Cross-over entre Dirección de Proyectos y Ciberseguridad

La Gestión de la Comunicación del Proyecto enfocada a Ciberseguridad

La Ciberseguridad es un rubro inherente a la administración de los negocios en el s. XXI, y por tanto la Dirección de Proyectos no deben de ser ajena a su impacto en las organizaciones. Su gestión no es exclusiva de proyectos que involucren la implantación de alguna solución o de algún control tecnológico, esos son solo el principio, sino es uno más de los rubros que se tienen que atender día a día en la toma de decisiones estratégicas y operativas, a la par de los rubros tradicionales como recursos humanos, finanzas, y operaciones.

Todas las Áreas de Conocimiento de la Dirección de Proyectos son afectadas por la gestión de la Ciberseguridad -ya sea que esta exista o no en la organización- y todas pueden ser alineadas para beneficio de los equipos de trabajo en todos los niveles. Una de estas Áreas de Conocimiento es la Gestión de la Comunicación.

Esta área de conocimiento tiene como finalidad acordar y considerar el plazo y frecuencia para la distribución tanto de la información trabajada como objeto del proyecto, como la información generada como producto de ese trabajo entre los distintos involucrados, los métodos de transmisión de la información, y las restricciones internas -del proyecto, o de la empresa- o externas -legales; y considerando los temas de Ciberseguridad en los proyectos, se debe de pensar en dos escenarios para la 10.1 Planificación de la Gestión de las Comunicaciones : 

  • 1. El preventivo, con el fin de identificar:
    • a. los factores ambientales de la empresa, como cultura, clima político y marco de gobernanza de la organización que pudieran exigir el seguimiento de alguna política en particular; políticas de gestión de personal interno y externo para asegurar la confidencialidad de los datos manejados, pensando en umbrales de riesgo adecuados dependiendo de la criticidad de la información que será procesada durante el proyecto
    • b. los activos de los procesos de la organización relativos a la seguridad de la información, equipos de computación y otros activos informáticos que nos serán compartidos (bases de datos por ejemplo), guías estandarizadas para el desarrollo, intercambio, almacenamiento y recuperación de información 

para incorporar en las actividades del Plan para la Dirección del Proyecto las tareas necesarias para que el equipo y los stakeholders entienda, asimile y aplique estas políticas, teniendo en cuenta el número de personas que estarán involucradas en el proyecto y en qué ubicaciones, necesidades de información interna y externa, y requisitos legales. 

Cabe destacar que podría instrumentarse en este caso la aplicación de simulacros de escenarios asegurando que el seguimiento de éstas políticas se puedan monitorear, por si es necesario generar evidencia en caso de que la organización necesite reportar a entidades reguladoras de terceros.

  • 2 – El reactivo, para que una vez identificados los escenarios donde una brecha de seguridad se haya podido comprometer, se puedan elaborar los siguientes planes que serán ejecutados durante la etapa de 10.2 Gestionar las Comunicaciones,  para minimizar daños potenciales al negocio y recuperar el control de la situación, así como enfocarse en la recuperación de credibilidad, buena imagen y seguimiento a actividades realizadas durante la crisis.
    • a. Un plan de recuperación, donde identificaremos cómo (cuándo y por qué medio) comunicar a los diferentes stakeholders la situación, 
      • i. dependiendo el nivel de brecha de seguridad que se haya vulnerado, pensar en los diferentes niveles de escalación para adecuar el flujo de comunicación que se necesite
      • ii. designar a la cabeza de la comunicación durante la situación dependiendo del nivel de crisis, y el rol y responsabilidad de las distintas áreas de la empresa durante la contingencia
      • iii. conformar un equipo de crisis que contemple la participación – si es necesario- de los departamentos de recursos humanos, legal, operaciones, PR, soporte, y el equipo directivo – CEO CFO CIO CSO- o sus representantes
      • iv. pensar en formas pro-activa de control de daños, lo cual puede ganar tiempo y reducir el impacto de la brecha, tratar de colectar los datos de posibles stakeholders afectados para poder perfilar de mejor forma el medio y el tono de la comunicación
      • v. controlar las filtraciones en los medios electrónicos informales -redes sociales- que puedan entorpecer la ejecución de la estrategia de comunicación
      • vi. o bien, manejar las quejas de los clientes y usuarios que hayan manifestado por ese medio
    • b. un plan de primera respuesta, de remediación y de seguimiento
      • i. que determine cuándo activar cada una de las etapas del plan durante la crisis
      • ii. que pueda asegurar que la respuesta sea pronta, informativa, sincera, honesta y humilde en cada una de esas tres etapas
      • iii. con una guía de hacer/no hacer que permita identificar cuales son las ejecuciones más efectivas y las no recomendadas para cada etapa de la crisis

Adicionalmente, sería parte del plan de comunicación seleccionar el esquema de monitoreo que permita evaluar de las reacciones de los stakeholders afectados que serían evaluados en la etapa de 10.3 Monitorear las Comunicaciones.

Fuentes

https://blog.hubspot.com/service/crisis-communication-plan

https://www.forbes.com/sites/elenakvochko/2020/07/13/how-to-develop-playbooks-for-cybersecurity/#2ae5f6da6093

https://www.forbes.com.mx/manejo-de-crisis-y-ahora-quien-podra-ayudarnos/

https://www.ipade.mx/2019/08/12/el-manejo-de-las-crisis-en-las-organizaciones/

https://dixo.com/crimen-digital/80-manejo-de-crisis-en-temas-de-ciberseguridad/

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s