Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AGENDA
Control de cambios y tecnologa Supervisando Implementacin Ejecutando el Plan Ciclo de retroalimentacin Estrategias de conversin El modelo del ojo del toro Subcontratar o no Consideraciones al cambio Resistencia al cambio
Aspectos financieros Prioridades Tiempo y cronograma Personal Alcance Procura Factibilidad Organizacional Entrenamiento y adoctrinamiento
Objetivos :
Al trmino de esta sesin los alumnos sern capaces de: Describir como el Modelo de Seguridad de la organizacin se convierte en un Plan de proyecto Discutir las numerosas consideraciones organizacionales que deben ser tomadas en cuenta por el Plan del Proyecto Describir el significativo rol del Gerente del Proyecto en el xito de un proyecto de Seguridad de la Informacin
Objetivos
Al trmino de esta sesin los alumnos sern capaces de: Discutir la necesidad de profesionales de Gestin de Proyectos para Proyectos complejos Describir las estrategias tcnicas y modelos para implementar el Plan del Proyecto Reconocer los problemas no tcnicos que las organizaciones enfrentan en tiempos de cambios rpidos
Introduccin
En general la Fase de inplementacin es conseguida cambiando la configuracin y operacin de los sistemas de informacin de la organizacin para hacerlos mas seguros. Ello incluye cambios a:
Procedimientos (a travs de polticas) Gente (a travs de entrenamiento) Hardware (a travs de firewalls) Software (a travs de encriptacin) Datos (tal vez a travs de su clasificacin)
Introduccin
Durante la fase de implementacin, la organizacin traduce su Modelo de Seguridad de Informacin en un Plan concreto de Proyecto Un plan de proyecto entrega instrucciones a los individuos que estn ejecutando la implementacin
Introduccin
Estas instrucciones se enfocan en los cambios a los controles de seguridad necesarios para el hardware, software, procedimientos, datos, y personas que componen los sistemas de informacin de la organizacin Antes que un Plan de Proyecto pueda ser desarrollado, la Gerencia debe haber articulado y coordinado la visin de la seguridad de la Informacin y los objetivos involucrados en la ejecucin del plan
Fase de Implementacin
Analyze Logical Design Physical Design Implementa tion: Implementing Security Chapter 10 Implementa tion: Personnel & Security Chapter 11 Maintain
FIGURE 10- 1
Una vez que la visin y objetivos de la organizacin son documentados y entendidos, el modelo puede ser convertido en un Plan de Proyecto Los principales pasos en la ejecucin del Plan del Proyecto son:
Planeamiento del proyecto Supervisar tareas y mantener el control Desenvolver el plan del proyecto
El plan del proyecto puede ser desarrollado de muchas formas Cada organizacin tiene que determinar su propia Metodologa de Gestin de proyectos para proyectos de TI y de Seguridad de informacin
Gerencia de Proyecto
Cuando sea posible, los proyectos de seguridad de informacin deben seguir las prcticas organizacionales de la Gestin de Proyectos. Si su organizacin no tiene definidas sus prcticas de gerencia de Proyecto, se pueden seguir las siguientes guas generales sobre prcticas de Gerencia de Proyectos que pueden ser aplicadas
Creacin de un Plan detallado del Proyecto usando una simple herramienta de planificacin como es la estructura de descomposicin del trabajo (WBS)
Cada tarea principal luego es dividida ya sea en tareas mas pequeas o acciones especficas
Trabajo a ser conseguido (actividades y entregables) Individuos (o juegos de habilidades) asignados para la ejecucin de tareas Fechas de inicio y fin para las tareas (cuando son conocidas) (hitos) Cantidad de esfuerzo requerido para completar en horas o das de trabajo (entender tareas y acordar estimados) Gastos de capital estimados para las tareas (firewall y otros) Gastos corrientes para las tareas (programa de gestin de la seguridad) Otras tareas sobre las que las tareas dependen (predecesoras, sucesoras)
Conforme el plan es desarrollado, la adicin de detalle al plan no siempre es sencilla Las consideraciones especiales incluyen:
Aspecto financiero prioridad tiempo personal alcance procura Factibilidad organizacional Entrenamiento y adoctrinamiento Control de cambios y aspectos tecnolgicos
Cada gran tarea es luego dividida ya sea en tareas mas pequeas o en acciones especficas Los componentes claves del proyecto son:
Identificar el trabajo a ser conseguido Describir el juego de habilidades o necesidades de personal para conseguir la tarea Centrarse en la determinacin de las fechas de determinacin para los hitos principales
Estimar los gastos de capital esperados para culminar la tarea, subtarea o accin Estimar los gastos corrientes para culminar la tarea, subtarea o accin. Observe donde sea posible las dependencias con otras tareas o pasos actuales de las acciones
Aspectos Financieros
No importa que necesidades de seguridad existen en la organizacin, la cantidad de esfuerzo que puede ser gastada depende de los fondos disponibles Un anlisis Costo-beneficio debe ser verificado antes del desarrollo del plan del proyecto
Aspectos financieros
Tanto las organizaciones pblicas como privadas tienen restricciones presupuestales, a pesar de que son de naturaleza diferente Para justificar la cantidad presupuestada para un proyecto de seguridad ya sea en organizaciones pblicas o lucrativas, puede ser til comparar gastos de organizaciones similares
Prioridad
En general, los controles principales de seguridad de la informacin deben ser cronogramados primero La implementacin de controles es guiada por la priorizacin de las amenazas y el valor de los activos de informacin amenazados Un control que cuesta un poco mas y que est en un nivel mas bajo de la lista de priorizacin pero que trata muchas mas vulnerabilidades especficas y amenazas tiene una mayor prioridad que uno de prioridad mas alta y menos caro que solo trata una vulnerabilidad en particular
Tiempo y cronograma
El tiempo es otra restriccin que tiene un amplio impacto en el desarrollo del plan del proyecto El tiempo puede impactar docenas de puntos en el desarrollo de un plan de proyecto, los que incluyen:
Tiempo para ordenar y recibir un control de seguridad debido a reservas de un vendedor o fabricante Tiempo para instalar y configurar el control Tiempo para entrenar a usuarios Tiempo para conseguir el retorno de la inversin en el control
Personal
La falta de personal suficiente, calificado, entrenado y disponible tambin es una restriccin al proyecto Personal con experiencia es frecuentemente necesitado para implementar las tecnologas disponibles y desarrollar e implementar polticas y programas de entrenamiento Si ningn miembro del personal es entrenado para configurar un firewall que est siendo comprado, alguien debe ser entrenado o contratado con la experiencia suficiente para esa tecnologa en particular
Alcance
Es no realista instalar todos los componentes de seguridad de informacin a la vez En adicin a las restricciones de manipular tantas tareas complejas a la vez, hay problemas de conflictos interrelacionados entre la instalacin de controles de seguridad de informacin y las operaciones diarias de la organizacin La instalacin de nuevos controles de seguridad de informacin tambin pueden causar conflictos con los controles existentes
Procura
Todos los planificadores de TI y seguridad de informacin deben considerar la adquisicin de productos y servicios Hay algunas restricciones en el proceso de seleccin de equipamiento y servicios en muchas organizaciones, especficamente en la seleccin de ciertos vendedores de servicios o productos de fabricantes y proveedores Estas restricciones pueden cambiar las especificaciones de una tecnologa particular o an eliminarla de las posibilidades reales
Factibilidad Organizacional
Las Polticas requieren de tiempo para desarrollarse y las nuevas tecnologas requieren de tiempo para ser instaladas, configuradas, y probadas Los empleados necesitan entender como un nuevo programa impacta en su trabajo
Factibilidad Organizacional
La meta del Plan del proyecto es evitar que los nuevos componentes de seguridad impacten directamente en las operaciones diarias de los empleados individuales Los cambios deben ser transparentes a usuarios, a menos que la nueva tecnologa cause cambios a procedimientos, como requerir autenticacin o verificacin adicional
Entrenamiento y adoctrinamiento
El tamao de la organizacin y la conduccin normal del negocio puede impedir un simple pero gran programa de entrenamiento Como resultante, la organizacin debe conducir fases o enfoques de pilotos para su implementacin, tales como desplegar el entrenamiento departamento por departamento
Entrenamiento y adoctrinamiento
En el caso de polticas, puede ser suficiente resumir a los supervisores sobre la nueva poltica y luego que estos actualicen a los usuarios finales en reuniones normales Asegurar que documentos de conformidad estn distribuidos a todos los empleados que los requieran para su lectura, entendimiento y acuerdo con las nuevas polticas
En las organizaciones que tienen grandes infraestructuras, el control de cambios y los problemas de la tecnologa son esenciales
Requiere un juego nico de habilidades y un entendimiento completo de un amplio campo de conocimiento especializado Es una asuncin realista que muchos proyectos de seguridad de informacin requieren un gerente de proyecto entrenado. Gerente de Seguridad de Informacin o Gerente de TI con muchas habilidades y versado en tcnicas de Gestin de Proyectos para supervisar el proyecto
Adems, cuando se seleccione tecnologas avanzadas o integradas o se subcontraten los servicios, aun los Gerentes de proyectos experimentados son aconsejados que busquen asistencia experta cuando se requiera un proceso formal de concurso
Supervisando Implementacin
Algunas organizaciones pueden designar a un representante ideal de la gerencia general para supervisar la implementacin de un plan de proyecto Una alternativa es designar un Gerente TI senior o al Gerente de Informacin de la organizacin para dirigir la implementacin
Supervisando Implementacin
La solucin ptima es designar a una persona adecuada de la comunidad de inters de Seguridad de la Informacin, ya que el enfoque inherente est en las necesidades de seguridad de informacin de la organizacin Depende de cada organizacin encontrar el liderazgo adecuado para la implementacin exitosa del proyecto
Ejecutando el Plan
Progreso es medido peridicamente Las medidas son comparadas contra los resultados esperados
Ejecutando el Plan
En el caso de acciones correctivas se requiere ya sea el estimado que estuvo defectuoso o el rendimiento o la demora ocasionada
Cuando un estimado es defectuoso, se debe de corregir el plan y actualizar las dems actividades siguientes para reflejar el cambio Cuando el rendimiento tiene demoras adicione recursos, alarge el cronograma o reduzca la calidad o cantidad de entregables
Ejecutando el Plan
Las decisiones usualmente son expresadas en terminos de negociaciones Con frecuencia un Gerente de Proyecto puede ajustar uno de tres parmetros de planeamiento
Ciclo de retroalimentacin
Plan es desarrollado Trabajo Progreso es medido Si Proyecto es completo
Completo? No Si En objetivo?
No
Accin Correctiva
FIGURE 10-2
Estrategias de Conversin
Conversin Directa: tambin conocida como proceder framente, involucra detener el viejo mtodo y comenzar el nuevo (hacer pruebas para reducir problemas). Implementacin faseada: es el enfoque mas comn que involucra desplegar una pieza del sistema a travs de toda la organizacin (es lo mejor).
Estrategias de conversin
(continuacin)
Implementacin de Piloto: involucra implementar todas las mejoras de seguridad en una simple oficina, departamento, o divisin y resolver los problemas dentro de ese grupo antes de expandirlo al resto de la organizacin (investigacin y desarrollo para resolver problemas que emergan). Operaciones en Paralelo: involucran ejecutar los nuevos mtodos junto con los antiguos mtodos
Aplicaciones
A travs de la revisin del Modelo de Seguridad de Informacin y el estado actual de los esfuerzos de seguridad de informacin en trmino de las cuatro capas del modelo del ojo del toro, los planificadores del proyecto pueden encontrar guas acerca de donde hacer presin para ampliar las capacidades de la seguridad de informacin Depende del proceso de evaluacin de los planes del proyecto en una progresin a travs de las cuatro capas: polticas, redes, sistemas y aplicaciones
Las ms importantes y usables polticas de TI y de seguridad de informacin van primero Los controles de redes son diseados y desplegados en segundo lugar En tecer lugar la Informacin, procesos, y sistemas fabricados son asegurados El paso final es evaluacin y remedio de la seguridad de las aplicaciones de la organizacin.
Subcontratar o No
Asi como algunas organizaciones subcontratan las operaciones TI, las organizaciones pueden subcontratar parte o todo el programa de seguridad de la informacin Cuando una organizacin ha subcontratado los servicios TI, la seguridad de la informacin debe ser parte del convenio de contrato con esa empresa Como la subcontratacin es compleja, la contratacin de especialistas y abogados que verifiquen los aspectos legales y tcnicos del contrato de outsourcing
Otros factores que determinan el xito de una organizacin TI y del proceso de implementacin de la seguridad no son de naturaleza tcnica pero tratan con la interfase humana con los sistemas tcnicos Estos factores incluyen tecnologa y
La gestin de la tecnologa es un proceso complejo que una organizacin usa para gestionar los impactos y costos causados por la implementacin de la tecnologa, innovacin y obsolescencia Este gobierno de la tecnologa tambin facilita la comunicacin acerca de los avances tcnicos y problemas a travs de la organizacin
Las grandes y medianas organizaciones tratan con el impacto de cambio tcnico sobre la operacin de la organizacin a travs de un proceso de control de cambios
Perspectivas de cambio pueden causar que los empleados se resistan conciente o inconcientemente El stress del cambio puede incrementar la probabilidad de errores o crear vulnerabilidades La resistencia al cambio puede ser reducida construyendo elasticidad para el cambio
Mejora la comunicacin acerca del cambio Mejora la coordinacin entre los grupos organizacionales conforme los cambios son cronogramados y completados Reducir las consecuencias no deseadas por tener un proceso para resolver los conflictos potenciales e interrupciones Mejorar la calidad del servicio conforme las fallas potenciales son eliminadas y trabajando junto los grupos Asegurar la gestin de que todos los grupos estn cumpliendo con las Polticas de la organizacin respecto a la tecnologa, procura, y seguridad de la informacin
Cultura de Cambio
Uno de los modelos mas viejos para hacer cambios en el modelo de Lewin:
Descongelando: derritiendo los duros y rpidos hbitos y procedimientos establecidos. Moviendo: la transicin entre la vieja forma y la nueva. Recongelando: la integracin de los nuevos mtodos hacia la cultura organizacional.
Consideraciones en Cambios
Para hacer que una organizacin realice cambios mas amenos, se deben tomar algunos pasos:
Reducir la resistencia al cambio desde el inicio del proceso de planeamiento Dar pasos para modificar la organizacin para que sea mas aceptante a los cambios
Reducir Resistencia
Mientras ms arraigados estn los mtodos anteriores y comportamientos, mas dificil sern los cambios El mecanismo primario usado para superar esta resistencia al cambio es mejorar la interaccin entre los miembros afectados de la organizacin y los planificadores del proyecto en las fases mas tempranas del ciclo de vida de desarrollo de sistemas de seguridad Las guas para mejorar esta interaccin es un proceso de tres pasos:
La mejor situacin es una organizacin con una cultura que est mas all de la baja resistencia al cambio pero que fomenta la elasticidad para el cambio Esta elasticidad significa que la organizacin ha llegado a esperar que el cambio es una parte necesaria de la cultura organizacional y que adoptar el cambio es mas productivo que lucharlo Para desarrollar tal cultura la organizacin debe cumplir exitosamente con muchos proyectos que requieren cambios