Identificacin del estudiante

Tarea de accin Semana 4

Gestin de la Seguridad Informtica
Nombre Robinson Castillo G.
Profesin Ingeniero de Ejecucin en Informtica
Institucin Pontificia Universidad Catlica de Valparaso
Ciudad - Pas Villa Alemana Chile
Correo electrnico rcastillo.info@gmail.com
Nombre Pablo Maldonado B.
Profesin Ingeniero de Ejecucin en Informtica
Institucin Pontificia Universidad Catlica de Valparaso
Ciudad - Pas Via del Mar, Chile
Correo electrnico pablo.maldonado@gmail.com
Nombre Jonathan Seplveda R.
Profesin Ingeniero de Ejecucin en Informtica
Institucin Instituto Profesional Duoc UC
Ciudad - Pas Valparaso, Chile
Correo electrnico jsepruz@gmail.com
Introduccin
Teniendo presentes los objetivos detectados en la primera etapa de
implementacin del proyecto SGSI en el Laboratorio de Computadores de la Facultad
de Ingeniera de la Universidad Nacional, ser necesario realizar un anlisis con la
finalidad de disear y comparar distintas soluciones que permitan alcanzar dichos
objetivos. Para ello, debern estudiarse sus caractersticas individuales, determinar las
ventajas y desventajas que presenta cada una de ellas y, a partir de esto, decidir cul
es la mejor opcin a elegir y justificar el por qu de su eleccin.

Posteriormente, se evaluar si es conveniente o adecuado el uso de alguna
metodologa para el desarrollo y la gestin del proyecto, considerando la naturaleza
particular de este proyecto y las necesidades que debern ser cubiertas tras su
implementacin.

Para finalizar, ser necesario promover la implantacin del proyecto a los
altos directivos de la organizacin, con la finalidad de que comprendan los beneficios
que el proyecto les entregar y, por ende, realicen la inversin necesaria para su
ejecucin. Para esto, ser necesario realizar una evaluacin del proyecto desde el
punto de vista de la propuesta de valor entregada por la implementacin de ste tanto
a corto, mediano, como a largo plazo, donde se demuestre la ganancia que genera a la
organizacin.
Contextualizacin
Luego de dos procesos de auditora, se detect que la seguridad informtica del
Laboratorio debe ser revisada debido a que no cumple con los actuales estndares de
seguridad. Por este motivo, se ha decidido implementar un Sistema de Gestin de
Seguridad de la Informacin, con el fin de conocer, gestionar y minimizar los posibles
riesgos que puedan existir.

Se han definido medidas de tratamiento para cada una de stas y se han identificado a
los funcionarios que sern los responsables del cumplimiento de estas medidas.

Se estableci el alcance del proyecto de implantacin del SGSI, determinando cules
seran las reas donde se enfocara el proyecto y de qu forma stas seran abordadas
para solucionar las debilidades identificadas. Para determinar el xito de la
implementacin, se establecieron las mtricas necesarias que permitieran evaluar si las
mejoras aplicadas han sido satisfactorias.

En la ltima etapa del proyecto, resta elegir la alternativa de solucin ms adecuada y
definir la propuesta del valor del proyecto, con la finalidad de que los ejecutivos capten
la importancia y los beneficios del proyecto y, por consiguiente, aprueben y apoyen su
implantacin.

Alternativas de Solucin
Equipo Interno
Una de las alternativas es designar un grupo de trabajo interno que dedique sus
esfuerzos a realizar dicha tarea, es decir, que aporten un enfoque sistemtico y
disciplinado para evaluar y mejorar la efectividad de la gestin de riesgos, controles y
procesos, para as permitir a la organizacin alcanzar sus objetivos especficos
paulatinamente hasta lograr el objetivo general.

Equipo Externo
La segunda alternativa a analizar, por contraparte, considera una solucin tercerizada,
consistente en la contratacin de un servicio de outsourcing que entregue un equipo
externo especializado e independiente, el cual estar encargado de llevar a cabo las
labores asociadas a la implementacin de las normativas.

Cosourcing
Por ltimo, la tercera alternativa a analizar apunta hacia el cosourcing, el cual consiste
en el trabajo colaborativo entre recursos humanos internos y de personal externo, los
cuales realizarn en conjunto las tareas de aplicacin de las normativas, generando una
relacin win-win con una empresa competente que agregue valor a la organizacin.

Comparacin de Alternativas

Caractersticas
Alternativas de Solucin

Interna Externa Cosourcing
Conocimiento de la organizacin y los procesos crticos de sta Alto Medio Alto
Proporcin de validez Bajo Alto Alto
Deteccin de errores Medio Alto Alto
Educacin de la organizacin Bajo Alto Alto
Flexibilidad para el manejo de recursos Medio Medio Alto
Dependencia con la organizacin Alto Bajo Alto
Adaptacin al cumplimiento de la planificacin Bajo Medio Medio
Aplicacin de normas y principios estndares Bajo Alto Alto
Responsabilidad frente a terceros Bajo Alto Alto
Frecuencia de control sobre los procesos Alto Bajo Alto
Adaptacin a la cultura interna y a las interacciones informales
dentro de los grupos de trabajo Alto Medio Alto
Grado de especializacin Bajo Alto Alto
Asesoramiento o recomendacin ante deteccin de mejoras
y/o debilidades. Medio Bajo Medio
Control de costos asociados Medio Bajo Alto
Justificacin de la solucin escogida
Se ha decidido escoger el cosourcing como la alternativa ms beneficiosa para la
implementacin del proyecto, debido a que entrega un enfoque mucho ms flexible
para el apoyo de las reas y el control de los procesos, permitiendo que el equipo
interno de la organizacin mantenga el control y la responsabilidad de las funciones,
mientras que la empresa que colabora con el equipo externo aporta recursos on-
demand.

Esta alternativa "fusiona" las dos primeras opciones evaluadas, es decir, el trabajo con
equipo interno y con equipo externo. A partir de esto, se puede extraer lo mejor de
cada una de estas para generar una alternativa lo suficientemente ptima.

Metodologa de Trabajo

La metodologa de desarrollo definida es la iterativa e incremental, debido a que bajo
sta podemos:

Agrupar tareas en pequeas etapas repetitivas: El proyecto ser planificado en bloques
temporales llamados iteraciones, a travs de estas es posible dividir el proyecto en
conjuntos de tareas que tienen como resultado entregas parciales de los temas que
aborda el proyecto.

Incrementar el producto final en cada iteracin: Nuestro producto final es la
implementacin de la normativa, la cual implica una serie de pasos o tareas a cumplir en
la organizacin, para lograr lo anterior esta metodologa nos proporciona una forma de
trabajo en donde en cada iteracin se ir evolucionando en la implementacin hasta
llegar a completarla.

Metodologa de Gestin
La metodologa de gestin de proyecto a utilizar se basara en la gua PMBOK, la cual
cuenta con un conjunto de mejores prcticas en la administracin de proyectos, las
etapas del proyecto se dividirn en:

Inicio
Planificacin
Ejecucin
Seguimiento y Control
Cierre
Propuesta de Valor

Propuesta de Valor (Corto Plazo)
El primer ao se disminuirn los gastos en un 70% por concepto de horas gastadas por
el personal del laboratorio en resolver distintos incidentes asociados a la seguridad de
la informacin del mismo:

Propuesta de Valor (Mediano Plazo)
El segundo ao se suma la correccin de los controles que actualmente se estn
llevando a cabo, debido a la eficacia que podrn obtener el SGSI producto de la
maduracin de la seguridad de la informacin en el laboratorio se ahorraran en un
80% los gastos asociados a la reposicin de insumos:

Propuesta de Valor (Largo Plazo)
Ya a largo plazo se podrn obtener factores como la evaluacin de la evolucin de la
cultura de seguridad de la informacin en el tiempo dentro de la organizacin, realizar
mejora continua de los procesos y generar conocimiento del nivel de madurez que
han alcanzado los controles. Con lo anterior se generara una madurez tal que permita
reducir an ms los costos antes mencionados por resolucin de incidentes, ya
pasando de un 70% de disminucin de gastos por este concepto a un 90%,lo mismo se
ve aplicado para la reposicin de insumos que de un 80% de ahorro pasa a un 95%,a
continuacin el detalle:

Propuesta de Valor (Justificacin)
Propuesta Valor a corto plazo:
Capacitacin interna para los integrantes del proyecto al trabajar con consultores
expertos, el conocimiento se queda en la organizacin.
Generar informacin relevante respecto a los controles que sirva como entrada
para el plan de anlisis y tratamiento de riesgos.
Generar informacin objetiva para la toma de decisiones de la gerencia respecto a
la seguridad de la informacin y los objetivos del negocio.

Propuesta Valor a mediano plazo:
Evitar invertir dinero en controles que no funcionaran correctamente
Generar procesos de mejoras continuas en base a los resultados de los controles
Comunicar valores de seguridad de la informacin a la organizacin
Identificacin de problemas emergentes

Propuesta Valor a largo plazo:
Evaluar la evolucin de la cultura de seguridad de la informacin en el tiempo
dentro de la organizacin.
Conocer el nivel de madurez que han alcanzado los controles.
Verificar el cumplimiento de polticas y normativas
Conclusiones
Se analizaron diversas alternativas de solucin para la implementacin del proyecto
SGSI dentro de ste, determinando que la ms apropiada y beneficiosa para la
organizacin es la designacin de un equipo de trabajo en modalidad de cosourcing,
con objeto de aprovechar las ventajas que entregan tanto los equipos de trabajo
interno, como los equipos de trabajo de outsourcing.

Fue necesario tambin escoger las metodologas que se adecen a la ejecucin de ste
de la mejor manera posible. La eleccin concluy con la seleccin de una metodologa
de desarrollo iterativa e incremental con la finalidad de agrupar tareas en pequeas
etapas repetitivas e incrementar el producto final en cada iteracin. Como modelo de
gestin, se escogi el estndar PMBOK como el ms apropiado, puesto que entrega un
conjunto de conocimientos y de prcticas que pueden ser aplicadas a cualquier
situacin que requiera formular, las cuales han sido concebidas luego de la evaluacin y
el consenso entre profesionales, respecto sobre su valor y utilidad.

Se defini la propuesta de valor a partir de la alternativa de solucin escogida, que
entregara un retorno lo suficientemente atractivo y beneficioso como para que su
implementacin sea aprobada.
Referencias

[1] "Implantacin de un Sistema de Gestin de Seguridad de la Informacin Aplicada al Dominio
Gestin de Activos para La Empresa Plsticos Internacionales Plasinca C.A.", Escuela Superior
Politcnica del Litoral, 2011
http://www.dspace.espol.edu.ec/bitstream/123456789/21624/1/Manual%20SGSI%20Aplicada%2
0a%20la%20Gestion%20de%20Activos.pdf

[2] ISO 27000
http://www.iso27000.es/sgsi.html

[3] "PMBOK Guide and Standards"
http://www.pmi.org/PMBOK-Guide-and-Standards.aspx