Share on:


Marco GEIT trabajando, Parte 3: Creando un plan de proyecto

Por Peter C. Tessin, CISA, CRISC, CISM, CGEIT

COBIT Focus | 23 de julio del 2018 English

Peter C. Tessin Hay un viejo dicho acerca de la importancia de la planificación: "No planificar es fallar". Si bien el dicho se ha convertido en casi un cliché de años de uso, es esencialmente cierto. Muy pocos proyectos logran alcanzar sus objetivos sin el apoyo de un plan claro, comprensivo, completamente definido y aprobado.

Por lo tanto, el propósito de este artículo: crear un plan de proyecto en apoyo de una solución. Este artículo, el tercero de una serie de 6 partes que analiza la aplicación práctica de un marco de gobierno de TI empresarial (GEIT), describe el plan creado para respaldar la solución diseñada en la parte 2. Este artículo cubre la solicitud de autorización para el proyecto, la definición del alcance del proyecto, el diseño del cronograma del proyecto y la especificación de los requisitos del proyecto.

Los elementos esenciales de un plan de proyecto son que esté autorizado, tenga un mandato claro y haya recursos disponibles para llevar a cabo el trabajo. Para que la implementación de una estructura de gobierno sea verdaderamente efectiva, debe haber apoyo desde la alta gerencia. Si un director o gerente realizara de manera independiente una implementación de estructura de gobierno, podría haber resistencia de los departamentos afectados si no se pudiera demostrar el compromiso de la alta gerencia.

El plan del proyecto debe contener una carta del proyecto, la elaboración de los requisitos, el cronograma del proyecto con los hitos definidos (probablemente, se incluirá un diagrama de Gantt1) y un plan de comunicación.

El primer paso es diseñar y escribir la carta del proyecto y obtener el compromiso de un empleado clave para patrocinar la implementación. En el caso de que se esté considerando esta serie de artículos, la persona clave se puede encontrar en el cuadro (RACI) responsable, accountable, consultado e informado del proceso APO13 Gestionar la seguridad en COBIT 5: Procesos Catalizadores. El gráfico RACI muestra al director de seguridad de la información (CISO) como la persona responsable del proceso de administración de seguridad. Para este ejemplo, se le pedirá al CISO que patrocine el proyecto. La carta se utilizará para comunicar la autoridad del proyecto a la empresa e incluir la firma del patrocinador.

A continuación, se muestra un ejemplo de carta de proyecto que se puede utilizar como plantilla para fines de planificación de proyectos.


Modelo de carta de proyecto de muestra

Proyecto de gestión de la seguridad.
9 de julio del 2018

Título del proyecto:
Implementación de la estructura de gobierno de la gestión de la seguridad.

Alcance y objetivos: (Nombre de la empresa) está abordando un hallazgo de auditoría interna que demostró una falta de supervisión adecuada en el entorno de control interno. Para abordar este hallazgo, el equipo de gobierno realizará un análisis de las debilidades potenciales dentro del área de administración de seguridad y diseñará e implementará elementos de estructura de gobierno para rectificar el hallazgo en esa área. Este proyecto servirá como un ejercicio de prueba de concepto y, si tiene éxito, servirá para informar un esfuerzo más amplio para abordar la supervisión del control interno.

Descripción del Proyecto: Analice los controles existentes y las actividades de control para determinar el diseño efectivo y la efectividad operativa de la administración de seguridad. Identifique los productos de trabajo y evalúe la capacidad del proceso para apoyar los objetivos del proceso. Donde se encuentren brechas, diseñe productos de trabajo y practique actividades para producir requisitos de productos de trabajo definidos.

Supuestos del proyecto: El personal asignado a este proyecto estará disponible y se le proporcionará acceso a la funcionalidad de la unidad de negocios según lo requiera el proyecto. La finalización del proyecto será el 31 de diciembre de 2018. Una recomendación para proceder con un examen más amplio del entorno de control interno se realizará dentro de las 2 semanas posteriores a esa fecha.

Organización del proyecto: El proyecto requerirá un gerente de proyecto (PM) del equipo de gobierno, que proporcionará miembros adicionales al equipo. Se requerirán contribuciones periódicas del gerente de seguridad de la información, arquitectura de la empresa, operaciones y gerente de servicios, y se utilizarán el 50% durante la duración del proyecto.

Responsabilidades del equipo: El gerente del proyecto:

  • Determinará qué personal y habilidades son necesarias para proporcionar un análisis sobre las prácticas de los procesos de administración de seguridad.
  • Asignará tareas de trabajo y registrar el progreso hacia los hitos planificados.
  • Reportará del estado y progreso del proyecto al patrocinador del proyecto.
  • Reportará los hallazgos y hacer una recomendación final.

Aprobación del proyecto:
 

Nombre

Titulo

Firma

Jane Doe

Director de Seguridad de la Información (CISO)

(Firma) Jane Doe


Definiendo y programando tareas del proyecto

Sobre la base del alcance definido en la carta, se debe desarrollar un conjunto de tareas de trabajo. El nivel de detalle utilizado para definir y describir las tareas debe ser coherente con la complejidad del proyecto en general. Además de la tarea en sí, el programa del proyecto a menudo comunica las fechas de inicio y finalización planificadas, las fechas de inicio y finalización reales, los recursos asignados y las dependencias en otras tareas. Una versión simplificada se presenta como una muestra en la figura 1.


Figura 1: Ejemplo de plantilla de cronograma de proyecto simplificado (diagrama de Gantt)

Tarea

Inicio

Duración (días)

Recursos

Porcentaje Cumplimiento

Asegurar la aprobación de la carta del proyecto.

1 agosto 2018

1

Gerente de proyecto

Iniciar el inicio del proyecto.

2 agosto 2018

1

Gerente de proyecto

Asignar miembros del equipo del proyecto.

2 agosto 2018

1

Gerente de proyecto

Analizar las prácticas de gestión de la seguridad.

6 agosto 2018

10

Miembros del equipo

Identificar los productos de trabajo actuales.

20 agosto 2018

10

Miembros del equipo

Evaluar las capacidades del proceso.

4 septiembre 2018

9

Gerente de proyecto, Miembros del equipo

Determinar las brechas de las prácticas.

17 septiembre 2018

5

Gerente de proyecto, Miembros del equipo

Definir los productos de trabajo necesarios y las actividades prácticas.

24 septiembre 2018

15

Gerente de proyecto, Miembros del equipo

Establecer nuevas prácticas con la unidad de negocio.

15 octubre 2018

15

Gerente de proyecto, Miembros del equipo, unidad de negocio

Evaluar la efectividad de las nuevas prácticas.

5 noviembre 2018

30

Gerente de proyecto, Miembros del equipo, unidad de negocio

Compilar datos y escribir informe final.

17 diciembre 2018

4

Gerente de proyecto

Cierre el proyecto y efectué la reunión de salida.

21 diciembre 2018

1

Gerente de proyecto


Desarrollando un Plan de Comunicación

El PM debe establecer expectativas con respecto a cómo se mantendrá informado al patrocinador del proyecto y a cualquier otra parte interesada sobre el estado del proyecto. El PM también debe proporcionar nombres e información de contacto para cada miembro del equipo y participante de la unidad de negocios. Estos detalles se presentan en un plan de comunicación. Este plan se utiliza para proporcionar un acceso rápido a las personas, pero también para confirmar la frecuencia de los informes del estado del proyecto, quién debe estar informado y en qué horario y cómo.


Ejemplo de plantilla del plan de comunicación

Contacto Reportando: CISO Empresarial

Reuniones del estado del proyecto: Semanal, preferentemente los jueves por la mañana.

Formato del Reporte: Tablero de finalización

Contactos del Equipo de Proyecto:
 

Nombre

Titulo

Email

Teléfono

(Nombre)

CISO

CISO@company.com

123-555-1212

(Nombre)

Gerente de proyecto

GP@company.com

123-555-1213

(Nombre)

Gerente de Seguridad de la Información

GSI@company.com

123-555-1214

(Nombre)

Arquitecto Empresarial

AE@company.com

123-555-1215

(Nombre)

Gerente de Servicio

GS@company.com

123-555-1216


Esquema de trabajo: la próxima vez

La próxima entrega de esta serie discutirá el esbozo del trabajo y la descripción de las contribuciones de cada jugador de rol. Cada uno de los productos de trabajo se definirá más detalladamente con la elaboración de quién crea cada uno y cómo vincularlos con el diseño de la estructura del proceso.


Peter C. Tessin, CISA, CRISC, CISM, CGEIT

Es gerente senior de Discover Financial Services. Lidera el grupo de gobierno dentro del riesgo de tecnología empresarial (BT). En esta función, él es responsable de garantizar que la política, los estándares y los procedimientos se alineen con los objetivos corporativos. Se desempeña como parte interna responsable de la gestión de exámenes regulatorios y es el enlace interno con la gestión de riesgos corporativos. Antes de este cargo, Tessin fue gerente de investigación técnica en ISACA, donde fue gerente de proyectos para COBIT 5 y dirigió el desarrollo de otras publicaciones relacionadas con COBIT 5, informes y artículos. Tessin también tuvo un papel central en el diseño de COBIT Online, el sitio web de ISACA que ofrece un acceso conveniente a la familia de productos COBIT 5 e incluye herramientas digitales interactivas para ayudar en el uso de COBIT. Antes de unirse a ISACA, Tessin era gerente senior de una firma de auditoría interna, donde dirigía los compromisos con los clientes y era responsable de los equipos de auditoría financiera y de TI. Anteriormente, trabajó en varias funciones de la industria, como personal contable, desarrollador de aplicaciones, consultor y consultor de sistemas contables, analista de negocios, gerente de proyectos y auditor. Ha trabajado en muchos países fuera de su país natal, incluidos Australia, Canadá, Francia, Alemania, Italia, Jordania, México y el Reino Unido.


Notas finales

1 Gantt.com, What Is a Gantt Chart?