Gestión de Proyectos para Ciberseguridad

Vicerrectoría de investigación
CENTRO DE INVESTIGACIÓN
EN CIBERSEGURIDAD
 Ingeniero en Informática, cuenta con Diplomado en Evaluación Integrada de Proyectos, Diplomado en
Gobernanza, Gestión y Auditoría a la Ciberseguridad, Diplomado Gerencia de Proyectos Lineamientos
PMI, Diplomatura Universitaria en Ciberdelincuencia y la Diplomatura en Estrategia de Ciberseguridad e
Inteligencia en Cibercrimen, con aproximados 13 años de carrera profesional, y al menos 5 dedicados a la
Gestión de Proyectos. En 2021 fue reconocida como parte del Top 10 de Mujeres en Ciberseguridad en
Chile por la campaña Global de Deloitte. Actualmente se desempeña como Jefe de Área de Seguridad de
la Información en Banco Ripley Chile.
Profesor
Forma parte de la Sociedad Chilena de la Seguridad de la Información (SOCHISI), Level0Sec, Whilolab,
Constanza Herrera
Pizzoleo Womcy y HackAda (Mujeres en Ciberseguridad).
Miembro del PMI – Chapter Santiago (Chile).
Posee distintas certificaciones, como Lead Cybersecurity Professional Certificate (LCSPC), Auditor ISO
27001, Cyber Risk and Internal Auditor, ITIL v3, OKR, Scrum Máster y Agile Coach, entre otras.
 Agenda

• Portafolio, Programa y Proyectos.

• Gestión de Proyectos.
• Ciclo de vida de los proyectos
• Gestión de Proyectos TI.
• Gestión de Proyectos de Ciberseguridad y Seguridad de la
Información.
• Identificando los Stakeholders.
• Generación de un proyecto a través de un riesgo ya clasificado.
• Relación entre la Gestión de Riesgos y la Gestión de Proyectos.
 Portafolio, Programa y proyectos
Portafolio: Se define como los Proyectos, Programas, Portafolios subsidiarios y Operaciones cuya gestión se realiza de manera
coordinada para alcanzar los objetivos estratégicos.
• La dirección de portafolios es la gestión centralizada de uno o mas portafolios a fin de alcanzar los objetivos estratégicos.
Se cetra en asegurar que el desempeño del portafolio sea consistente con los objetivos de la organización y en evaluar los
componentes del portafolio para optimizar la asignación de los recursos, además, pueden incluir trabajo de naturaleza
operativa.

Programa: se define como proyectos relacionados, programas subsidiarios y actividades de programas, cuya gestión se realiza
de manera coordinada para obtener beneficios que no se obtendrían si se gestionaran de forma individual. Los programas
incluyen trabajo relacionado con el programa que está fuera del alcance de los proyectos específicos del programa.
• La dirección de programas es la aplicación de conocimientos, habilidades y principios para alcanzar los objetivos del
programa y para obtener beneficios y control no disponibles cuando los componentes del programa relacionado se gestionan
individualmente, los programas también pueden incluir trabajos de naturaleza operativa.

Proyecto: Un proyecto puede dirigirse en tres escenarios separados:

1. Como un proyecto independiente (fuera de un portafolio o programa)
2. Dentro de un programa
3. Dentro de un portafolio
Cuando se da el caso 2 o 3, la dirección de proyectos interactúa con la dirección de Portafolio o de programa.
 ¿Qué es la Gestión de proyectos?
La gestión de proyectos es un conjunto de metodologías para planificar y dirigir los procesos de un proyecto. Un
proyecto comprende un cúmulo específico de operaciones diseñadas para lograr un objetivo con un alcance,
recursos, inicio y final establecidos.

Tipos de Gestión de proyectos:

• Cascada o Waterfall: Se basa en el concepto “No dejarás nada sin hacer”.

• Estructura lineal
• Comportamiento secuencial
• Correcto orden e importancia del cronograma
• Sistema abierto a Integración.
• Gestión Ágil de proyectos (AGILE)
• Es de los más usados en el desarrollo de Software
• Se basa en los 12 principios del Manifiesto Agile
• S busca la eficiencia, resultados de calidad y valor al cliente
• El cliente es parte del equipo, entregando su conocimiento del negocio, para asegurar que los Sprint estén relacionados a necesidades de éste y estén acordes.
• Pueden tener etapas en paralelo, donde distintos miembros del equipo pueden ir ejecutando.
• Permite la identificación y correcciones de errores sin tener que volver al inicio.
• Lean Project Management
• Se utiliza principalmente para que las empresas no desperdicien recursos, tiempo, capital humano, etc.
• Busca poder utilizar el tiempo y las herramientas en crear valor y más valor, pero usando la menor cantidad posible de éstos.
• Apunta al “menos es mas”.
• El diagrama de Gantt
• Lleva aproximado 70 años de aplicación.
• Es un “diagrama” que permite detallar las tareas y actividades de cada proyecto, asociando éstas a un cronograma
• Detalla inicio, duración y fin.
• Permite identificar las fases del proyecto y organizarlo en tiempo de forma secuencial o paralela.
La dirección de programas apoya las estrategias organizacionales mediante la autorización, cambio o inclusión de
proyectos y mediante la gestión de sus interdependencias.

La gestión de las interdependencias de los proyectos puede incluir, entre otras acciones:

• Resolver restricciones y/o conflictos de recursos que afectan los componentes del programa
• Alinearse con las estrategias de la organización que influyen y afectan las metas y objetivos del programa
• Gestionar incidentes y emplear la gestión de cambios dentro de una estructura de gobernanza compartida
• Abordar los riesgos del proyecto y el programa que pueden afectar a uno o mas componentes
• Gestionar la obtención del beneficio del programa mediante el análisis, secuenciación y monitoreo eficaces de
las interdependencias de los componentes

La dirección organizacional de proyectos (OPM) es un marco para la ejecución de estrategias a través de la

dirección de portafolios, la dirección de programas y la dirección de proyectos, proporciona un marco que permite
a las organizaciones implementar de manera consistente y predecirle estrategias organizacionales capaces de
producir un mejor desempeño, mejores resultados y una ventaja competitiva sostenible.
Fuente: PMBOK - v6
 Ciclo de vida de los proyectos

Fase 1: Inicio del proyecto.

• Es la primera fase del ciclo de vida, acá se mide el valor y la viabilidad del plan.
• Se generan entregables como:

• Documento de caso de negocio: este documento justifica la necesidad del proyecto e incluye un estimado de
los beneficios financieros potenciales.
• Estudio de factibilidad: esta es una evaluación de las metas del proyecto, cronograma y costos para determinar
si el plan debe ser ejecutado. Equilibra los requisitos del proyecto con los recursos disponibles para ver si la
continuación del trabajo tiene sentido.

• Puede nacer desde un riesgo identificado.

• Puede nacer desde una necesidad propia del negocio.
• Identificará el valor hacia el negocio la implementación de éste
• Ayuda a tomar decisiones de la forma de implementarse, el tiempo en que se implementará,
el alcance inicial, y el presupuesto inicial a aprobarse.
Fuente: PMBOK - v6
Fase 2: Planificación del Proyecto.

• Una vez el proyecto recibe la aprobación para su ejecución, se genera el plan de proyecto.
• Se crea el Macroplan.
• Debe estar acorde al tiempo identificado en la fase inicial y al presupuesto aprobado
• Debe ofrecer la orientación para la obtención de recursos y verificar si el presupuesto es
acorde a lo identificado.
• Apoyará al equipo para poder identificar:
• Riesgos
• Criterios de aceptación
• Resultado con la calidad esperada
• Comunicación de los beneficios obtenidos.
• Administración de los proveedores.
• Prepara a los equipos en los posibles obstáculos que pudiesen aparecer durante la ejecución del proyecto.
• Ayuda a comprender:
• Costo
• Alcance
• Tiempo.
Fuente: PMBOK - v6
Fase 3: Ejecución del Proyecto.
• Esta es la fase que se asocia de manera más común con la gestión de proyectos. La ejecución
consiste en entregar resultados que satisfagan al cliente.
• Como ya se tomaron decisiones importantes en la fase anterior, en ésta ya se cuenta con el
equipo que ejecutará el proyecto, sus FTE, sus costos asociados, y si es que se necesita
contratar proveedores o equipo humano de apoyo.
• Los líderes del equipo hacen que esto suceda asignando recursos y manteniendo a los
miembros del grupo enfocados en las tareas designadas.
• Además, ya se cuentan con los insumos necesarios para la ejecución, como por ejemplo:
• Licencias
• Hardware
• Software
• Ubicación
• Entre otros.
• La ejecución depende en gran medida de la fase de planificación. El trabajo y los esfuerzos del
equipo durante la fase de ejecución se derivan de plan del proyecto.
Fuente: PMBOK - v6
Fase 4: Supervisión y control del proyecto.

• Es una actividad que se realiza en paralelo con la ejecución del proyecto.

• A medida que los equipos van ejecutando el trabajo, éste se va supervisando para asegurar la calidad y
el cumplimiento de las tareas, criterios de aceptación, etc. Que pueda definir el negocio.
• En esta etapa se prevé la pérdida del alcance, por ejemplo.
• Se calculan los indicadores (KPI, entre otros), que se definan.
• Se hace un seguimiento de las variantes del proyecto asociadas a la línea base, replanificaciones,
solicitud de aumento en presupuesto, cambio en el equipo, etc.
• Evaluar solicitudes de cambios y decidir acerca de la respuesta adecuada
• Recomendar acciones correctivas o preventivas para anticipar posibles problemas
• Monitorear las actividades del proyecto, comparándolas con en el plan para la dirección del
proyecto y con las líneas base.
• Influir en los factores que podrían eludir el proceso de control de cambios, de modo que
únicamente se implementen cambios aprobados.
• Esto se realiza para poder apoyar al proyecto en cumplir su fin.
Fuente: PMBOK - v6
Fase 5: Cierre del proyecto.
• Una vez las actividades planificadas son ejecutadas en su totalidad, y se considera la aceptación del
usuario (negocio), se da inicio a la etapa final, el cierre del proyecto.
• En esta etapa se prepara “la reunión de cierre”, en la cual se realiza una presentación donde se indica el
plan de proyecto, la ejecución de éste, y los resultados obtenidos.
• Se indican también, el control de las actividades, los recursos que se utilizaron, y el costo asociado al
presupuesto (control financiero del proyecto).
• Se indican los logros obtenidos, pero también las lecciones aprendidas, las cuales deben ser parte de lo
entregables del proyecto.
• Un cierre de proyecto exitoso, presentará los criterios de aceptación cumplidos y aceptados, un detalle de
la gestión de recursos, la gestión económica, y el cumplimiento de las tareas, alcance y expectativas.
• El cierre de proyecto permitirá evaluar el rendimiento del equipo y también, el éxito de éste en base a los
KPI aplicados.
• Finalmente, permitirá que los recursos se liberen a la espera de un nuevo proyecto.
• Considerar que, este proceso también puede abordar el cierre anticipado de un proyecto, por
ejemplo, proyectos abortados o cancelados.
Fuente: PMBOK - v6
 Gestión de Proyectos TI

La gestión de proyectos TI se desprende de la gestión de proyectos en general,

enfocándose en proyectos asociados a las tecnologías de información.

Un proyecto TI no difiere de los proyectos en general, pero si consideran su enfoque

en:
• Hardware
• Software
• Infraestructura de TI
• Data Centers
• Cableado
• Redes
• Conexión
• VPN
• Entre otros.
 ¿Cómo gestionamos los proyectos de TI?
Identificamos la necesidad del Negocio.

En este caso, el negocio puede ser la misma área de TI, identificando una brecha a mitigar o una mejora que es
necesaria para la operación.
También puede considerar un control que es necesario para que el Negocio propiamente pueda ejecutar sus
actividades.
• Por ej. La creación de canales web para que una empresa pueda vender sus productos, o la
implementación de un sistema que permita optimizar los tiempos asociados a la cadena de
suministro o el bodegaje.
• La necesidad será el factor inicial para identificar los requerimientos.

Se realizan PoC

Éstas se realizan para revisar si las soluciones que están en el mercado pueden cubrir los requerimientos del
proyecto.
En caso que no haya una solución que apoye, el área de arquitectura TI apoya en entregar los lineamientos de
desarrollo y/o implementación necesarios para cubrir los requerimientos.
Consideramos los Riesgos asociados.

• Muchos proyectos/iniciativas son levantados a través de un riesgo identificado.

• Revisamos todas las consideraciones, evaluaciones, y actores que podrían influir en el proyecto.

Se define la metodología a utilizar.

• Muchas veces en las organizaciones se decide trabajar desde una mirada AGILE, pero se debe considerar que ésta filosofía
está pensada mas en la mirada de la mejora continua, por lo que, los proyectos asociados a Tecnología no son candidatos
ideales a trabajar bajo ésta, pero si, un proyecto de desarrollo de Software.
• Al definir la metodología, es importante considerar también el alcance asociado, por lo que conocer los procesos de la
gestión del alcance ayudarán a identificar que metodología puede aplicar.

• Planificar la gestión del Alcance:

• Es el proceso de crear un plan de gestión del alcance que documente como se va a definir, validar y controla.
• Recopilar requisitos:
• Es el proceso de determinar, documentar y gestionar las necesidades y los requisitos de los interesados para cumplir con los objetivos del proyecto.
• Definir el alcance:
• Es el proceso de desarrollar una descripción detallada del proyecto y producto.
• Crear las EDT /WBS:
• Es el proceso de subdividir los entregables y el trabajo del proyecto en componentes más pequeños y fáciles de manejar.
• Validar el alcance:
• Es el proceso de formalizar la aceptación de los entregables del proyecto que se hayan completado.
• Controlar el Alcance:
• Es el proceso de monitorear el estado del proyecto y del alcane del producto, además de gestionar cambios a la línea base del
alcance.
Considerar que cuando se habla de “alcance”,
éste puede referirse a:

1. Alcance del producto: Características y

funciones de un producto, servicio o
resultado
2. Alcance del proyecto: Trabajo realizado
para entregar un producto, servicio o
resultado, con las funciones y
características especificadas.

En algunas ocasiones se considera que el

Alcance del proyecto abarca el Alcance del
producto.
Identificar el equipo de trabajo, ya sea proveedores internos o externos, equipo de trabajo propio
(célula) y cubicar el esfuerzo de éstos para ejecutar las actividades.

Considerar que si se trabaja bajo carta Gantt, ésta permite sacar distintos reportes que ayudarán a
mantener el control de los recursos, costo y tiempo.

Se ejecuta las fases del proyecto.

• Considerar que en cada fase, sea proyecto agile o tradicional, la documentación es importante!

Siempre obtener lecciones aprendidas y no olvidar consultar las que ya existen y podrían
aplicar a la iniciativa en cuestión, ya que hay conocimiento que ya fue trabajado y que
generará aporte, ya sea en la iniciativa en curso o en iniciativas futuras.
Security By Design: Incorporar la seguridad de forma continua en la metodología de dirección de proyectos,
evitando dejarla como una tarea de verificación y control al final del proyecto.
 Proyectos de Ciberseguridad y Seguridad de la Información.

En este punto, la diferenciación entre un proyecto de TI y uno de

Ciberseguridad y Seguridad de la Información comparten
muchas de las formas de trabajo antes descritas, teniendo una
diferenciación muy baja.

Los proyectos asociados a Seguridad de la información abarca

todos los activos (tangibles e intangibles) asociados a la
información en sí.

• Claves.
• Correos
• Información Sensible.
• Entre otros.

En cambio, los de ciberseguridad, abarcan a la infraestructura

que protege a la información.

• Redes
• VPN
• DDoS
• Entre otros.
Debemos entender que la
gran mayoría de los
ciberataques aprovechan
vulnerabilidades, las cuales
pueden tener distintas
causas de raíz, como por
ejemplo:

• La falta de seguimiento
de una política de
seguridad
• La falta de recursos en
seguridad

Esto puede también verse

generado por errores
humanos y técnicos.
El 75% de las vulnerabilidades y brechas de Seguridad están
relacionadas con defectos en la implementación de proyectos,
lo que produce sobre costos, retrasos y también, gran impacto
en la reputación de la empresa (riesgo reputacional).

Muchas veces, los proyectos de Seguridad se ven como “una

fuente de retraso para la entrega de otros proyectos del
programa”, o que implementarlos considera un gasto mayor
para la organización y que ésta no está dispuesto en
desembolsar en ese instante, por lo que es importante plantear
la necesidad de concientizar a quienes estén en la dirección de
los proyectos, e incluso, los stakeholders.

Trabajar bajo la Matriz RACI ayudará a la asignación clara de

responsabilidades en temas se seguridad, accesos, privilegios,
etc.
 Proyectos de Ciberseguridad y Seguridad de la Información.
Se pueden mitigar con dos tipos de controles:

• Tecnológico
• Gestión

Algunos ejemplos:

• Mantener inventario de software

• Mantener inventario de hardware
• Asegurar las configuraciones de Software y Hardware
• Evaluación y remediación continua de vulnerabilidades
• Asegurar que el control de acceso y los privilegios
administrativos son precisos y están en uso constante
• Proteger navegadores
• Controlar los puertos de la red
• Proteger los datos
• Seguimiento y control de cuentas
• Asegurar las aplicaciones

Recordar que finalmente lo que se busca proteger son los activos que están
dentro del ciberespacio, por eso, cualquier gestión no será adecuada si no
se tiene identificado el Inventario de Activos (clasificado por nivel de
criticidad y los planes de acción asociados a éstos).
 Métricas.
Es importante considerar la definición y aplicación de métricas e indicadores que permitan realizar un seguimiento de la
implementación de la Seguridad o del proyecto de Seguridad en sí.

Fuente: Isaca.org
 Stakeholders

Un stakeholder es cualquier persona (empleado, socio, cliente,

etc.) o empresa que de alguna forma afecta o puede ser
afectada por las acciones de una organización con respecto a
un proyecto.

Incluye a los trabajadores, socios, competidores, familias de los

involucrados y clientes.

Existen distintos tipos:

Internos: Es aquel grupo de personas dentro de la empresa

que se involucran en el proyecto a realizar.
• Pueden ser empleados, gerentes y/o colaboradores.

Externos: Son todas las personas ajenas a la organización.

 Interés y poder de los Stakeholders

Latentes: Mantener Promotores:

satisfechos y esforzarse Mantener cerca, ya
en involucrarlos en el que su opinión es
proyecto. valiosa.

Indiferentes: Limitarse Defensores: Mantener

a monitorear el informados, ya que pueden ser
comportamiento de críticos o defensores del
éstos, por si varía en el proyecto.
tiempo su percepción,
por ejemplo.
 Gestión de los Stakeholders

• El PMBOK propone los siguientes pasos:

1. Identificación de los interesados
• En este proceso se reconocen todas aquellas personas, grupos y organizaciones que pueden
afectar o ser afectados por el proyecto. Las acciones de estas personas pueden producir un
impacto con consecuencias en el éxito del proyecto.
2. Planificación de la gestión de los interesados.
• Se trata de diseñar estrategias de gestión para involucrar eficazmente a los interesados.
3. Gestionar la participación de los interesados.
• Se involucra la comunicación y el trabajo con los interesados para satisfacer sus expectativas,
abordar incidentes que tengan lugar y fomentar la participación durante todo el proyecto.
4. Controlar la participación de los interesados.
• En este proceso se establece un seguimiento de las relaciones de los interesados del
proyecto y ajustar las estrategias para involucrarlos.
 Entregables relacionados

Una vez que tenemos identificados los posibles stakeholders y ya los

tenemos clasificados, según el PMBOK, se debe considerar los siguientes
entregables:

• Registro de interesados
• Contiene los detalles de los actores identificados, incluyendo organización, puesto de la
organización, ubicación, rol en el proyecto e información de contacto.

• Clasificación de interesados
• De acuerdo a su poder, nivel de influencia e interés y su posición frente al proyecto.

• Matriz de evaluación de participación de interesados.

• Plasma los requisitos, expectativas e influencia de los interesados en el proyecto, y la
fase del ciclo de vida del proyecto en la que estos actores muestran un mayor interés.
 Generación de un proyecto a través de un riesgo ya clasificado.

• Considerar el Riesgo ya clasificado.

• Identificar los controles que pudiesen mitigarlo.
• Generar un plan de acción asociado al riesgo.
• Identificar la oportunidad de generar una iniciativa asociada a el/lo riesgos que pudiesen trabajarse
en conjunto.
• Conseguir sponsor para la iniciativa
• Preparar la evaluación de factibilidad de implementar la iniciativa.
• Revisar con las distintas áreas que se verían afectadas por el riesgo, levantar el caso de negocio
asociado, revisar con arquitectura los posibles escenarios de implementación, PoC, etc. Definir el alcance
de la iniciativa, tiempo de ejecución estimado y costo. Evaluar y presentar resultado de la evaluación.
• Presentar en conjunto la iniciativa, para ser aprobada en los comité correspondiente.
• Si se aprueba, revisar la necesidad macro, clasificar y presentar documento de levantamiento de
necesidades (el que generalmente se utiliza para las licitaciones).
• Levantar las propuestas de los proveedores (internos y externos), evaluar.
• Presentar resultado de la evaluación, para la toma de decisión.
• Generar el proyecto, levantar los requerimientos en base a las necesidades identificadas, generar
la planificación y la documentación correspondiente, y ejecutar.
 Gestión de riesgos en proyectos.
• La Gestión de Riesgos en proyectos está basada en la identificación, análisis,
planificación de respuesta y control de riesgos de un proyecto.
• Incluye los procesos para llevar a cabo la planificación de la Gestión de Riesgos en dicho
proyecto.
• Los objetivos se centran en aumentar la probabilidad y el impacto de los eventos
positivos. También se disminuye la probabilidad y el impacto de eventos negativos en el
proyecto.
Evaluación de Evitar Preventivo

Estrategias asociadas al riesgo

Fuentes de alimentación

Tipos de controles
riesgos Mitigar Detectivo
Escaneo de Transferir Correctivo
vulnerabilidades
Aceptar Compensatorio
Test de intrusión
asunción Disuasorio
Modelado de
amenazas
• Los procesos asociados son:
• Planificar la Gestión de los Riesgos.
• Identificar los riesgos.
• Realizar el análisis cualitativo de riesgos.
• Realizar el análisis cuantitativo de los riesgos.
• Planificar la respuesta a los riesgos.
• Controlar los riesgos.

Finalmente, se puede observar que la gestión de riesgos es importante

para el éxito de los proyectos, sin ésta, no seremos capaces de identificar
los posibles escenarios que podrían afectar en que el proyecto no sea
exitoso.
MUCHAS GRACIAS