Segons Homer Simpson, hi ha tres classes de persones: les que saben comptar i les que no. Jo dec ser entre les segones perquè tothom diu que són 10 les àrees de gestió de projectes, però a mi me’n surten 12. Vegem.

D’una banda, tenim la integració, en què tota la gestió cobra un sentit i aproximació homogènia. Després hi ha l’abast, centrant-se en els objectius que es persegueixen, i què cal fer (i com fer-ho) per complir aquests objectius. Tenim també la planificació i la gestió de costos, juntament amb la gestió de riscos, als quals caldria sumar qualitat, comunicacions i recursos (en van vuit). No podem oblidar-nos de les parts interessades ni dels proveïdors, i ja en sumem 10. I, finalment, però no per això menys important, tenim la gestió de la seguretat i de la innovació. En total, dotze.

Bromes a part, la gestió de la seguretat i de la innovació no surten formalment, amb entitat pròpia, en els marcs de referència de gestió de projectes com ara el PMBOK o el PM² (impulsat per la Comissió Europea). Tampoc no surten destacats en aproximacions àgils. I, tanmateix, són de summa importància per a un nombre creixent de projectes.

En aquesta primera part analitzarem la gestió de la seguretat, i deixarem per a un pròxim article la gestió de la innovació.

La gestió de la seguretat

La digitalització no només ens ofereix una infinitat de possibilitats i beneficis, sinó que també exposa organitzacions i usuaris a noves vies d’atacs informàtics. Les organitzacions madures gestionen la ciberseguretat en l’àmbit corporatiu, proporcionen els mitjans per a l’assegurament de la informació i la continuïtat de negoci, i formen el personal en els procediments i bones pràctiques definides per a això. Però què passa amb les solucions que es desenvolupen internament o per a tercers?

Security by default i Security by design són dos paradigmes fonamentals en la seguretat de la informació. Els sistemes han de ser dissenyats per ser segurs, sense necessitat que l’usuari faci ajustaments addicionals (Security by default). D’altra banda, la seguretat s’incorpora en un producte des del seu disseny, en lloc d’afegir-la més tard mitjançant productes i serveis de tercers (Security by design). Ambdós paradigmes busquen garantir la seguretat dels sistemes des del principi i durant tot el seu cicle de vida. Per tant, afecten totes les fases d’un projecte i totes les àrees de gestió d’aquest.

• Cal assegurar-se que es defineixen les tasques i procediments per complir els requisits de seguretat i privacitat, siguin de l’índole que siguin (regulatoris, d’estàndards, requisits del client...), des del disseny fins a les proves d’acceptació. Les mesures de seguretat han de ser també commensurades als escenaris d’amenaces, i la tolerància a l’acceptació de riscos. És a dir, afecta de ple l’abast i la gestió de riscos del projecte.
• Les tasques de seguretat han de ser planificades (cronograma), i els seus costos de mà d’obra i materials, tinguts en compte (costos).
• S’han d’establir els procediments de qualitat adequats per complir els objectius del projecte, i auditar el projecte (des del punt de vista de la seguretat) amb la periodicitat que s’estimi oportuna.
• Cal posar a disposició del projecte els recursos adequats per emprendre les tasques de seguretat, que requereixen normalment un alt grau d’especialització.
• Al marge de la mateixa comunicació interna a l’equip, es pot destacar que el projecte pot tractar informació sensible, o fins i tot classificada, i afectar les mesures que cal preveure per no violar els requisits de seguretat i privacitat de la informació. No oblidem la importància de l’LOPD/GDPR en aquests casos.
• Les adquisicions hi juguen un paper essencial, ja que normalment es recorre a solucions especialitzades i serveis de consultoria de tercers, o a externalitzar serveis com els centres d’operacions de ciberseguretat (SOC).
• La ciberseguretat també té les seves parts interessades. Són molts els actors específics de seguretat, incloent el director de Seguretat de la Informació (o CISO) i el delegat de Protecció de Dades, per esmentar-ne un parell d’exemples.

Si la gestió de la seguretat té relació amb totes i cadascuna de les àrees, amb les seves especificitats, no tindria sentit considerar-la com una àrea més?

L’Agència de la Unió Europea per al Programa Espacial (EUSPA) està reforçant la implementació de la seguretat en els grans programes espacials europeus (com ara Galileo i EGNOS).  Requereix per als projectes associats a aquests programes les tasques de Cyber Security Management i Cyber Internal Audits, amb els seus respectius responsables que, molt simplificadament, serien els equivalents als de cap de projecte i cap de qualitat, en la part de ciberseguretat. GMV presta aquests serveis als programes esmentats des de 2013. Des d’aleshores, les tasques i obligacions d’aquests rols han anat evolucionant amb la maduresa de l’estat de la seguretat de Galileo i EGNOS, amb èxits més que notables per a totes les parts implicades.

La inversió en ciberseguretat creix percentualment cada any en xifres de dos dígits, símptoma del creixement del nombre de ciberatacs, de les seves conseqüències i de la sensibilització de les organitzacions per estar protegides. En paral·lel a això, la societat està evolucionant cap a una economia de projectes, davant la tradicional d’operacions. Digitalització, creixent exposició a amenaces i economia de projectes són arguments més que suficients per elevar la ciberseguretat a una categoria pròpia de la gestió de projectes.

Autor: Ángel Gavín