan de pruebas de vulnerabilidad
Cierre
documentación relacionada - Estrategia de mitigación y alta disponibilidad
Técnicas y Herramientas
- Juicio de expertos
- Control de documentos
- Análisis de requerimientos de seguridad
- Matriz de clasificación de riesgos
- Análisis de requerimientos de seguridad
Costo
- Análisis de los datos de la compañía.
- Clasificación de los activos críticos
- Establecer casos en que se presentará
indisponibilidad de servicio.
- Cuantificar los activos y procesos críticos.
- Análisis de costo de software y hardware
de seguridad.
- Evaluación a SLA obtenidos para definir
procedimiento de perfilamiento, roles y
rutas de usuarios para el proyecto
- Comité de riesgo TI de la organización.
- Incentivo para mejorar el plan de
seguridad de la información dentro del
negocio.
- Comunicaciones y publicaciones de
mejores prácticas de seguridad de la
información.
- Auditoría de seguridad
- Comité de revisión
- Evaluación de documentación para
mejora contínua
Salidas
- Informe marco de referencia para iniciar la gestión
- Registro de activos y procesos susceptibles a amenazas y
vulnerabilidades
- Política general para la aplicación de seguridad de la
información.
- Plan de recuperación de la infraestructura y sistemas.
- Plan de mitigación de riesgos.
- Reporte de métricas de seguridad.
- Plan de seguridad de la información
- Informe del costo de software y hardware de seguridad
- Procedimiento para perfilamiento, roles y rutas para el
proyecto
- Registro de cumplimiento de la política de seguridad de la
información.
- Informe de la gestión de vulnerabilidades durante el
proyecto
- Plan de ejecución de seguridad del proyecto
- Actualización de plan de mitigación de riesgos.
- Análisis del impacto de los incidentes al negocio.
- Reporte de medición del rendimiento de los software y
Hardware.
- Plan de mejora continua del control de riesgos
- Acta de lecciones aprendidas.
- Informe final con resultado de aplicación del plan.
- Actualización de la documentación de seguridad.
14.1 Identificar
14.2 Planificar la 14.3 14.4 Controlar y 14.5 Cierre y
riesgos y
gestión de Implementar monitorear el aceptación del
requerimientos
seguridad de la plan de gestión plan de gestión área/comité de
de seguridad de
información e de seguridad de de seguridad de seguridad de
información e
infraestructura la información la información información
infraestructura

Inicio Planificación Ejecución Control Cierre

ID Entradas Técnicas y Herramientas Salidas

14.1 • Identificación de los riesgos • Matriz de riesgo. • Listado y clasificación de

Inicio e información a procesar.
• Requisitos de seguridad de
infraestructura.
• Documento de casos de
negocio.
• Documento de
requerimientos del
proyecto.
• Leyes y regulaciones.
• Análisis de datos críticos.
14.2 • Políticas de seguridad internas
Planificación y externas (nube y ambiente
local).
• Listado y clasificación de
riesgos.
• Clasificación de los datos.
• Documento de requisitos del
proyecto.
• Definición de estándares de
diseño de seguridad (nube,
encriptación de datos, etc).
• Definición de criterios de
aceptación de seguridad.
• Identificación de costos de HW
y SW.
• Plan de integración ambiente
"on premise" y "cloud".
• Planificación de capacitación
para el cumplimiento de
política de seguridad.
• Matriz de interesados del
proyecto.
• Norma PCI. riesgos.
• Políticas de seguridad • Clasificación de los datos.
normativa. • Documento de requisitos
• Metodología de evaluación del proyecto.
cualitativa y cuantitativa. • Informe de activos y
• Control de documentos. procesos críticos.
• Información de legislación
tributaria.
• Gestión del alcance y de los • Plan de seguridad del
cambios. proyecto.
• Análisis de estándares de • Plan de mitigación de
seguridad. riesgos.
• Aplicación de definiciones de la • Plan de pruebas.
política de seguridad. • Plan de entrenamiento y
• Recopilación y análisis de adopción de seguridad de
requerimientos. información.
• Análisis y revisión de "Total • Documento de diseño de
Cost Ownership" (TCO). seguridad.
• Análisis y revisión de • Planificación del
“Budget/Forecast”. presupuesto.
• Reuniones internas y con • Plan de manejo de
proveedor de cloud. contingencias.
• Ambientes de prueba. • Reporte de conformidad
de ambientes.
 ID Entradas
14.3 • Plan de seguridad del proyecto.
Ejecución • Plan de mitigación de riesgos.
• Plan de pruebas.
• Planificación del presupuesto.
• Listado y clasificación de
riesgos.
• Plan de gestión para el gobierno
del dato.
14.4 • Plan de seguridad del proyecto.
Control • Plan de entrenamiento y
adopción de seguridad de la
información.
• Plan de manejo de
contingencias.
• Planificación del presupuesto.
• Listado de procesos críticos
• Clasificación de los datos.
14.5 • Informe de cumplimiento de
Cierre indicadores KPIs.
• Reporte de incidencias.
• Plan de manejo de
contingencias actualizado.
• Reporte de medición de
rendimiento de SW y HW.
• Informe de prueba de
continuidad de negocio.
• Plan de mejora continua.
• Planificación del presupuesto
actualizado.
Técnicas y Herramientas Salidas
• Revisión y corrección de • Informe de riesgos
vulnerabilidades del actualizado.
producto. • Informe de
• Juicio de expertos para vulnerabilidades.
validación del producto. • Informe con
• Análisis de los datos funcionalidades no
entregados. aceptadas o con fallas
• Reuniones con equipo de (Punch List).
trabajo. • Planificación del
• Revisión lineamientos con presupuesto actualizado.
equipo de trabajo. • Aceptación del área
• Inspección de código interesada.
(Kiuwan, Fortify, JMeter,
Ethical Hacking).
• Resolución y seguimiento
de casos (Jira,
Confluence).
• Reuniones de seguimiento • Informe de cumplimiento
de avance. de indicadores KPIs.
• Auditoría de seguridad de • Reporte de incidencias.
la información. • Plan de manejo de
• Indicadores críticos contingencias actualizado.
(PowerBI). • Reporte de medición de
• Registrar y controlar rendimiento de SW y HW.
incidencias (Jira, • Informe de prueba de
Confluence). continuidad de negocio.
• Reuniones con PMO. • Plan de mejora continua.
• Pruebas de continuidad de
negocio.
• Reuniones con equipo de • Aceptación del producto.
trabajo. • Informe de
• Reuniones con funcionalidades no
interesados. aceptadas o con fallas
• Comité de presupuesto. completado (Punch List).
• Comité de arquitectura. • Plan de mantenimiento y
• Actualización de soporte.
documentación • Estrategia de monitoreo.
(Confluence). • Acuerdos de servicio.
• Registro de actividades. • Lecciones aprendidas.
• Capacitación de usuarios.
• Aceptación de los
interesados.
• Plan de mejoras para el
equipo de trabajo.
• Evaluación del proveedor.
• Informe de cierre.
 14. Gestión de la Seguridad de la Información
Fase Proceso Entradas Técnicas y herramientas Salidas
Inicio 14.1 Recopilación, • Normas ISO 27.001 • Juicio experto • Línea base de gestión de los riesgos de la
análisis y gestión del • Guía de desarrollo de software para • Recopilación de datos información
plan de seguridad de organismos públicos (2018) • Análisis de datos
la información • Decretos de Ciberseguridad (CSIRT Chile) • Clasificación de datos
• Acta de constitución del proyecto • Identificación de amenazas
• Plan de dirección del proyecto • Reuniones
• Lineamientos políticos vigentes • Habilidades interpersonales y de equipo
• Registro de interesados del proyecto
• Informe de alcance del proyecto
Planificación 14.2 Planificación de • Línea base de gestión de los riesgos de la • Juicio experto • Plan de gestión de seguridad de la
gestión de seguridad de información • Análisis de costos información
la información • Informe de proyección de costos • Análisis de datos • Actualización de plan de costos
• Informe técnico de arquitectura tecnológica • Estrategias de gestión de riesgos de la • Métricas de seguridad de la información
• Políticas y estándares de ciberseguridad información
• Plan para la dirección del proyecto • Habilidades interpersonales y de equipo

Ejecución 14.3 Ejecutar plan de • Plan de gestión de seguridad de la • Juicio experto • Informe pruebas de seguridad
gestión de seguridad de información • Habilidades interpersonales y de equipo • Informe con recomendaciones de mejoras
la información • Plan para la dirección del proyecto • Metodologías de detección de • Actualización de plan de dirección de
vulnerabilidades proyecto
Monitoreo 14.4 Monitorear plan de • Plan de gestión de seguridad de la • Juicio experto • Actualización de plan de mejora continua
gestión de seguridad de información • Reuniones • Actualización de plan de gestión de
la información • Datos de eficiencia de la ejecución del • Auditorías riesgos del proyecto
trabajo • Registro de control de cambios
• Documentos del proyecto
Cierre 14.5 Cierre y • Plan de gestión de seguridad de la • Análisis y evaluación de datos • Actualizar plan de seguridad de la
evaluación de plan de información • Reuniones de cierre información
gestión de seguridad de • Plan de costos actualizado • Acta de cierre
la información • Registro de control de cambios • Lecciones aprendidas
• Plan para la dirección del proyecto
• Plan de gestión de riesgos actualizado
• Plan de mejora continua actualizado
Área de Conocimiento: 14. Gestión de la Seguridad

Inicio Planificación Ejecución Control Cierre

14.1 Planificar la 14.4 Implementar la 14.5 Monitorear los
Gestión de Respuesta a los Riesgos y
Ciberseguridad Riesgos de Vulnerabilidades de
Ciberseguridad Ciberseguridad
14.2 Identificar los
Riesgos y
Vulnerabilidades de
Ciberseguridad
14.3 Planificar la
respuesta a los
Riesgos de
Ciberseguridad
 Fase Procesos Entradas Herramientas y Técnicas Salidas

Inicio

Planificación 14.1 Planificar la Gestión de - Acta Constitución de Proyecto - Juicio Expertos - Plan de riesgos de Ciberseguridad
Ciberseguridad - Registro Interesados - Reuniones con área Ciberseguridad
- Plan Gestión del Proyecto

14.2 Identificar los Riesgos y
Vulnerabilidades de
Ciberseguridad
- Plan de riesgos de Ciberseguridad
- Estándar de Ciberseguridad
- Documentos guías de registro de Ciberseguridad
- Lecciones Aprendidas
- Evaluación del riesgo de propiedad intelectual - Registro de riesgos y vulnerabilidades de Ciberseguridad
- Evaluación de la seguridad técnica (TSA) - Documentos de evaluación como TSA, CIA, DPIA, TPTRM
- Evaluación del impacto sobre la privacidad de los datos (DPIA)
- Evaluación de la confidencialidad, integridad y disponibilidad
(CIA)
- Evaluación de riesgos tecnológicos de terceros (TPTRM)
- Juicio Expertos
- Revisión de Documentación Técnica

14.3 Planificar la respuesta a los - Registros de los riesgos y vulnerabilidades - Juicio Expertos - Plan de respuestas a los Riesgos
Riesgos de Ciberseguridad - Plan de Riesgos de Ciberseguridad - Reuniones - Actualización de documentos de evaluación (TSA, CIA, DPIA,
- Análisis de datos obtenidos TPTRM)

Ejecución 14.4 Implementar la Respuesta a - Estándar de Ciberseguridad - Reuniones - Documentos de solicitud de cambio
los Riesgos de Ciberseguridad - Plan de respuestas a los Riesgos - Habilidades Interpersonales y de equipo - Actualización de documentación de proyecto
- Plan de Gestión del Proyecto - Sistema de información para la dirección de proyectos
- Juicio de Expertos

Control 14.5 Monitorear los Riesgos y - Documentos de control y monitoreo de riesgos - Reuniones - Informe de auditorías SOX
Vulnerabilidades de - Registros de riesgos y vulnerabilidades - Auditorías SOX - Actualización de Registro de Riesgos de Ciberseguridad
Ciberseguridad - Plan de gestión del proyecto - Testeo de Riesgos de Ciberseguridad - Documentos de solicitud de cambio.
- Análisis de vulnerabilidades de Ciberseguridad

Cierre
 1.4 Gestión de seguridad de la información

Fase Proceso Entradas Técnicas & Herramientas Salidas

Desde la visión corporativa se levantan Para el levantamiento, principalmente

14.1 Identificar y nos basaremos en el juicio de expertos y Los riesgos son ponderados para ser
los procesos críticos, imagen
Inicio analizar riesgos de
institucional y gestión de reclamos como consultaremos a colaboradores con más evaluados, su probabilidad, impacto y
seguridad experiencia dentro de la organización. efectos negativos por cada uno.
base del nuevo proyecto.

Debemos evaluar si los riesgos serán Usando como carta de navegación una El road map guiará los planes
14.2 Planificar la
mitigados, eliminados, o si finalmente es matriz de riesgos, se realizará un road estratégicos finales de Gestión de
gestión de la
Planificación seguridad de la
un riesgo de bajo impacto/probabilidad, map con todas las acciones correctivas y Seguridad de la Información, Políticas de
por lo que no será considerado. Incluye preventivas a realizar dentro de cada Seguridad y Plan de capacitaciones
Información
la evaluación presupuestaria del plan. área implicada al proyecto. específicas y transversales.

Posterior a la difusión de los planes, se

Mediremos nuevamente los indicadores
14.3 Ejecución del Se considerará al área de seguridad de la ejecutarán los protocolos establecidos
de cumplimiento por punto de riesgo
Ejecución plan de seguridad información y el gobierno corporativo, en cada plan, primeramente mediante
levantado, y obtendremos una matriz de
de la Información como ejecutores de cada plan. inducciones y luego realizando las
riesgo actualizada.
acciones de normalización.

Evaluación constante por parte del Reuniones semanales, donde se evalúa

Revisiones con Carta Gantt, para
14.4 Control de que el proyecto va conforme a la
jefe de proyectos para evitar asegurar la documentación y avance del
gestión de la planificación (tiempos, costos, alcance,
Control seguridad de la
desviaciones y asegurar proyecto, junto a la experiencia
calidad) de las actividades necesarias y
cumplimiento de las normas, calidad obtenida de otros proyectos de
información la relación lógica de ejecución de las
y presupuesto vigente. similares características.
tareas.

14.5 Cierre del Revisión de documentación Se utilizan los resultados del Plan de Se generan los Planes finales, los cuales
control y monitoreo proporcionada por el área de seguridad Gestión de Seguridad más la serán utilizados por los equipos
Cierre de la seguridad de en el cual se levantan los riesgos y se información detallada de las incidencias, involucrados como parte del Gobierno
la información detallan las incidencias. para análisis final. de Riesgos y Gestión de la Seguridad.