Hay un viejo dicho acerca de la importancia de la planificación: "No planificar es fallar". Si bien el dicho se
ha convertido en casi un cliché de años de uso, es esencialmente cierto. Muy pocos proyectos logran alcanzar sus objetivos
sin el apoyo de un plan claro, comprensivo, completamente definido y aprobado.
Por lo tanto, el propósito de este artículo: crear un plan de proyecto en apoyo de una solución. Este artículo, el tercero
de una serie de 6 partes que analiza la aplicación práctica de un marco de gobierno de TI empresarial (GEIT), describe
el plan creado para respaldar la solución diseñada en la
parte 2. Este artículo cubre la solicitud de autorización para el proyecto, la definición del alcance del proyecto,
el diseño del cronograma del proyecto y la especificación de los requisitos del proyecto.
Los elementos esenciales de un plan de proyecto son que esté autorizado, tenga un mandato claro y haya recursos disponibles
para llevar a cabo el trabajo. Para que la implementación de una estructura de gobierno sea verdaderamente efectiva,
debe haber apoyo desde la alta gerencia. Si un director o gerente realizara de manera independiente una implementación
de estructura de gobierno, podría haber resistencia de los departamentos afectados si no se pudiera demostrar el compromiso
de la alta gerencia.
El plan del proyecto debe contener una carta del proyecto, la elaboración de los requisitos, el cronograma del proyecto
con los hitos definidos (probablemente, se incluirá un diagrama de Gantt
1
) y un plan de comunicación.
El primer paso es diseñar y escribir la carta del proyecto y obtener el compromiso de un empleado clave para patrocinar
la implementación. En el caso de que se esté considerando esta serie de artículos, la persona clave se puede encontrar
en el cuadro (RACI) responsable, accountable, consultado e informado del proceso APO13 Gestionar la seguridad en
COBIT 5: Procesos Catalizadores
. El gráfico RACI muestra al director de seguridad de la información (CISO) como la persona responsable del proceso de
administración de seguridad. Para este ejemplo, se le pedirá al CISO que patrocine el proyecto. La carta se utilizará
para comunicar la autoridad del proyecto a la empresa e incluir la firma del patrocinador.
A continuación, se muestra un ejemplo de carta de proyecto que se puede utilizar como plantilla para fines de planificación
de proyectos.
Modelo de carta de proyecto de muestra
Proyecto de gestión de la seguridad.
9 de julio del 2018
Título del proyecto: Implementación de la estructura de gobierno de la gestión de la seguridad.
Alcance y objetivos: (Nombre de la empresa) está abordando un hallazgo de auditoría interna que demostró una
falta de supervisión adecuada en el entorno de control interno. Para abordar este hallazgo, el equipo de gobierno realizará
un análisis de las debilidades potenciales dentro del área de administración de seguridad y diseñará e implementará elementos
de estructura de gobierno para rectificar el hallazgo en esa área. Este proyecto servirá como un ejercicio de prueba
de concepto y, si tiene éxito, servirá para informar un esfuerzo más amplio para abordar la supervisión del control interno.
Descripción del Proyecto: Analice los controles existentes y las actividades de control para determinar el diseño
efectivo y la efectividad operativa de la administración de seguridad. Identifique los productos de trabajo y evalúe
la capacidad del proceso para apoyar los objetivos del proceso. Donde se encuentren brechas, diseñe productos de trabajo
y practique actividades para producir requisitos de productos de trabajo definidos.
Supuestos del proyecto: El personal asignado a este proyecto estará disponible y se le proporcionará acceso
a la funcionalidad de la unidad de negocios según lo requiera el proyecto. La finalización del proyecto será el 31 de
diciembre de 2018. Una recomendación para proceder con un examen más amplio del entorno de control interno se realizará
dentro de las 2 semanas posteriores a esa fecha.
Organización del proyecto: El proyecto requerirá un gerente de proyecto (PM) del equipo de gobierno, que proporcionará
miembros adicionales al equipo. Se requerirán contribuciones periódicas del gerente de seguridad de la información, arquitectura
de la empresa, operaciones y gerente de servicios, y se utilizarán el 50% durante la duración del proyecto.
Responsabilidades del equipo: El gerente del proyecto:
- Determinará qué personal y habilidades son necesarias para proporcionar un análisis sobre las prácticas de los procesos de administración de seguridad.
- Asignará tareas de trabajo y registrar el progreso hacia los hitos planificados.
- Reportará del estado y progreso del proyecto al patrocinador del proyecto.
- Reportará los hallazgos y hacer una recomendación final.
Aprobación del proyecto:
|
Nombre |
Titulo |
Firma |
|
Jane Doe |
Director de Seguridad de la Información (CISO) |
(Firma) Jane Doe |
Definiendo y programando tareas del proyecto
Sobre la base del alcance definido en la carta, se debe desarrollar un conjunto de tareas de trabajo. El nivel de detalle utilizado para definir y describir las tareas debe ser coherente con la complejidad del proyecto en general. Además de la tarea en sí, el programa del proyecto a menudo comunica las fechas de inicio y finalización planificadas, las fechas de inicio y finalización reales, los recursos asignados y las dependencias en otras tareas. Una versión simplificada se presenta como una muestra en la figura 1.
Figura 1: Ejemplo de plantilla de cronograma de proyecto simplificado (diagrama de Gantt)
|
Tarea |
Inicio |
Duración (días) |
Recursos |
Porcentaje Cumplimiento |
|
Asegurar la aprobación de la carta del proyecto. |
1 agosto 2018 |
1 |
Gerente de proyecto |
|
|
Iniciar el inicio del proyecto. |
2 agosto 2018 |
1 |
Gerente de proyecto |
|
|
Asignar miembros del equipo del proyecto. |
2 agosto 2018 |
1 |
Gerente de proyecto |
|
|
Analizar las prácticas de gestión de la seguridad. |
6 agosto 2018 |
10 |
Miembros del equipo |
|
|
Identificar los productos de trabajo actuales. |
20 agosto 2018 |
10 |
Miembros del equipo |
|
|
Evaluar las capacidades del proceso. |
4 septiembre 2018 |
9 |
Gerente de proyecto, Miembros del equipo |
|
|
Determinar las brechas de las prácticas. |
17 septiembre 2018 |
5 |
Gerente de proyecto, Miembros del equipo |
|
|
Definir los productos de trabajo necesarios y las actividades prácticas. |
24 septiembre 2018 |
15 |
Gerente de proyecto, Miembros del equipo |
|
|
Establecer nuevas prácticas con la unidad de negocio. |
15 octubre 2018 |
15 |
Gerente de proyecto, Miembros del equipo, unidad de negocio |
|
|
Evaluar la efectividad de las nuevas prácticas. |
5 noviembre 2018 |
30 |
Gerente de proyecto, Miembros del equipo, unidad de negocio |
|
|
Compilar datos y escribir informe final. |
17 diciembre 2018 |
4 |
Gerente de proyecto |
|
|
Cierre el proyecto y efectué la reunión de salida. |
21 diciembre 2018 |
1 |
Gerente de proyecto |
|
Desarrollando un Plan de Comunicación
El PM debe establecer expectativas con respecto a cómo se mantendrá informado al patrocinador del proyecto y a cualquier otra parte interesada sobre el estado del proyecto. El PM también debe proporcionar nombres e información de contacto para cada miembro del equipo y participante de la unidad de negocios. Estos detalles se presentan en un plan de comunicación. Este plan se utiliza para proporcionar un acceso rápido a las personas, pero también para confirmar la frecuencia de los informes del estado del proyecto, quién debe estar informado y en qué horario y cómo.
Ejemplo de plantilla del plan de comunicación
Contacto Reportando: CISO Empresarial
Reuniones del estado del proyecto: Semanal, preferentemente los jueves por la mañana.
Formato del Reporte: Tablero de finalización
Contactos del Equipo de Proyecto:
|
Nombre |
Titulo |
|
Teléfono |
|
(Nombre) |
CISO |
CISO@company.com |
123-555-1212 |
|
(Nombre) |
Gerente de proyecto |
GP@company.com |
123-555-1213 |
|
(Nombre) |
Gerente de Seguridad de la Información |
GSI@company.com |
123-555-1214 |
|
(Nombre) |
Arquitecto Empresarial |
AE@company.com |
123-555-1215 |
|
(Nombre) |
Gerente de Servicio |
GS@company.com |
123-555-1216 |
Esquema de trabajo: la próxima vez
La próxima entrega de esta serie discutirá el esbozo del trabajo y la descripción de las contribuciones de cada jugador de rol. Cada uno de los productos de trabajo se definirá más detalladamente con la elaboración de quién crea cada uno y cómo vincularlos con el diseño de la estructura del proceso.
Peter C. Tessin, CISA, CRISC, CISM, CGEIT
Es gerente senior de Discover Financial Services. Lidera el grupo de gobierno dentro del riesgo de tecnología empresarial (BT). En esta función, él es responsable de garantizar que la política, los estándares y los procedimientos se alineen con los objetivos corporativos. Se desempeña como parte interna responsable de la gestión de exámenes regulatorios y es el enlace interno con la gestión de riesgos corporativos. Antes de este cargo, Tessin fue gerente de investigación técnica en ISACA, donde fue gerente de proyectos para COBIT 5 y dirigió el desarrollo de otras publicaciones relacionadas con COBIT 5, informes y artículos. Tessin también tuvo un papel central en el diseño de COBIT Online, el sitio web de ISACA que ofrece un acceso conveniente a la familia de productos COBIT 5 e incluye herramientas digitales interactivas para ayudar en el uso de COBIT. Antes de unirse a ISACA, Tessin era gerente senior de una firma de auditoría interna, donde dirigía los compromisos con los clientes y era responsable de los equipos de auditoría financiera y de TI. Anteriormente, trabajó en varias funciones de la industria, como personal contable, desarrollador de aplicaciones, consultor y consultor de sistemas contables, analista de negocios, gerente de proyectos y auditor. Ha trabajado en muchos países fuera de su país natal, incluidos Australia, Canadá, Francia, Alemania, Italia, Jordania, México y el Reino Unido.
Notas finales
1 Gantt.com, What Is a Gantt Chart?