Ídolos con los Píes de Barro
Esta exposición sobre seguridad de TEDx Talk, realizada por Edgares Futch, en Tegucigalpa, nos da a conocer que, pese a los mas sofisticados sistemas de seguridad existentes, el factor humano sigue siendo su punto débil.
domingo, 22 de marzo de 2015
Ídolos con Píes de Barro
Esta exposición sobre seguridad de TEDx Talk, realizada por Edgares Futch, en Tegucigalpa, nos da a conocer que, pese a los mas sofisticados sistemas de seguridad existentes, el factor humano sigue siendo su punto débil.
martes, 17 de febrero de 2015
5. Conclusiones sobre el Modelo.
En
cuanto a las variables a medir en el modelo de madurez propuesto, resultó útil
el marco de trabajo para la gestión del riesgo de Wheeler,
el cual fue incorporado como parte del primer nivel del modelo, específicamente
en el dominio de la seguridad de los sistemas de información. Los modelos de
madurez aplicables al estudio estaban relacionados a la seguridad de los
sistemas de información, gestión de proyectos y manejo del conocimiento. El
análisis de los modelos existentes permitió conocer la estructura que debería
tener el modelo a proponer. Fue necesario también analizar el contenido de
estándares y mejores prácticas tales como CobiT 4.1, ITIL 3.0 e ISO/IEC 27002.
Los modelos estudiados permitieron
conocer la estructura, los mecanismos y procesos que lleva a la madurez de la
gestión, mientras las mejores prácticas permitieron orientar el modelo hacia la
seguridad de los sistemas de información. Se concluye que implícitamente todas
las mejores prácticas conllevan a un modelo de madurez, que resultan en el perfeccionamiento
de los procesos e incremento de la seguridad de los sistemas de información.
Uno de los modelos de madurez que
resultó fundamental en la investigación fue el propuesto por Kerzner,
relacionado con la gerencia de proyectos, en la medida que se desarrolló el
estudio, se hizo evidente que todo modelo de madurez implica cambios en el
mediano y largo plazo, para luego finalmente hacer del cambio una actividad
continua. Esto no es posible si no se cuenta con las herramientas de gestión
adecuadas que faciliten dichos cambios. Es aquí donde el modelo de madurez para
la gestión de proyectos resulta vital, ya que proporciona el marco de trabajo
que permite escalar a cada nivel del modelo, hasta llegar al último, donde el
cambio se hace continuo. La herramienta tanto para escalar como para mantenerse
en el último nivel del modelo, es precisamente la gestión de proyectos.
La gestión también implica el manejo del
conocimiento para tomar decisiones acertadas, en este punto entra en juego el
modelo de madurez de gestión de contenido propuesto por Cameron, lo que permite
capturar, preservar y distribuir la información como un activo corporativo y de
manera coherente, natural y reutilizable.
El
modelo de madurez propuesto fue concebido en base a un compendio de diversas
disciplinas propias de la ingeniería de la seguridad. Se combinaron teorías
relativas a la seguridad de los sistemas de información, gestión de proyectos y
gestión de contenidos; en un modelo matricial entrelazado de cinco niveles y
siete dominios, abarcando una amplia gama de elementos interrelacionados. Y es
que la gestión de la seguridad de la información posee características holísticas,
compuestas por múltiples variables, que sólo pueden ser resueltas gracias a la
intervención de procesos de ingeniería multidisciplinarios y dinámicos.
Recomendaciones
El modelo de madurez presentado en esta
investigación lejos de ser un marco de trabajo rígido, deberá adaptarse a los
cambios, nuevas tendencias, metodologías y disciplinas que puedan enriquecerlo,
haciéndolo perfectible. De allí la importancia que sea utilizado, adaptado y
perfeccionado. Como se observó a lo largo de la investigación, la calidad del
conocimiento de los procesos corporativos se incrementa exponencialmente cuando
se trabaja en equipo, no sólo en la organización, sino interinstitucionalmente,
tal cual lo sugiere el Nivel 4 del modelo, que invita a la participación de
múltiples instituciones y empresas a través del Benchmarking.
Los dominios propuestos por el modelo:
(1) Planificación, (2) organización, (3) dirección y ejecución, (4) control y
evaluación, (5) gestión humana, (6) manejo del conocimiento y (7) seguridad de
los sistemas de información deberán; en la medida que sean perfeccionados y
refinados mediante su implementación; perfilarse en torno a los objetivos que
permitan asegurar los sistemas de información. Si bien los primeros cinco
dominios apuntan a fortalecer la gestión de la organización, sus recursos
financieros, técnicos y humano, el sexto dominio al adecuado manejo de la
información para perfeccionar los procesos, el fin último del modelo es la
seguridad de la información, es a este punto donde deben concentrarse todos los
esfuerzos.
El modelo propuesto puede servir de
punto de partida para otros estudios que permitan elaborar propuestas y
metodologías de carácter más amplio, contribuyendo al mejoramiento de las
condiciones de seguridad de los sistemas de información.
lunes, 16 de febrero de 2015
4. Modelo Propuesto
El modelo propuesto en la investigación fusionó y adaptó varios modelos de madurez, relacionados con la seguridad de sistemas de información, gestión de proyectos y manejo del conocimiento. Por tal motivo el modelo es matricial, es decir, posee cinco niveles que se combinan con siete dominios, tales como: Planificación, Organización, Dirección y Ejecución, Control y Evaluación, Gestión Humana, Manejo del Conocimiento y Seguridad de Sistemas de Información.
Debido a las características propias de los modelos de madurez, las primeras tres etapas están dedicadas al análisis y la creación de un sistema autosustentable, que mediante los procesos desarrollados en las dos últimas etapas, permiten hacerlo perfectible, de aquí la característica integradora de dichos niveles. El modelo de madurez es de carácter evaluativo, permitiendo ubicar en una escala de cinco niveles el desarrollo de sus procesos, pero esta evaluación no tiene sentido si no se compara con otras organizaciones de similar o igual índole, aquí es donde entra en juego el Nivel 4 de Benchmarking, además esta interacción con otras organizaciones permite enriquecer la madurez de las organizaciones que participan en dicho proceso.
En principio se estableció como patrón, en cuanto a la disposición de niveles, el Modelo de Gestión de Proyectos de Kerzner (2009), debido a que en su concepción permite el cambio cultural necesario para optimizar y perfeccionar los procesos administrativos. De este modelo se heredan los primeros cinco dominios: (1) Planificación; (2) organización; (3) dirección y ejecución; (4) control y evaluación; (5) gestión humana. También se incluyeron las recomendaciones dadas por CobiT, ITIL e ISO/IEC 27002 referidas a la gestión de la seguridad.
El modelo a proponer requería explícitamente un dominio de conocimiento, que permitiera recolectar, almacenar, procesar y distribuir uniformemente la información en toda la organización. Aunque este proceso se realiza en todos los modelos de madurez de seguridad estudiados, ninguno lo hace de forma explícita, así los modelos combinan indistintamente tópicos relativos a la seguridad, gestión y conocimiento. Por esta razón el modelo incluye un dominio exclusivamente para este aspecto. Para este dominio fue importante el aporte del modelo de gestión del conocimiento propuesto por Cameron (2011). Al igual que en los primeros cinco dominios, se añadieron todas las recomendaciones de CobiT, ITIL e ISO/IEC 27002 referidas al manejo del conocimiento.
Finalmente se añadió el dominio de la seguridad de los sistemas de información, dedicado exclusivamente a tratar los aspectos técnicos y de requisitos. Estos lineamientos fueron tomados tanto de los estándares internacionales y mejores prácticas como CobiT, ITIL e ISO/IEC 27002, así como de los modelos de madurez estudiados: SSE-CMM (System Security Engineering Capability Maturity Model) e ISSM (Information Security Maturity Model). Además, en el primer nivel se incluyó el proceso de gestión de riesgos de Cameron (2011).
Las recomendaciones fueron agrupadas por cada dominio y nivel, según la madurez, procesos y recursos de los que se dispone. Para este proceso de diseño se tomó en cuenta los resultados obtenidos en la segunda parte de la investigación de campo para ubicarlos en determinado nivel. En algunos casos, como se verá más adelante, los resultados de la investigación de campo y las recomendaciones de los estándares y modelos de madurez estudiados, no coincidían; por lo que se hicieron algunos ajustes, los cuales fueron puntualmente señalados.
De esta manera se logró obtener un modelo de madurez con cinco niveles, pero entrelazados matricialmente con cinco dominios de gestión, uno de conocimiento y otro de seguridad, con procesos perfectamente claros y definidos. Así se logra que los seis primeros dominios brinden el soporte necesario para el correcto funcionamiento del séptimo dominio dedicado la seguridad de los sistemas de información.
Descripción del Modelo.
El modelo está dividido en cinco etapas, posee características de gestión de proyectos, debido a que la dinámica de los modelos de madurez tiene como objetivo el cambio cultural de la organización a través del ascenso de sus cinco niveles en el mediano plazo, mediante el desarrollo de proyectos en cada etapa que buscan el logro de objetivos específicos, a través del uso de recursos, el cambio se hace continuo al llegar a la cima del modelo, lo que implica el desarrollo de proyectos para llevar a cabo tales cambios. También posee características de modelos de madurez para el manejo del conocimiento, ya que busca la creación de una metodología única que involucra el manejo de la información y el trabajo en equipo, erradicando así individualidades que resultan nocivas en toda organización. Posee características similares al modelo de madurez CobiT 4.1 caracterizado por cinco niveles, en relación a las recomendaciones de seguridad sigue los lineamientos de ISO/IEC 27002 y algunas sugerencias de ITIL V3.
El modelo (en principio diseñado para entes públicos en Venezuela), se explica en detalle en el siguiente vídeo.
Niveles del Modelo de Madurez.
A continuación se describen los cinco niveles que componen el modelo- Lenguaje Común: En este nivel la organización reconoce la importancia de la gestión de proyectos y la necesidad de una buena comprensión de los conocimientos básicos al respecto, de esta manera se establece un lenguaje común que permite comunicar con precisión los alcances deseados. En cuanto a la seguridad de los sistemas, busca eliminar la improvisación, fallos en soporte y mantenimiento de equipos, incrementar la confianza y habilidades para resolver problemas de seguridad, implementar cifrado y controles de acceso, registrar eventos de seguridad así como la solución dada a cada uno de ellos, además de consolidar el equipo de trabajo.
- Experiencias Repetibles: En este nivel la organización reconoce que los procesos comunes deben definirse y desarrollarse de tal manera que los éxitos de los actuales proyectos puedan ser repetidos en el futuro. Se reconoce que los principios de gestión de proyectos pueden ser aplicados a otros ámbitos y dar soporte a las metodologías empleadas por la organización. Se realiza una revisión crítica de la organización, roles, funciones, responsabilidades asociadas a la seguridad de la información. Se revisan los procesos y procedimientos de seguridad. La documentación y registro de eventos pasados y presentes es fundamental para la completitud de este nivel, lo que garantiza el cúmulo de experiencias repetibles.
- Metodología Única: En este nivel la organización reconoce el efecto sinérgico de la combinación de todas las metodologías corporativas en una sola. Los efectos sinérgicos también hacen más fácil el control de los procesos bajo el esquema de metodología única. Se diseña e implementa un programa de seguridad estratégica así como una arquitectura para la seguridad de los sistemas de información. La seguridad es más coherente, los procesos son más claros y definidos.
- Benchmarking: Este nivel utiliza técnicas de Benchmarking como herramienta que permite mejorar los procesos y mantener la ventaja competitiva. La organización debe decidir contra quién y qué comparar. Se cierra la brecha tecnológica, se utiliza la última tecnología y metodología que garantizan la seguridad de los sistemas de información, en este nivel se prepara el programa de seguridad de la información para el proceso de mejora continua. Se establecen objetivos medibles de calidad. Se predice con exactitud las necesidades de recursos.
- Mejora Continua: En este nivel la organización evalúa la información obtenida mediante el Benchmarking, decidiendo si será integrada para mejorar su actual metodología única. El Nivel 5 retroalimenta los Niveles 3 y 4, debido a los resultados del Benchmarking y las continuas mejoras que se realizan a la metodología única, los procesos de organización son capaces de cambiar dinámicamente en favor de la optimización. En este nivel el modelo de seguridad logrado es capaz de controlar los efectos de su propio entorno, también conduce al ahorro importante de recursos. La eficacia se puede medir cuantitativamente a través de métricas, las amenazas de seguridad se encuentran altamente estructuradas. Los controles de seguridad están completamente automatizados. La organización es capaz de manejar todos los incidentes de seguridad de la información. Llegado a este nivel la organización se ha movido del tradicional enfoque reactivo a un enfoque proactivo en seguridad de los sistemas de información.
Dominios del Modelo de Madurez.
El modelo propuesto subdivide cada nivel en siete dominios, los cinco primeros están asociados a aspectos administrativos, el sexto dominio al manejo del conocimiento en la organización, el séptimo dominio a la seguridad de los sistemas de información. A continuación se describe cada uno de ellos:
- Planificación: Este aspecto busca erradicar definitivamente la práctica de la improvisación, marca los tiempos en los cuales deben ejecutarse los procesos, se proponen los objetivos y metas departamentales y organizacionales, se evalúan continuamente los planes para adaptarlos a la realidad. El plan en cada etapa está orientado al desarrollo exitoso de las actividades específicas de dicho nivel.
- Organización: La organización sienta las bases que permiten la administración eficaz de los recursos, crea la estructura, asigna funciones y responsabilidades. Formula principios para la sana gestión, creando el ambiente adecuado para el desarrollo exitoso de la misma. Para el modelo de madurez que busca repetir éxitos anteriores es importante la documentación, de allí el énfasis que se hace al respecto.
- Dirección y Ejecución: En este apartado el modelo describe la actitud que debe desarrollar los niveles directivos, está muy relacionada con el aspecto organizacional. La dirección pasa de ser personalista a integrar a todos los miembros de la organización en la toma de decisiones concertadas, motivando a todos al cumplimiento de las metas, es parte del cambio cultural planteado.
- Control y Evaluación: Toda gestión necesita implementar medidas para controlar y evaluar su desempeño, en este aspecto, el modelo recomienda el desarrollo de métricas objetivas, preferiblemente de carácter cuantitativo, el objetivo final del control y evaluación es el desarrollo de sistemas automatizados que permitan informar en tiempo real el comportamiento de las actividades realizadas.
- Gestión Humana: La Gestión Humana busca mantener motivado al personal que labora en el área de Seguridad de Sistemas de Información, se preocupa por el adiestramiento y desarrollo del personal, las relaciones interpersonales, la creación de una conciencia de seguridad, cultura cooperativa y trabajo en equipo. La Gestión Humana es fundamental para propiciar el cambio cultural del modelo de madurez.
- Manejo del Conocimiento: Todo modelo de madurez tiene como producto final el conocimiento de cómo hacer mejor las cosas, perfeccionar los procesos, las actividades que se desarrollan en la organización. La forma como se dispone de tal conocimiento es fundamental para la etapa mejora continua, se preocupa de cómo distribuir este conocimiento, erradicando individualidades y egoísmos, minimizando el soporte físico en papel, impulsando el uso de herramientas sofisticadas de trabajo, integrando todas las áreas de la organización mediante el intercambio de información interinstitucional. Esto permite que el último nivel del modelo cuente con el suficiente conocimiento que permita responder rápida y adecuadamente a los problemas, construir nuevos escenarios, desarrollar nuevas ideas, sirviendo de motor para la mejora continua.
- Seguridad de los Sistemas de Información: Los seis dominios anteriores sirven de base para garantizar el éxito de la seguridad de los sistemas, en principio (Nivel 1 del modelo), se aplica la gestión de riesgo de la información, según Wheeler (2011), la cual se encuentra explicada en mayor detalle en el marco teórico. Entre los objetivos de este dominio se encuentran: Erradicar la confianza a ciegas, gracias a la planificación adecuada elimina toda improvisación y falso sentido de seguridad; desarrollar habilidades en el equipo de trabajo; implementar medidas de registro y control de eventos; clasificar los activos de información; repetir experiencias exitosas del pasado; profundizar el estudio de los procesos de seguridad; implementar y automatizar controles rigurosos; promocionar campañas dirigidas a concientizar a los usuarios sobre la seguridad de la información; desarrollar una arquitectura de seguridad con procesos claros y definidos; cerrar la brecha tecnológica, sustituyendo sistemas obsoletos; realizar evaluaciones periódicas que permiten adaptar la metodología existente a las condiciones cambiantes del entorno; entre otros.
El modelo de madurez propuesto consta de cinco niveles, cada nivel a su vez se subdivide en siete dominios, los cuales poseen indicadores claves de desempeño, es decir, indican los requisitos que se deben cumplir para pasar de un nivel a otro. De esta manera existe una prelación en sus niveles, se debe completar cada nivel para poder evaluar el siguiente.
Figura 12. Modelo de Madurez para la Gestión de la Ingeniería de la Seguridad de la Información
A cada etapa del modelo se le asignó un porcentaje tal como lo indica la Tabla 3. Para alcanzar cada nivel se debe cumplir con el 100% de los indicadores claves correspondiente a cada Nivel.
Tabla 3. Porcentaje Asignado a cada etapa del Modelo Propuesto
Niveles
|
Porcentaje
Asignado
|
Nivel
1
|
20%
|
Nivel
2
|
20%
|
Nivel
3
|
20%
|
Nivel
4
|
20%
|
Nivel
5
|
20%
|
Total
|
100%
|
Para evaluar el grado de cumplimiento de cada etapa del modelo, se aplicó un análisis gap o de brechas cuyo ejemplo se muestra en el Anexo E, dicho análisis gap fue plasmado en una hoja de cálculo dinámica, dividida en cinco hojas que representan cada nivel, la sexta hoja resume en gráficos y tablas los resultados obtenidos como se puede observar en el Anexo F. En cada nivel se colocaron los respectivos indicadores claves de desempeño, de los siete dominios que componen el modelo, cada indicador proporciona tres opciones: (1) Completo; (2) Parcial; (3) Incompleto.
En caso que el indicador seleccionado esté parcialmente implementado o incompleto, el formulario permite. (1) Describir el estado actual del indicador clave de desempeño; (2) Describir las deficiencias encontradas; (3) Describir los recursos necesarios para su consecución, divididos en recursos: Materiales, Tecnológicos, Financieros, Humanos y de Conocimiento; (4) Describir el plan de acción que permita completar el indicador clave de desempeño.
Cabe destacar que las estrategias que sigan cada institución para el completar los indicadores claves de desempeño incompletos o parcialmente logrados, queda fuera del ámbito de la investigación.
En las tablas de la 4 a la 7 se puede observar los indicadores claves de desempeño del Modelo de Madurez para la Gestión de la Ingeniería de la Seguridad de la Información.
Las tablas corresponden a los dominios del modelo tales como: Planificación, Organización, Dirección y Ejecución, Control y Evaluación, Gestión Humana, Manejo del Conocimiento, Seguridad de la Información.
Cada dominio a su vez muestra indicadores claves de desempeño correspondiente a los cinco niveles del modelo:
- Lenguaje Común
- Experiencia Repetible
- Metodología Única
- Benchmarking
- Mejora Continua
https://es.scribd.com/doc/255976166/Analisis-Gap
Tabla 4.
Indicadores Claves del Desempeño del Modelo Propuesto Relativos a la
Planificación.
1. Indicadores Claves de Desempeño para la Planificación
|
||||
2
|
||||
Lenguaje Común
|
Experiencias Repetibles
|
Metodología Única
|
Benchmarking
|
Mejora Continua
|
1.1. Planificar
detalladamente todos los procesos a ejecutar en consonancia con los objetivos
de negocio, asignando los recursos materiales, técnicos, financieros y
humanos necesarios.
1.2. Divulgar
los objetivos, metas departamentales y organizacionales para erradicar la
improvisación y el caos en el desarrollo de actividades y tareas.
1.3. Elaborar
los cronogramas de actividades y procesos que se realizar de manera periódica
y no periódica.
1.4. Enunciar
los requisitos exigidos relativos a la seguridad y calidad de los procesos,
con el objeto que sirvan de base para medir la calidad deseada.
1.5. Incrementar
la precisión en el cálculo de costos y presupuestos en los planes elaborados.
1.6. Identificar
con precisión todas aquellas áreas que requieren servicio y soporte externo,
bien sea: Proveedores, productos o servicios que permitan satisfacer las
necesidades de dichas áreas.
1.7. Evaluar
continuamente los planes y programas con el objeto de actualizarlos y
adaptarlos a la realidad cambiante del entorno.
1.8. Planificar
los talleres y cursos de adiestramiento que se dictarán en la organización en
base a los procesos de detección de necesidades y desarrollo de RRHH.
|
1.1.
Orientar
la planificación a la creación de registros y la documentación de todos los
procesos que se desarrollan en la organización, interrelacionándolos,
simplificándolos y descubriendo sus procesos comunes.
1.2. Comprometer
todos los niveles de la organización con la planificación efectiva.
1.3.Planificar
la adquisición de software y herramientas de gestión de proyectos.
1.4. Planificar
las campañas de concientización respecto a la seguridad de los sistemas de
información.
1.5. Planificar
las actividades relacionadas a la reducción de soporte físico en papel.
|
1.1.
Focalizar
la planificación en la creación de una metodología unificada, en base a los
procesos comunes descritos en el nivel anterior.
1.2.
Planificar
el desarrollo de sistemas que permitan la integración y faciliten el uso de
la información.
1.3.
Planificar
con el objetivo de impulsar la cultura cooperativa en la organización.
1.4.
Planificar
la arquitectura de seguridad.
|
1.1.
Planificar
los procesos de Benchmarking a ser implementados por la organización.
1.2.
Definir
los contratos de divulgación de información a terceros.
1.3.
Planificar
las actualizaciones y migraciones de los sistemas en función del
mejoramiento.
|
1.1.
Orientar
la planificación hacia actividades relacionadas con la mejora continua.
1.2.
Caracterizar
el proceso de planificación con técnicas ágiles que permitan la creación
rápida de planes dinámicos para realizar cambios y mejoras continuas.
1.3.
Incluir
en la planificación, la cooperación y la interrelación con otros entes.
|
2. Indicadores Claves de Desempeño para la Organización
|
||||
1
|
2
|
3
|
4
|
5
|
Lenguaje Común
|
Experiencias Repetibles
|
Metodología Única
|
Benchmarking
|
Mejora Continua
|
2.1.
Crear
manuales de la organización, objetivos, políticas, normas y procedimientos,
manteniéndolos permanentemente actualizados.
2.2.
Estructurar
organizacionalmente las Unidades de: Seguridad de Sistemas de información y
Auditoria de Sistemas, así como las responsabilidades y roles inherentes de
sus miembros.
2.3.
Independizar
jerárquica y presupuestariamente la Unidad de Sistemas de Información de
cualquier otra unidad administrativa, respondiendo directamente a la máxima
autoridad del Ente Ministerial.
2.4.
Realizar
una adecuada división del trabajo, repartiendo equitativamente las cargas de
trabajo.
2.5.
Delegar
funciones eficientemente, de manera que se delegue la autoridad más no la
responsabilidad.
2.6.
Implementar
el principio de unidad de mando, de manera que un trabajador solo reporte a
un jefe.
2.7.
Implementar
el principio de unidad de dirección, es decir, un único líder al mando de
cada unidad administrativa de TI.
2.8.
Implementar
el principio que nadie en la organización imprescindible. En caso de ausencia
siempre habrá un sustituto que realizará cabalmente las funciones.
2.9.
Documentar
el desarrollo de la gestión, resultados y experiencias para que sirva de base
para la creación del repositorio de lecciones aprendidas.
|
2.1.
Definir
los procesos comunes que permitan repetir experiencias exitosas.
2.2.
Definir
y documentar todos los procesos de la organización, estableciéndose la
interrelación coherente entre ellos.
2.3.
Impulsar
la comprensión de los conocimientos, metodologías y técnicas relativas a la
gestión.
|
2.1.
Unificar
todos los procesos en una metodología única que contribuya a fomentar la
cultura cooperativa y el efecto de la sinergia.
2.2.
Documentar
detalladamente y divulgar la metodología única desarrollada e implementada
por la organización.
2.3.
Profundizar
el apoyo a todos los niveles de gestión de la organización.
2.4.
Orientar
el comportamiento de la organización a la excelencia.
|
2.1.
Registrar
y documentar los resultados comparativos del Benchmarking.
2.2.
Revisar
periódicamente la estructura organizacional para garantizar su adaptación a
las necesidades presentes.
2.3.
Mejorar
continuamente la metodología única formulada, permitiendo mantener la ventaja
competitiva.
2.4.
Definir
los factores críticos de éxito, deben estar por escrito y ser conocidos por
todos los miembros de la organización.
|
2.1.
Adaptar
dinámicamente la organización a los cambios, haciéndola flexible. Ante los
problemas presentes o de mejoras necesarias se crean de inmediato grupos de
proyectos interdisciplinarios.
2.2.
Utilizar
el repositorio de lecciones aprendidas, así como de estudios de casos de
proyectos exitosos de manera rutinaria.
2.3.
Transferir
los conocimientos aprendidos a otros proyectos y equipos de trabajo.
2.4.
Registrar
los cambios realizados a la metodología, así como las mejoras obtenidas.
2.5.
Implementar
planes de cooperación con otras organizaciones, con el objeto de mejorar los procesos.
|
Tabla 6. Indicadores Claves del
Desempeño del Modelo Propuesto Relativos a la Dirección y Ejecución.
3. Indicadores Claves de Desempeño para la Dirección y Ejecución
|
||||
1
|
2
|
3
|
4
|
5
|
Lenguaje Común
|
Experiencias Repetibles
|
Metodología Única
|
Benchmarking
|
Mejora Continua
|
|
3.1. Utilizar
metodologías y técnicas de gestión que sigan prácticas y estándares formales
relativos a la administración y gestión de proyectos.
3.2. Tomar las decisiones
en consonancia con las necesidades y prioridades de la organización.
3.3. Erradicar el trabajo
basado en el empirismo, sustituyéndolo por prácticas, metodología y técnicas
ampliamente comprobadas y aceptadas.
3.4. Mantener el impulso
inicial de una buena gestión, mediante la coherencia y la eficacia de las
decisiones tomadas.
3.5. Generar el clima
adecuado de soporte y apoyo a los gerentes de manera que facilite el éxito de
la gestión.
3.6.
Cumplir
con los planes y programas en el tiempo establecido en los cronogramas de
trabajo.
|
3.1.
Predecir
comportamientos futuros en base al registro de experiencias pasadas y el
cúmulo de lecciones aprendidas.
3.2.
Ejecutar
los procedimientos de gestión en beneficio de la administración de costos,
tiempo, alcance y calidad.
3.3.
Apoyar
los principios, técnicas y metodologías de gestión.
3.4.
Implementar
el uso de herramientas de planificación de proyectos.
|
3.1.
Desarrollar
metodologías propias para formalizar una disciplina de gestión.
3.2.
Disminuir
el carácter burocrático y rígido de la gestión mediante el uso de la
metodología única y procesos bien definidos.
3.3.
Integrar
la metodología de gestión con los procesos organizacionales.
|
3.1.
Utilizar
las técnicas de Benchmarking, aunadas a las lecciones aprendidas como
herramienta para la mejora continua de procesos.
3.2.
Reutilizar
los procesos y estándares para la toma de decisiones así como la base de
conocimientos y lecciones aprendidas.
3.3.
Adoptar
los procesos estabilizados y mejorados en toda la organización.
3.4.
Establecer
amplias alianzas y redes con las cadenas de proveedores, para satisfacer las
necesidades de servicio y soporte.
|
3.1.
Evaluar
los resultados obtenidos del Benchmarking y decidir si dicha información
afectará la metodología de gestión desarrollada.
3.2.
Perfeccionar
los procedimientos administrativos continuamente en favor de lograr los
objetivos organizacionales.
3.3.
Priorizar
las causas que motivan las dificultades de gestión, eliminándolas
sistemáticamente.
3.4.
Compartir
las experiencias de la organización con otras semejantes, como vía para la
generación de nuevas ideas, evolución y perfeccionamiento de las metodologías
existentes.
3.5.
Retroalimentar
la información relativa a: Costos, programas, búsqueda de innovación y nuevas
tecnologías.
3.6.
Fomentar
la transparencia de los procesos de negocios.
|
4. Indicadores Claves de Desempeño para el Control y Evaluación
|
||||
1
|
2
|
3
|
4
|
5
|
Lenguaje Común
|
Experiencias Repetibles
|
Metodología Única
|
Benchmarking
|
Mejora Continua
|
|
4.1.
Establecer
los controles y las evaluaciones apegados a los requisitos de calidad
expuestos en la planificación realizada.
4.2.
Disminuir
el número de defectos o fallas en los productos o servicios entregados
mediante controles y evaluaciones oportunas.
4.3.
La
naturaleza de las evaluaciones debe ser objetivas, predominantemente
cuantitativas y de resultados verificables.
4.4.
Informar
oportunamente a los niveles gerenciales del resultado de las evaluaciones y
controles, integrando activamente dicha información al proceso de toma de
decisiones.
|
4.1.
Evaluar
el desempeño y la aplicación de controles de avance, esto como consecuencia
de la planificación de proyectos.
4.2.
Implementar
medidas para el control de tiempo, costo y ejecución de tareas.
4.3.
Establecer
las bases comparativas para el mejoramiento futuro de sus procesos.
4.4.
Formular
controles alineados a las políticas enunciadas, en base a los procedimientos
enunciados.
4.5.
Evaluar
la pertinencia e idoneidad de las lecciones aprendidas.
4.6.
Velar
por el uso adecuado de los conocimientos y lecciones aprendidas en los
procesos de toma de decisión.
|
4.1.
Garantizar
la creación de una metodología única mediante procesos de control y
evaluación continuos
4.2.
Orientar
el control y la evaluación hacia procesos interdepartamentales, debido a que
se han unificado los procesos, ya no deberían existir procesos aislados.
|
4.1.
Mantener
un nivel de mejora constante a través de la evaluación continua y comparativa
de Benchmarking.
4.2.
Utilizar
las métricas a partir de las evaluaciones y controles para la toma de decisiones.
4.3.
Implementar
tableros de control que indiquen en tiempo real el estado de avance de los
procesos.
4.4.
Evaluar
las limitaciones presentes en los sistemas para realizar migraciones o
actualizaciones.
4.5.
Controlar
la divulgación de información no autorizada a terceros.
|
4.1.
Evaluar
continuamente la aplicación de mejores prácticas.
4.2.
Revisar
y analizar regularmente las lecciones aprendidas para evaluar el desempeño
actual y mejorar los procesos.
4.3.
Establecer
procesos cuantitativos para medir la eficacia.
4.4.
Automatizar
los controles de seguridad.
4.5.
Retroalimentar
al Nivel 3 del modelo, para perfeccionar la metodología única.
4.6.
Retroalimentar
al Nivel 4, para establecer si el proceso de Benchmarking ha sido efectivo.
|
5. Indicadores Claves de Desempeño para la Gestión Humana
|
||||
1
|
2
|
3
|
4
|
5
|
Lenguaje Común
|
Experiencias Repetibles
|
Metodología Única
|
Benchmarking
|
Mejora Continua
|
|
5.1.
Establecer
un sistema de salarios justos y equitativos, recompensando al personal por la
labor realizada.
5.2.
Evaluar
el desempeño del Recurso Humano.
5.3.
Minimizar
los niveles de rotación y ausentismo del personal.
5.4.
Fomentar
y desarrollar el espíritu de equipo en los miembros de la organización,
mediante el adiestramiento y desarrollo de RRHH.
5.5.
Detectar
periódicamente las necesidades de adiestramiento del Recurso Humano.
5.6.
Dirigir
el adiestramiento fundamentalmente hacia áreas tales como: Cursos de
planificación y gestión de proyectos; seguridad de la información; estándares
de seguridad; documentación de procesos, elaboración de manuales operativos y
técnicos; integración de equipos de trabajo; relaciones humanas e
interpersonales.
5.7.
Potenciar
continuamente el conocimiento y las habilidades de los gerentes mediante
cursos de actualización, formación gerencial, uso de herramientas de
planificación y gestión de proyectos.
5.8.
Desarrollar
talleres y cursos que permitan minimizar los efectos de la resistencia en
función del cambio cultural de los procesos de gestión.
5.9.
Crear
un lenguaje propio y común con la finalidad de facilitar las comunicaciones y
desarrollar una cultura propia relativa a la seguridad de los sistemas de
información.
|
5.1.
Otorgar
incentivos al equipo de trabajo de seguridad, no individualmente sino como
grupo, con el objeto de reconocer su desempeño.
5.2.
Crear
grupos multidisciplinarios para disminuir los posibles problemas relacionados
con la coexistencia grupal, fomentando la cultura participativa y
cooperativa, evitando la cultura intercompetitiva.
5.3.
Promover
la capacitación del personal en los temas relacionados con la gestión de
proyectos.
5.4.
Promover
la capacitación del personal de seguridad y auditoría de sistemas de
información.
5.5.
Desarrollar
el sentido de conciencia por la seguridad mediante campañas y charlas.
|
5.1.
Evaluar
la efectividad del adiestramiento impartido, mediante análisis comparativo de
reducción de gastos.
5.2.
Reducir
la resistencia al cambio a su mínima expresión, mediante adiestramiento y
divulgación de los beneficios de la metodología única.
5.3.
Impulsar
la cultura cooperativa en base a la comunicación efectiva, colaboración,
confianza y trabajo en equipo, se refuerzan estas conductas mediante el
adiestramiento y desarrollo organizacional.
|
5.1.
Propiciar
el trabajo en equipo.
5.2.
Motivar
los equipos de trabajo como pieza clave de la adaptación y cambio
organizacional.
5.3.
Incentivar
el desarrollo de relaciones inter institucionales.
|
5.1.
Diseñar
planes formales para el desarrollo del personal, optimizando sus habilidades
y destrezas para la comunicación, las relaciones interpersonales y toma de
decisiones. De carácter continuo en función de las mejoras a realizar.
5.2.
Evaluar
que las personas trabajan teniendo en cuenta la calidad de producto o
servicio entregado, por lo que son coherentes y comprometidas con su trabajo.
5.3.
Enfocar
el adiestramiento hacia conocimientos y habilidades técnicas, liderazgo y
procesos propios de la organización.
5.4.
Adaptar
los planes de reclutamiento y selección a las necesidades presentes.
5.5.
Constatar
la proactividad de los trabajadores, deben ser capaces de reaccionar
rápidamente a los problemas.
|
Tabla 9. Indicadores Claves del
Desempeño del Modelo Propuesto Para el Manejo del Conocimiento.
6. Indicadores Claves de Desempeño para el Manejo del Conocimiento
|
||||
1
|
2
|
3
|
4
|
5
|
Lenguaje Común
|
Experiencias Repetibles
|
Metodología Única
|
Benchmarking
|
Mejora Continua
|
|
6.1.
Erradicar
individualidades, trabajar en equipo. Los intereses individuales se subordinan
a los intereses grupales y estos a su vez a los organizacionales.
6.2.
Concertar
el proceso de toma de decisiones entre todos sus miembros, promoviendo el
trabajo en equipo.
6.3.
Regularizar
las fuentes de información utilizada en sus procesos.
6.4.
Automatizar
los sistemas de información, erradicado plataformas con múltiples
aplicaciones, duplicidad de bases de datos, hojas de cálculo e interfaces
pobres.
6.5.
Compartir
la información uniformemente en toda la organización, llegando a todos los
involucrados en los procesos inherentes.
6.6.
Propiciar
el uso de herramientas colaborativas, que facilite la integración de los
equipos de trabajo, tales como correo electrónico, mensajes de texto, chat
escrito y de voz, etc.
6.7.
Divulgar
y estimular el uso del lenguaje y terminología común a la gestión de
procesos.
|
6.1.
Incrementar
la capacidad para consolidar y compartir información.
6.2.
Manejar
los sistemas y la información a nivel interdepartamental, compartiendo la
información entre múltiples departamentos.
6.3.
Trabajar
con fuentes únicas y comunes de información, compartiendo recursos entre
departamentos y grupos de trabajo, haciendo la información más consistente.
6.4.
Hacer
fluir la información continuamente entre los grupos de trabajo.
6.5.
Crear
grupos de trabajo multidisciplinarios.
6.6.
Implementar
el uso de correo electrónico, firma digital, automatización de procesos y
mensajes de texto, como parte de la campaña para reducir el soporte físico en
papel.
6.7.
Impulsar
el uso de herramientas sofisticadas de trabajo, erradicando las hojas de cálculo
y las bases de datos improvisadas.
|
6.1.
Catalogar
la documentación e información para convertirla en un activo útil, lista para
ser aprovechada.
6.2.
Hacer
que la información sea transparente, fidedigna, confiable, predecible,
consistentes y disponible en todos los ámbitos de la organización.
6.3.
Centralizar
los sistemas de información de gestión, se deben encontrar organizados y
financiados a nivel organizacional.
6.4.
Promover
la virtualización de los sistemas, de manera que sean más abstractos y
sencillos de administrar.
6.5.
Unificar
y simplificar del lenguaje común desarrollado, llegando incluso a la creación
de un lenguaje simbólico propio de la organización.
|
6.1.
Compartir
la información tanto internamente como con otras organizaciones de similar
índole.
6.2.
Permitir
la disponibilidad de los modelos de procesos desarrollados a todos los
miembros de la organización.
6.3.
Estimular
la participación de clientes y usuarios en la mejora de los procesos.
6.4.
Implementar
estrategias de migración que faciliten la implementación de nuevos sistemas y
productos.
6.5.
Poseer
la capacidad de actualizar los sistemas con las mínimas dificultades y de
manera controlada. Se está a día en el uso de la mejor tecnología, ajustada y
adecuada a las exigencias de la organización.
|
6.1.
Innovar
continuamente.
6.2.
Participación
activa de los individuos en la enseñanza, transmisión de sus experiencias y
conocimientos en cada oportunidad.
6.3.
Capturar
y analizar las nuevas ideas, se comparan con las desarrolladas por otras
organizaciones similares, permitiendo dar saltos innovadores en productos o
servicios.
6.4.
Incorporar
el conocimiento relativo a las fallas ocurridas como mecanismo para
enriquecer la gestión de la organización, incrementando sus conocimientos y
experiencias.
6.5.
Utilizar
el mapa universal de procesos para simular y probar nuevos flujos de procesos
con objeto de dar cabida a las innovaciones.
6.6.
Probar
múltiples escenarios en los entornos construidos para ello.
6.7.
Fortalecer
la conciencia colectiva en relación a la seguridad de los sistemas de
información.
|
Tabla 10. Indicadores Claves del
Desempeño del Modelo Propuesto Para la Seguridad de los Sistemas de Información.
7. Indicadores Claves de Desempeño para la Seguridad de los Sistemas de
Información
|
||||
1
|
2
|
3
|
4
|
5
|
Lenguaje Común
|
Experiencias Repetibles
|
Metodología Única
|
Benchmarking
|
Mejora Continua
|
|
7.1. Eliminar
las medidas de seguridad improvisadas.
7.2.
Identificar
todos los procesos inherentes a las tecnologías de la información a los que
se le brindará soporte de seguridad.
7.3.
Establecer
los requisitos de seguridad mediante análisis comparativo de la situación
existente y de lo establecido en los estándares y normas internacionales de
seguridad.
7.4.
Elaborar
el programa formal de seguridad, haciendo énfasis en la seguridad física y medioambiental.
7.5.
Clasificar
los activos de información, determinando cuál es pública, confidencial y el
tiempo de latencia en la cual permanecerá almacenada.
7.6.
Determinar
los perfiles de los recursos, equipos e información, así como su sensibilidad
ante los riesgos.
7.7.
Formular
todos los escenarios y probabilidades de ataques, vulnerabilidades, riesgos,
amenazas y errores posibles.
7.8.
Evaluar
el riesgo, tomando la decisión de aceptar, evitar o transferirlo, enunciando
las respectivas contramedidas.
7.9.
Documentar
los planes de mitigación de riesgos, así como las excepciones a las que
hubiere lugar.
7.10.
Registrar
sistemáticamente todos los eventos relativos a la seguridad, riesgos,
amenazas, ataques y vulnerabilidades que hayan sido solventadas, así como las
técnicas utilizadas y sugerencias para un mejor desempeño futuro.
7.11.
Mitigar
los riesgos en base a los planes, aplicando los controles específicos para
cada situación.
7.12.
Validar
los controles aplicados para asegurarse que los riesgos reales coincidan con
el nivel de riesgos aceptados, se comparan los perfiles definidos con los
resultados reales, midiendo la eficiencia de los planes y programas de
seguridad.
7.13.
Auditar
y monitorear periódicamente los cambios que puedan afectar el perfil de los
riesgos definidos anteriormente.
7.14.
Automatizar
los controles de seguridad.
|
7.1.
Hacer
una revisión crítica de la organización, de los roles, funciones y
responsabilidades, se deben establecer los comportamientos esperados en casos
de contingencia.
7.2.
Automatizar
la base de conocimientos y experiencias para que estén disponibles y sean de
fácil accesos a los miembros de la organización.
7.3.
Automatizar
la documentación de todos los procesos relativos a la seguridad de la
información.
7.4.
Formular
políticas que permitan profundizar las medidas de seguridad.
7.5.
Establecer
controles físicos, lógicos y administrativos relativos a la seguridad de los
sistemas de información.
7.6.
Implementar
sistemas de encriptación para la información clasificada como sensible, así
como seguridad para los sistemas de comunicaciones alámbricos e inalámbricos.
7.7.
Implementar
sistemas de contingencia y recuperación que garanticen la operatividad de la
organización y la continuidad del negocio.
7.8.
Hacer
énfasis en el apego al cumplimiento de los requisitos del entorno legal de la
organización.
7.9.
Incrementar
los niveles de confianza del equipo encargado de la seguridad de la
información, para enfrentar situaciones que afecten los sistemas.
|
7.1.
Estandarizar
toda la plataforma de Tecnología de la Información, esto como consecuencia
del establecimiento de una arquitectura unificada de seguridad.
7.2.
Desarrollar
la arquitectura física, técnica y metodológica para la seguridad de los
sistemas de información capaz de hacer frente a todos los posibles escenarios
y amenazas.
7.3.
Establecer
metas de seguridad medibles.
7.4.
Formular
métricas capaces de medir objetivamente el desempeño del plan estratégico de
seguridad de la información.
7.5.
Formular
una metodología única de seguridad de la información que permita afrontar los
eventos de seguridad de una manera consistente y uniforme.
7.6.
Ajustar
los controles a la realidad existente, haciéndose más elevados técnicamente y
menos visibles por los usuarios.
7.7.
Perfeccionar
continuamente las políticas, normas y procedimientos relativos a la seguridad
de los sistemas de información, en base a las mejores prácticas y estándares
internacionales.
|
7.1.
Comparar
el modelo de seguridad logrado con el de otras organizaciones de igual o
similar índole (Benchmarking).
7.2.
Implementar
evaluaciones continuas que permitan adaptarse y actualizarse a los cambios
tecnológicos.
7.3.
Perfeccionar
continuamente los procesos de seguridad de la información para adaptarlos a
las innovaciones tecnológicas.
7.4.
Controla
y brindar soporte en seguridad en forma 24/7 (24 horas al día los siete días
de la semana) durante todo el año.
7.5.
Realizar
pruebas continuas de seguridad.
7.6.
Identificar
oportunamente y con precisión las amenazas, vulnerabilidades y riesgos
asociados a las seguridad de los sistemas de información.
7.7.
Crear
un inventario de recursos financieros, materiales, humanos y tecnológicos
necesarios para apoyar la arquitectura de seguridad de los sistemas de
información, en consonancia con las necesidades presentes. Dicho inventario
se actualiza periódicamente.
|
7.1.
Promover
la integración, no sólo dentro de la organización, sino con otros entes, compartiendo las experiencias
y lecciones aprendidas.
7.2.
Constituir
equipos interdisciplinarios e interministeriales con el objeto de contribuir
a la mejora continua de metodologías y modelos de seguridad de los sistemas
de información.
7.3. Enfocar la seguridad
en actitudes más proactivas que reactivas.
7.4.
Implementar
sistemas de control totalmente automatizados.
7.5.
Realizar
evaluaciones periódicas que permiten adaptar el modelo y la metodología de
seguridad de sistemas de información a las necesidades presentes.
|
Referencias Bibliográficas
- Cameron, S. (2011). Enterprise Content Management. A Business and Technical Guide. Swindon, United Kingdom. British Informatics Society Limited.
- Kerzner, H. (2009). Project Management a Systems Approach to Planning, Scheduling and Controlling. (10ª Ed.). New Jersey. John Wiley & Sons, Inc.
- Wheeler, E. (2011). Security Risk Management Building an Information Security Risk Management Program from the Ground Up. EEUU. Elsevier Inc
Suscribirse a:
Entradas (Atom)