Según Homer Simpson, hay tres clases de personas: las que saben contar, y las que no. Yo debo de estar entre las segundas porque todo el mundo dice que son 10 las áreas de gestión de proyectos, pero a mí me salen 12. Veamos.

Por un lado, tenemos la integración, donde toda la gestión cobra un sentido y aproximación homogénea. Luego está el alcance, centrándose en los objetivos que se persiguen, y qué hay que hacer (y cómo hacerlo) para cumplir dichos objetivos. Tenemos también la planificación y la gestión de costes, junto con la gestión de riesgos, a los que habría que sumar la calidad, las comunicaciones y los recursos (van ocho). No podemos olvidarnos de las partes interesadas ni de los proveedores, sumando ya 10. Y, por último, pero no por ello menos importante, tenemos la gestión de la seguridad y de la innovación. En total, doce.

Bromas aparte, la gestión de la seguridad y de la innovación no aparecen formalmente, con entidad propia, en los marcos de referencia de gestión de proyectos tales como el PMBOK o el PM² (impulsado por la Comisión Europea). Tampoco aparecen destacados en aproximaciones ágiles. Y, sin embargo, son de suma importancia para un número creciente de proyectos.

En esta primera parte analizaremos la gestión de la seguridad, dejando para un próximo artículo la gestión de la innovación.

La gestión de la seguridad

La digitalización no solo nos brinda un sinfín de posibilidades y beneficios, sino que también expone a organizaciones y usuarios a nuevas vías de ataques informáticos. Las organizaciones maduras gestionan la ciberseguridad a nivel corporativo, proporcionando los medios para el aseguramiento de la información y la continuidad de negocio, formando al personal en los procedimientos y buenas prácticas definidas para ello. Pero ¿qué ocurre con las soluciones que se desarrollan internamente, o para terceros?

Security by default y Security by design son dos paradigmas fundamentales en la seguridad de la información. Los sistemas deben ser diseñados para ser seguros, sin necesidad de que el usuario realice ajustes adicionales (Security by default). Por otro lado, la seguridad se incorpora en un producto desde su diseño, en lugar de añadirla más tarde mediante productos y servicios de terceros (Security by design). Ambos paradigmas buscan garantizar la seguridad de los sistemas desde el principio y durante todo su ciclo de vida. Por tanto, afectan a todas las fases de un proyecto y a todas las áreas de gestión de este.

• Hay que asegurarse de que se definen las tareas y procedimientos para cumplir con los requisitos de seguridad y privacidad, sean de la índole que sean (regulatorios, de estándares, requisitos del cliente, …), desde el diseño hasta las pruebas de aceptación. Las medidas de seguridad deben ser también conmensuradas a los escenarios de amenazas, y la tolerancia a la aceptación de riesgos. Es decir, afecta de lleno al alcance y la gestión de riesgos del proyecto.
• Las tareas de seguridad deben ser planificadas (cronograma), y sus costes de mano de obra y materiales tenidos en cuenta (costes).
• Deben establecerse los procedimientos de calidad adecuados para cumplir con los objetivos del proyecto, auditando el proyecto (desde el punto de vista de la seguridad) con la periodicidad que se estime oportuna.
• Deben ponerse a disposición del proyecto los recursos adecuados para acometer las tareas de seguridad, que requieren normalmente un alto grado de especialización.
• Al margen de la propia comunicación interna en el equipo, cabe destacar que el proyecto puede manejar información sensible, o incluso clasificada, afectando a las medidas que deben contemplarse para no violar los requisitos de seguridad y privacidad de la información. No olvidemos la importancia de la LOPD/GDPR en estos casos.
• Las adquisiciones juegan un papel esencial ya que normalmente se recurre a soluciones especializadas y servicios de consultoría de terceros, o a externalizar  servicios como los Centros de Operaciones de Ciberseguridad (SOC).
• La ciberseguridad también tiene sus partes interesadas. Son muchos los actores específicos de seguridad, incluyendo al Director de Seguridad de la Información (o CISO) y el Delegado de Protección de Datos, por citar un par de ejemplos.

Si la gestión de la seguridad tiene relación con todas y cada una de las áreas, con sus especificidades, ¿no tendría sentido considerarla como un área más?

La Agencia de la Unión Europea para el Programa Espacial (EUSPA) está reforzando la implementación de la seguridad en los grandes programas espaciales europeos (tales como Galileo y EGNOS).  Requiere para los proyectos asociados a dichos programas las tareas de Cyber Security Management y Cyber Internal Audits, con sus respectivos responsables que, muy simplificadamente, serían los equivalentes a los de Jefe de Proyecto y Jefe de Calidad, en la parte de ciberseguridad. GMV presta estos servicios a dichos programas desde 2013. Desde entonces, las tareas y obligaciones de estos roles han ido evolucionando con la madurez del estado de la seguridad de Galileo y EGNOS, con éxitos más que notables para todas las partes implicadas.

La inversión en ciberseguridad crece porcentualmente cada año en cifras de dos dígitos, síntoma del crecimiento del número de ciberataques, de sus consecuencias y de la sensibilización de las organizaciones para estar protegidas. En paralelo a ello, la sociedad está evolucionando hacia una economía de proyectos, frente a la tradicional de operaciones. Digitalización, creciente exposición a amenazas y economía de proyectos son argumentos más que suficientes para elevar la ciberseguridad a una categoría propia de la gestión de proyectos.

Autor: Ángel Gavín