Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Vicerrectoría de investigación
CENTRO DE INVESTIGACIÓN
EN CIBERSEGURIDAD
Ingeniero en Informática, cuenta con Diplomado en Evaluación Integrada de Proyectos, Diplomado en
Gobernanza, Gestión y Auditoría a la Ciberseguridad, Diplomado Gerencia de Proyectos Lineamientos
PMI, Diplomatura Universitaria en Ciberdelincuencia y la Diplomatura en Estrategia de Ciberseguridad e
Inteligencia en Cibercrimen, con aproximados 13 años de carrera profesional, y al menos 5 dedicados a la
Gestión de Proyectos. En 2021 fue reconocida como parte del Top 10 de Mujeres en Ciberseguridad en
Chile por la campaña Global de Deloitte. Actualmente se desempeña como Jefe de Área de Seguridad de
la Información en Banco Ripley Chile.
Profesor
Forma parte de la Sociedad Chilena de la Seguridad de la Información (SOCHISI), Level0Sec, Whilolab,
Constanza Herrera
Pizzoleo Womcy y HackAda (Mujeres en Ciberseguridad).
Miembro del PMI – Chapter Santiago (Chile).
Posee distintas certificaciones, como Lead Cybersecurity Professional Certificate (LCSPC), Auditor ISO
27001, Cyber Risk and Internal Auditor, ITIL v3, OKR, Scrum Máster y Agile Coach, entre otras.
Agenda
Programa: se define como proyectos relacionados, programas subsidiarios y actividades de programas, cuya gestión se realiza
de manera coordinada para obtener beneficios que no se obtendrían si se gestionaran de forma individual. Los programas
incluyen trabajo relacionado con el programa que está fuera del alcance de los proyectos específicos del programa.
• La dirección de programas es la aplicación de conocimientos, habilidades y principios para alcanzar los objetivos del
programa y para obtener beneficios y control no disponibles cuando los componentes del programa relacionado se gestionan
individualmente, los programas también pueden incluir trabajos de naturaleza operativa.
La gestión de las interdependencias de los proyectos puede incluir, entre otras acciones:
• Resolver restricciones y/o conflictos de recursos que afectan los componentes del programa
• Alinearse con las estrategias de la organización que influyen y afectan las metas y objetivos del programa
• Gestionar incidentes y emplear la gestión de cambios dentro de una estructura de gobernanza compartida
• Abordar los riesgos del proyecto y el programa que pueden afectar a uno o mas componentes
• Gestionar la obtención del beneficio del programa mediante el análisis, secuenciación y monitoreo eficaces de
las interdependencias de los componentes
• Es la primera fase del ciclo de vida, acá se mide el valor y la viabilidad del plan.
• Se generan entregables como:
• Documento de caso de negocio: este documento justifica la necesidad del proyecto e incluye un estimado de
los beneficios financieros potenciales.
• Estudio de factibilidad: esta es una evaluación de las metas del proyecto, cronograma y costos para determinar
si el plan debe ser ejecutado. Equilibra los requisitos del proyecto con los recursos disponibles para ver si la
continuación del trabajo tiene sentido.
• Una vez el proyecto recibe la aprobación para su ejecución, se genera el plan de proyecto.
• Se crea el Macroplan.
• Debe estar acorde al tiempo identificado en la fase inicial y al presupuesto aprobado
• Debe ofrecer la orientación para la obtención de recursos y verificar si el presupuesto es
acorde a lo identificado.
• Apoyará al equipo para poder identificar:
• Riesgos
• Criterios de aceptación
• Resultado con la calidad esperada
• Comunicación de los beneficios obtenidos.
• Administración de los proveedores.
• Prepara a los equipos en los posibles obstáculos que pudiesen aparecer durante la ejecución del proyecto.
• Ayuda a comprender:
• Costo
• Alcance
• Tiempo.
Fuente: PMBOK - v6
Fase 3: Ejecución del Proyecto.
• Esta es la fase que se asocia de manera más común con la gestión de proyectos. La ejecución
consiste en entregar resultados que satisfagan al cliente.
• Como ya se tomaron decisiones importantes en la fase anterior, en ésta ya se cuenta con el
equipo que ejecutará el proyecto, sus FTE, sus costos asociados, y si es que se necesita
contratar proveedores o equipo humano de apoyo.
• Los líderes del equipo hacen que esto suceda asignando recursos y manteniendo a los
miembros del grupo enfocados en las tareas designadas.
• Además, ya se cuentan con los insumos necesarios para la ejecución, como por ejemplo:
• Licencias
• Hardware
• Software
• Ubicación
• Entre otros.
• La ejecución depende en gran medida de la fase de planificación. El trabajo y los esfuerzos del
equipo durante la fase de ejecución se derivan de plan del proyecto.
Fuente: PMBOK - v6
Fase 4: Supervisión y control del proyecto.
En este caso, el negocio puede ser la misma área de TI, identificando una brecha a mitigar o una mejora que es
necesaria para la operación.
También puede considerar un control que es necesario para que el Negocio propiamente pueda ejecutar sus
actividades.
• Por ej. La creación de canales web para que una empresa pueda vender sus productos, o la
implementación de un sistema que permita optimizar los tiempos asociados a la cadena de
suministro o el bodegaje.
• La necesidad será el factor inicial para identificar los requerimientos.
Se realizan PoC
Éstas se realizan para revisar si las soluciones que están en el mercado pueden cubrir los requerimientos del
proyecto.
En caso que no haya una solución que apoye, el área de arquitectura TI apoya en entregar los lineamientos de
desarrollo y/o implementación necesarios para cubrir los requerimientos.
Consideramos los Riesgos asociados.
• Muchas veces en las organizaciones se decide trabajar desde una mirada AGILE, pero se debe considerar que ésta filosofía
está pensada mas en la mirada de la mejora continua, por lo que, los proyectos asociados a Tecnología no son candidatos
ideales a trabajar bajo ésta, pero si, un proyecto de desarrollo de Software.
• Al definir la metodología, es importante considerar también el alcance asociado, por lo que conocer los procesos de la
gestión del alcance ayudarán a identificar que metodología puede aplicar.
Considerar que si se trabaja bajo carta Gantt, ésta permite sacar distintos reportes que ayudarán a
mantener el control de los recursos, costo y tiempo.
• Considerar que en cada fase, sea proyecto agile o tradicional, la documentación es importante!
Siempre obtener lecciones aprendidas y no olvidar consultar las que ya existen y podrían
aplicar a la iniciativa en cuestión, ya que hay conocimiento que ya fue trabajado y que
generará aporte, ya sea en la iniciativa en curso o en iniciativas futuras.
Security By Design: Incorporar la seguridad de forma continua en la metodología de dirección de proyectos,
evitando dejarla como una tarea de verificación y control al final del proyecto.
Proyectos de Ciberseguridad y Seguridad de la Información.
• Claves.
• Correos
• Información Sensible.
• Entre otros.
• Redes
• VPN
• DDoS
• Entre otros.
Debemos entender que la
gran mayoría de los
ciberataques aprovechan
vulnerabilidades, las cuales
pueden tener distintas
causas de raíz, como por
ejemplo:
• La falta de seguimiento
de una política de
seguridad
• La falta de recursos en
seguridad
• Tecnológico
• Gestión
Algunos ejemplos:
Recordar que finalmente lo que se busca proteger son los activos que están
dentro del ciberespacio, por eso, cualquier gestión no será adecuada si no
se tiene identificado el Inventario de Activos (clasificado por nivel de
criticidad y los planes de acción asociados a éstos).
Métricas.
Es importante considerar la definición y aplicación de métricas e indicadores que permitan realizar un seguimiento de la
implementación de la Seguridad o del proyecto de Seguridad en sí.
Fuente: Isaca.org
Stakeholders
• Registro de interesados
• Contiene los detalles de los actores identificados, incluyendo organización, puesto de la
organización, ubicación, rol en el proyecto e información de contacto.
• Clasificación de interesados
• De acuerdo a su poder, nivel de influencia e interés y su posición frente al proyecto.
Tipos de controles
riesgos Mitigar Detectivo
Escaneo de Transferir Correctivo
vulnerabilidades
Aceptar Compensatorio
Test de intrusión
asunción Disuasorio
Modelado de
amenazas
• Los procesos asociados son:
• Planificar la Gestión de los Riesgos.
• Identificar los riesgos.
• Realizar el análisis cualitativo de riesgos.
• Realizar el análisis cuantitativo de los riesgos.
• Planificar la respuesta a los riesgos.
• Controlar los riesgos.