Transcription
USO DE LA SEGURIDAD DE LA INFORMACIÓN EN LA DIRECCIÓN DEPROYECTOSPROYECTO DE GRADOJennifer Coque VásquezMara D. Kujundzic RiverosAsesorIngrid L MuñozMsc Gestión Informática y TelecomunicacionesFACULTAD DE INGENIERÍAMAESTRÍA EN GERENCIA DE PROYECTOSSANTIAGO DE CALI2018
USO DE LA SEGURIDAD DE LA INFORMACIÓN EN LA DIRECCIÓN DEPROYECTOSJennifer Coque VásquezMara D. Kujundzic RiverosTrabajo de grado para optar al título deMáster en Gestión de Proyectos y Tecnología con Énfasisen Ingeniería de SoftwareAsesorIngrid L MuñozMsc Gestión Informática y TelecomunicacionesFACULTAD DE INGENIERÍAMAESTRÍA EN GERENCIA DE PROYECTOSSANTIAGO DE CALI2018
IIITabla de contenidoPág.1.2.3.Introducción111.1.Contexto y Antecedentes111.1Planteamiento del Problema13Objetivos152.1Objetivo General152.2Objetivos Específicos15Antecedentes3.1Marco Teórico16163.1.1 Dirección de proyectos en el marco según la Guía de los fundamentos para la4.dirección de Proyectos (PMBOK ) Sexta edición desarrollada por el PMI .163.1.2 Seguridad de la Información ISO/IEC 27001, Anexo A ISO 2700220Metodología244.15.Fase de generación y análisis de datos254.1.1 Análisis de mercado objetivo254.1.2 Identificación, aplicación y análisis de datos35Resultados obtenidos36
IV6.5.1Resultado obtenidos encuesta grado básico365.2Resultado obtenidos encuesta grado intermedio.38Presentación de la propuesta6.144Propuesta de procesos para la gestión de la seguridad de la información dentrode la dirección de proyectos. Marco PMBOK 447.76Diseño de experimento de validación.7.1Diseño y Aplicación767.2Resultados77Conclusiones y futuro trabajo78Bibliografía81Anexos83
VLista de tablasPág.Tabla 1.Descripción de las áreas de conocimiento y su interrelación con los grupos de proceso 17Tabla 2.Descripción de los grupos de procesos19Tabla 3.Clases de actividades económicas seleccionadas.27Tabla 4.Cantidad de MiPymes existentes según las actividades económicas seleccionadas29Tabla 5.Cantidad de empresas encuestadas36Tabla 6.Presentación del área de gestión de seguridad de la información del proyecto.45Tabla 7.Grupos de procesos a los cuales pertenecen los procesos de la gestión de laseguridad de la información48Tabla 8.Principales salidas de los procesos de la gestión de la seguridad de la información48
VILista de figurasPág.Figura 1.Diagrama de Metodología24Figura 2.Portada encuesta grado básico33Figura 3.Portada encuesta grado intermedio34Figura 4.Entradas, Herramientas y Salidas para el Proceso Desarrollar el acta deconstitución frente a la seguridad de la información50Figura 5.Entradas, Herramientas y Salidas para el proceso Identificar y valorar los riesgosde seguridad de la información54Figura 6.Entradas, Herramientas y Salidas para el proceso Planificar los controles deSeguridad de la Información58Figura 7.Entradas, Herramientas y Salidas para el proceso Implementar los controles deSeguridad de la Información65Figura 8.Entradas, Herramientas y salidas para el proceso Monitorear los controles deSeguridad de la Información69Figura 9.Entradas, Herramientas y Salidas para el proceso Desarrollar acta de cierre deluso de los controles aplicados de Seguridad de la Información.73
VIILista de gráficosPág.Grafico 1.Empresas encuestadas que realizan el proceso de identificación y gestión de losinteresados del proyecto40Grafico 2.Aplicación de buenas prácticas en la dirección de proyectos y en la seguridad dela información41Grafico 3.Respuesta de las organizaciones participantes al uso de metodologías Agiles42
VIIILista de anexosPág.Anexo A.Herramienta encuesta grado básico83Anexo B.Herramienta encuesta grado intermedio86Anexo C.Herramienta validación de la nueva área de conocimiento en la dirección de proyectos94Anexo D.Resultados encuesta validación de la nueva área de conocimiento en la dirección deproyectos102
IXResumenLa dirección de proyectos está enmarcada por un conjunto de procesos de estandarización,medición y control para garantizar las buenas prácticas, sin embargo, se identificó la carencia depolíticas, procedimientos y controles que apoyen la disponibilidad, confidencialidad e integridadde la información en los grupos de procesos que manejan los proyectos bajo la metodología delPMBOK . Por el contrario, en el estándar para la seguridad de la información, publicado por laOrganización Internacional de Normalización y la Comisión Electrotécnica Internacional en suversión más reciente ISO/IEC 27002:2013 busca garantizar que los riesgos de la seguridad de lainformación sean tenidos en cuenta durante todo el proyecto, tal como lo menciona en el numeral6.1.5 Seguridad de la información en la gestión de proyectos.Con la colaboración de empresas MiPymes en el sector de información y comunicaciones enla ciudad de Cali se identificaron las necesidades para proponer una nueva área de conocimientodentro del marco PMBOK encargada de gestionar la seguridad de la información, incluyendoprocesos con entradas, herramientas y salidas en los grupos de procesos de inicio, planeación,ejecución, monitoreo y control, y cierre.De igual forma, se deja abierta la posibilidad de buscar alternativas a esta propuesta, comopodría ser analizar en qué área de trabajo ya existente dentro del marco del PMBOK se podríanincluir nuevos procesos para la gestión de proyectos e incluso expandir el tema a otros marcos detrabajo para la dirección de proyectos.
XPalabras clave: Seguridad de la información, proyectos, marco de trabajo proyectos,procesos, MiPymes, disponibilidad de la información, confidencialidad de la información,integridad de la información.
111.1.1.IntroducciónContexto y AntecedentesEl manejo de la información en un proyecto es un tema importante durante su desarrollo, yaque no solamente se debe garantizar que esté disponible para todos los miembros del equipo ylos interesados, sino que a la vez se debe velar por su disponibilidad, integridad yconfidencialidad debido al carácter estratégico que muchas veces tienen los proyectos en lascompañías.Dicho carácter estratégico hace que la documentación de un proyecto sea muy atractiva parala competencia o terceros interesados en hacer un uso inadecuado de la misma, ya que allí está elconocimiento, los conceptos, las ideas, la marcas, la información y los detalles de toda laarquitectura de redes y sistemas de la compañía (ISO/IEC 27002, 2013). De igual forma, latecnología, así como ofrece grandes ventajas como los amplios alcances e impacto para lacomunicación y volumen de almacenamiento, también es altamente vulnerable sin las medidasnecesarias, ya que la información se puede perder, filtrar o corromper fácilmente.A pesar de tener todo este peso para ser un factor crítico en la dirección de proyectos, laseguridad de la información no se referencia directamente en ninguna metodología, entiéndaseAgile o cascada, o en los principales marcos de referencia, como es el caso del PMBOK ,PRINCE2, ISO 21500, entre otros.
12Por el momento, la gestión del riesgo proporciona un terreno en el cual sus herramientaspueden usarse para proteger la documentación y los canales de comunicación, sin embargo, paramuchos directores de proyectos incluir la seguridad de la información en la gestión de riesgosaún no es una práctica rigurosa, y muchas veces no se desarrolla con la profundidad requerida, yasea por tiempo o alcance.Ante esta situación en el 2013, la ISO/IEC 27001 en su Anexo A y la ISO/IEC 27002, buscanestandarizar el uso de la seguridad de la información en la gerencia de proyectos, en el numeral6.1.5 se estipula que la seguridad de la información debe tenerse en cuenta en la dirección deproyectos, independientemente de la naturaleza del proyecto (ISO/IEC 27002, 2013). Así,describe unos lineamientos en los cuales la seguridad de la información se integra de forma másdecisiva a la gerencia de proyectos. Algunos mencionados en el Anexo A son: (ISO/IEC 27001Anexo A, 2013) (ISO/IEC 27002, 2013): Incluir los objetivos de la seguridad de la información en los objetivos del proyecto Llevar a cabo una evaluación de riesgos en las etapas tempranas del proyecto. Identificar los controles necesarios. La seguridad de la información debe hacer parte de todas las fases de la metodologíaaplicada del proyecto.En este escenario, Domuz es una empresa que actualmente trabaja en proyectos y seguridadde la información, y con apoyo en su experiencia se plantea incluir procesos dentro del marco delPMBOK que aumenten el éxito de proyectos al incluir procesos de Seguridad de la
13Información, esto debido a que al identificar los riesgos asociados al manejo de la información eimplementar controles que ayuden a cerrar la brecha, se lograría garantizar un buen manejo de lainformación a todos los interesados, lo cual es un soporte y respaldo al mitigar o evitar futurasmaterializaciones de riesgos asociados a la seguridad de la información.Teniendo en cuenta que este marco agrupa 49 procesos en cinco grupos distribuidos en diezáreas de conocimiento, es posible proponer una nueva área del conocimiento, en la cual serelacionen herramientas, entradas y salidas relacionadas a la seguridad de la información y quesea transversal a todos los 5 grupos de procesos.1.1 Planteamiento del ProblemaEl marco de buenas prácticas en gestión de proyectos otorgado por el PMBOK mide el éxitode los proyectos controlando principalmente que se entregue lo que se ha previsto en el tiempo ycosto acordado, además de cumplir con la calidad, el buen uso de recursos y la correcta gestiónde riesgos.Sin embargo, ninguno de los 49 procesos mencionados en la guía PMBOK sexta edición delPMI hace referencia a la seguridad de la información como buena práctica en la gestión deproyectos. La seguridad de la información con base en la ISO/IEC 27001 Anexo A y la ISO/IEC27002 se refiere a la disponibilidad, confidencialidad e integridad de la información enorganizaciones de cualquier tipo y tamaño, incluyendo todos los sectores. Conceptos que deben
14estar integrados explícitamente desde la noción de un proyecto y como actividad en uno o variosde sus procesos (ISO/IEC 27002, 2013) (ISO/IEC 27001 Anexo A, 2013).Aunque las políticas, estándares y procedimientos para la seguridad de la información en losproyectos no son ajenas para todas las empresas, son las Medianas, Pequeñas y Microempresascon menor conciencia de los riesgos que incurren al no tomar medidas de control. (MINTIC,2016)Por consiguiente, se considera necesario documentar un estudio acerca del manejo de laseguridad de la información durante la gestión de proyectos en las MiPymes (Medianas,Pequeñas y Micro empresas) en el sector Tecnologías de Información y Comunicaciones, con elfin de identificar y proponer las actividades que apoyen la disponibilidad, confidencialidad eintegridad de la información durante la ejecución de los cinco grupos de procesos enmarcadospor el PMBOK mitigando los riesgos de seguridad de la información.
152.Objetivos2.1 Objetivo GeneralProponer procesos dentro de la dirección de proyectos que apoyen la disponibilidad,confidencialidad e integridad de la información durante el desarrollo de proyectos teniendo comobase las necesidades de las MiPymes en el sector de información y comunicaciones en la ciudadde Cali.2.2 Objetivos Específicos1. Desarrollar una herramienta para determinar el manejo de la seguridad de la informacióndurante la gestión de proyectos en las Micro, Pequeñas y Medianas empresas en el sectorde información y comunicaciones en la ciudad de Cali.2. Aplicar y analizar los resultados del sistema de medición diseñado, proporcionandoinformación sobre el control en la disponibilidad, confidencialidad e integridad de lainformación durante la ejecución de proyectos en las MiPymes seleccionadas.3. Proponer la inclusión de una nueva área del conocimiento para la Gestión de la seguridadde la información, con nuevos procesos que se deben tener en cuenta dentro de los gruposde procesos, que les permita a las organizaciones resguardar y proteger la informacióndurante la ejecución de los proyectos.
163.Antecedentes3.1 Marco Teórico3.1.1Dirección de proyectos en el marco según la Guía de los fundamentos para ladirección de Proyectos (PMBOK ) Sexta edición desarrollada por el PMI .De acuerdo al PMBOK , un Proyecto es “un esfuerzo temporal que se lleva a cabo para crearun producto, servicio o resultado único y se llevan a cabo para cumplir objetivos mediante laproducción de entregables”. (Project Management Institute, 2017) Destacando comocaracterísticas (Muñoz, 2018):-Tiene objetivos definidos-Tiene un presupuesto-Implica el uso temporal de recursos tanto humanos como materiales-Tiene un inicio y un final bien definidos-Tiene un cliente (quien recibe el resultado del proyecto, puede ser una persona, empresa ogrupo)-Impulsan el cambio-Crea un producto, servicio o resultado único.-Tiene un ciclo de vida, que puede ser predictivo, iterativo, incremental o adaptativo.
17La Dirección de proyectos a su vez es definida como la aplicación del conocimiento,habilidades, herramientas y técnicas que se deben implementar para que las actividades de unproyecto logren cumplir con sus requisitos. Amarrado a esto, la dirección de proyectos es laresponsable de evaluar y gestionar las restricciones que tiene un proyecto, las cuales son Tiempo,Alcance, Costo, Calidad, Riesgos y Recursos (Project Management Institute, 2017).El marco que propone el PMBOK para una dirección de proyectos efectiva incluye 49procesos, que son divididos en 5 grupos y son distribuidos en 10 áreas de conocimiento de lasiguiente forma (ver tablas 1 y 2):Tabla 1.Descripción de las áreas de conocimiento y su interrelación con los grupos deprocesoGrupo de procesos conÁrea de conocimientoDescripciónlos que se entrelazaGestión de la Integracióndel ProyectoCoordinar todos loselementos del proyectoInicioPlaneaciónEjecuciónMonitoreo y ControlCierreGestión del Alcance delProyectoAsegurar que se incluyetodo, y solamente el trabajorequerido para el proyecto.PlaneaciónMonitoreo y ControlGestión del Cronogramadel proyectoAsegurar la finalizacióna tiempo del proyecto.PlaneaciónMonitoreo y ControlGestión de los Costos delAsegurar el trabajoproyectodentro del presupuestoaprobadoPlaneaciónMonitoreo y Control
18Área de conocimientoDescripciónGestión de la Calidad delAsegurar que seproyectosatisfacen todos losrequisitosGrupo de procesos conlos que se entrelazaPlaneaciónEjecuciónMonitoreo y ControlGestión de los Recursosdel proyectoGarantizar el usoefectivo de recursos,humanos y materiales.PlaneaciónEjecuciónMonitoreo y ControlGestión de lasComunicaciones delproyectoAsegurar que lainformación sea oportuna yapropiada.PlaneaciónEjecuciónMonitoreo y ControlGestión de los Riesgosdel proyectoMinimizar el impacto delas posibles ocurrencias.PlaneaciónEjecuciónMonitoreo y ControlGestión de lasAdquisiciones del proyectoAdquirir los recursosnecesarios por fuera delproyecto.PlaneaciónEjecuciónMonitoreo y ControlGestión de losInteresados del proyectoIdentificar personas oIniciogrupos de personas quePlaneaciónpueden impactar o serEjecuciónimpactados por el proyecto,Monitoreo y Controly desarrolla estrategias derelacionamiento con estosFuente: Información obtenida y adaptado de Muñoz, I.L. Preparación Efectiva para el ExamenPMP-CAMP , 2018
19Tabla 2.Descripción de los grupos de procesosGrupos deDescripción general del foco de los procesosProcesosInicioAutorización Formal del inicio de un Proyecto o fasePlanificaciónSe desarrolla el plan para la dirección del proyectoEjecuciónEjecutar y completar el trabajo. Generar losEntregablesMonitoreo yControlCierreObservar e identificar los posibles problemas.Adoptar acciones correctivas.Finalización formal de todas las actividades delproyecto. Aceptación Formal del ProyectoFuente: Información obtenida y adaptado de Muñoz, I.L. Preparación Efectiva para el ExamenPMP-CAMP ,2018Los procesos contenidos en cada grupo pueden ser efectuados una vez, varias veces de formaperiódica o constantemente a lo largo del proyecto, y están constituidos por unas entradas,herramientas, técnicas y Salidas, que, al relacionarse entre sí, crean una red en la que las salidasde un proceso pueden ser la entrada para iniciar otro. (Muñoz, 2018)Actualmente, los riesgos sobre la seguridad de la información se identifican, y gestionanusando el área de conocimiento sobre la Gestión de Riesgos de los proyectos, la cual incluye lossiguientes procesos (Project Management Institute, 2017): Grupo de Procesos de Planificación:
20o Planificar la gestión de los riesgoso Identificar los Riesgoso Realizar el análisis Cualitativo de los riesgoso Realizar el análisis cuantitativo de los riesgoso Planificar la respuesta de los riesgos Grupo de procesos de Ejecución:o Implementar la respuesta a los riesgos Grupo de procesos de Monitoreo y Control:o Monitorear los Riesgos3.1.2Seguridad de la Información ISO/IEC 27001, Anexo A ISO 27002Esta norma se desarrolla con el fin de que las organizaciones la puedan usar como referenciao documento guía para seleccionar e implementar controles aplicables a la seguridad de lainformación, teniendo en cuenta el entorno específico en el que se desarrollan (ISO/IEC 27002,2013) (ISO/IEC 27001 Anexo A, 2013).Establece que la seguridad de la información se logra mediante la implementación de unconjunto adecuado de controles, políticas, procesos, procedimientos, estructuras organizacionalesy las funciones del software y del hardware (ISO/IEC 27002, 2013) (ISO/IEC 27001 Anexo A,2013)
21De esta forma, una política de la seguridad de la información debería contener declaracionesconcernientes a (ISO/IEC 27002, 2013) (ISO/IEC 27001 Anexo A, 2013):a) la definición de seguridad de la información, objetivos y principios para orientar todas lasactividades relacionadas con la seguridad de la información;b) la asignación de las responsabilidades generales y específicas para la gestión de la seguridadde la información, a roles definidos;c) procesos para manejar las desviaciones y las excepciones.Dichas políticas deben tener implementados controles de seguridad de la información y estarestructuradas para tener en cuenta los temas de interés. Algunos ejemplos de las políticasmencionadas en la norma que podrían ser aplicables a proyectos son (ISO/IEC 27002, 2013)(ISO/IEC 27001 Anexo A, 2013):-Controles de acceso-Clasificación y manejo de la información-Transferencia de información-Dispositivos móviles-Copias de respaldo-Protección contra códigos Maliciosos-Gestión de vulnerabilidades técnicas
22-Seguridad de las comunicaciones-Privacidad y protección de los datos personales.-Relaciones con los proveedores.De igual forma, la asignación de roles y responsabilidades para la seguridad de la informaciónes una característica importante dentro de la norma, ya que esta especifica que se debenidentificar, definir y documentar todas las responsabilidades para las actividades de seguridad dela información y gestión del riesgo, particularmente para la aceptación de riesgos residuales(ISO/IEC 27002, 2013) (ISO/IEC 27001 Anexo A, 2013).Con relación a la seguridad de la información en los proyectos, la norma tiene un numeralcorto y conciso, en el cual indica que “La seguridad de la información se debería tratar en lagestión de proyectos independientemente del tipo de proyectos” (ISO/IEC 27002, 2013)(ISO/IEC 27001 Anexo A, 2013).Esta se debe integrar a los métodos de gestión de proyectos de la organización, y es aplicablea cualquier proyecto, independiente de la naturaleza del mismo.La norma en el control 6.1.5 Seguridad de la información en la gestión de proyectos, estableceque los métodos de gestión de proyectos que se usen deben requerir que (ISO/IEC 27002, 2013):a) los objetivos de la seguridad de la información se incluyan en los objetivos del proyecto
23b) la valoración de los riesgos de seguridad de la información se lleva a cabo en una etapatemprana del proyecto, para identificar los controles necesarios.c) La seguridad de la información sea parte de todas las fases de la metodología delproyecto aplicada.Indica la importancia de revisar de forma regular las implicaciones de seguridad en todos losproyectos. Finalmente, hace hincapié en la importancia de la asignación responsabilidades alrecomendar su definición e inclusión dentro de roles definidos en los métodos existentes de lagestión de proyectos. (ISO/IEC 27002, 2013) (ISO/IEC 27001 Anexo A, 2013)
244.MetodologíaPara la elaboración de los nuevos planteamientos desarrollados en este trabajo se ejecutarondos fases (ver ilustración 1.): La fase de generación y análisis de datos, donde se identificó elnicho de empresas como mercado objetivo para realizar un estudio exploratorio que se explica encada una de las seis etapas que lo componen, y la fase de evaluación y estructuración cuyosresultados son derivados de las necesidades expuestas en la primera fase como requerimientospara la implementación de nuevas actividades que involucren la seguridad de la información enla dirección de proyectos.Figura 1.Diagrama de Metodología
254.1 Fase de generación y análisis de datos4.1.1Análisis de mercado objetivoSegún la Guía para la Implementación de Seguridad de la Información en una MIPYME en suversión 1.2 del 6 de Noviembre de 2016 menciona: “Las MIPYMES suelen tener una débilcomprensión de la seguridad de la información, tecnologías de seguridad y medidas de control, ysuelen dejar el análisis de riesgos o el desarrollo de las políticas de seguridades olvidadas”(MINTIC, 2016) es decir, que son este tipo de empresas las que tiene menor probabilidad deincluir dentro de sus procesos de gestión de proyectos, políticas y procedimientos que mitiguenel riesgo en la disponibilidad, confidencialidad e integridad de la información convirtiéndose enel objetivo de estudio en esta fase de investigación. Añadiendo la restricción del sectoreconómico en informática y comunicaciones catalogado con uno de los de mayor crecimiento enColombia durante los últimos años.Se revisó la Clasificación Industrial Internacional Uniforme de todas las actividadeseconómicas (CIIU) publicada por el DANE, entidad que organiza las empresas según suactividad principal, catalogando en los niveles de sección, división, grupo y clase.Como primer nivel se adoptó la sección J (Información y comunicaciones). Esta secciónincluye la producción y la distribución de información y productos culturales, el suministro delos medios para transmitir o distribuir esos productos, así como de datos o de comunicaciones,
26actividades de tecnologías de información y el procesamiento de datos y otras actividades deservicios de información.Teniendo en cuenta las empresas que podrían ejecutar proyectos, siguiendo algún marcoteórico de buenas prácticas, se incluyeron las siguientes divisiones:División 58. Actividades de ediciónDivisión 61. TelecomunicacionesDivisión 62. Desarrollo de sistemas informáticos (planificación, análisis, diseño,programación, pruebas), consultoría informática y actividades relacionadas.División 63. Actividades de servicios de información.Seleccionando de esta división las clases resaltadas en la Tabla 3.
27Tabla 3.Clases de actividades económicas ctividades de Edición--5820Edición de programas de informática s de telecomunicaciones alámbricas-6126120Actividades de telecomunicaciones inalámbricas-6136130Actividades de Telecomunicaciones Satelitales-6196190Otras Actividades de Telecomunicaciones62--Desarrollo de sistemas informáticos (planificación,análisis, diseño, programación, pruebas) Consultoríainformática y actividades relacionadas-620-Desarrollo de sistemas informáticos (planificación,análisis, diseño, programación, pruebas) Consultoríainformática y actividades relacionadas
28DivisiónGrupoClase--6201DescripciónActividades de desarrollo de sistemas informáticos(planificación, análisis, diseño, programación, pruebas).--6202Actividades de consultoría informática y actividadesde administración de instalaciones informáticas.--6209Otras actividades de tecnologías de información yactividades de servicios informáticos.63--Actividades de servicios de información-631-Procesamiento de datos, alojamiento y actividadesrelacionadas; portales web--6311Procesamiento de datos, alojamiento (hosting) yactividades relacionadas--6312Portales web-639-Otras actividades de servicio de información--6391Actividades de agencia de noticias--6399Otras actividades de servicio de información n.c.p.Fuente: Tomado de Clasificación Industrial Internacional Uniforme De Todas Las actividadesEconómicas, revisión 4 Para Colombia. (DANE)
29Según base de datos adquirida en la cámara y comercio de Cali, para el 2018, existen 1081empresas bajo la categoría de persona jurídica según las características mencionadas, de lascuales 18 son Medianas empresas, 163 Pequeñas empresas y 900 Microempresas, distribuidaspor actividad económica de la siguiente forma: (Ver Tabla 4. Cantidad de MiPymes según lasactividades económicas seleccionadas)Tabla 4.Cantidad de MiPymes existentes según las actividades económicas seleccionadasTotal,COD CIUUDESCRIPCION CIUUMedPeqMicgeneral5820EDICIÓN DE PROGRAMAS43034634405404766108130DE INFORMÁTICA(SOFTWARE)6110ACTIVIDADES DETELECOMUNICACIONESALÁMBRICAS6120ACTIVIDADES DE2TELECOMUNICACIONESINALÁMBRICAS6130ACTIVIDADES DETELECOMUNICACIÓNSATELITAL6190OTRAS ACTIVIDADES DETELECOMUNICACIONES220
30Total,COD CIUUDESCRIPCION CIUUMedPeqMicgeneral6201ACTIVIDADES DE55031336864919424914829694454DESARROLLO DE SISTEMASINFORMÁTICOS(PLANIFICACIÓN, ANÁLISIS,DISEÑO, PROGRAMACIÓN,PRUEBAS)6202ACTIVIDADES DECONSULTORÍA INFORMÁTICAY ACTIVIDADES DEADMINISTRACIÓN DEINSTALACIONESINFORMÁTICAS6209OTRAS ACTIVIDADES DETECNOLOGÍAS DEINFORMACIÓN YACTIVIDADES DE SERVICIOSINFORMÁTICOS6311PROCESAMIENTO DEDATOS, ALOJAMIENTO1
31Total,COD CIUUDESCRIPCION CIUUMedPeqMicgeneralHOSTING) Y ACTIVIDADESRELACIONADAS6312PORTALES WEB31316391ACTIVIDADES DE33AGENCIAS DE NOTICIAS6399OTRAS ACTIVIDADES DE261523181639001081SERVICIO DE INFORMACIÓNN.C.P.TOTALFuente: Tomado de Clasificación Industrial Internacional Uniforme De Todas Las actividadesEconómicas, revisión 4 Para Colombia. (DANE)Teniendo en cuenta la cantidad de empresas que arroja la muestra y que a la fecha no secuenta con estudios previos en las MiPymes sobre las buenas prácticas en la gestión deproyectos y seguridad de la información, se realiza una investigación exploratoria, ofreciendo unprimer acercamiento al problema que permita identificar y proponer las actividades que apoyenla disponibilidad, confidencialidad e integridad de la información durante la ejecución de uno ovarios de los cinco grupos de procesos enmarcados por el PMBOK para la buena gestión deproyectos.
32Según Ildefonso Grande Esteban y Elena Abascal Fernández en el libro Fundamentos yTécnicas de Investigación Comercial 12ª Edición 2014, las investigaciones exploratorias puedentener por objeto conocer situaciones, problemas o fenómenos con mayor profundidad,identificando posibles cursos de acción (Esteban & Fernández, 2014).A partir del tipo de investigación exploratoria, de las 1081 empresas se obtiene una muestrarepresentativa de 99 empresas de aquellas que ejecuta una o varias de las actividades económicasseleccionadas, calculada mediante el uso de la fórmula para cálculo de muestra de poblacionesfinitas con un nivel de confiabilidad del 94% y un margen de error del 9%:𝑛 𝑁 𝑍𝛼2 𝑝 𝑞𝑑2 (𝑁 1) 𝑍𝛼2 𝑝 𝑞Donde:N Tamaño Total de la poblaciónZα Nivel de confianzaP Probabilidad del éxito o proporción esperadaq Probabilidad de fracasod Precisión (error máximo admisible)La elección de las empresas participantes se realizó al azar mediante la creación de unaleatorio en el programa estadístico Excel.
33Diseño de encuesta grado básico: Para el nivel básico exploratorio sobre el uso de lasbuenas prácticas en la ejecución de proyectos y seguridad de la información, se utiliza el mediodigital como captura, bajo la herramienta de formularios en Google, donde se diseñan 8preguntas dividas en dos secciones, 4 focalizadas en la gerencia de proyectos y 4 en la seguridadde la información, y el objetivo principal es conocer qué tipo de metodología y herramientasutilizan las MiPymes para estos sistemas de gestión y control, además si las empresas cuentancon personas capacitadas en los temas.Figura 2.Portada encuesta grado básicoAplicación encuesta grado básico:Se envían las encuestas a las 99 empresas seleccionadas anteriormente, a los correos de laspersonas con roles de alta gerencia o gerencia media dentro de la organización.Diseño de encuesta grado intermedio: En el nivel exploratorio intermedio con una intenciónde obtener mayor profundidad en la información, se diseña, con la herramienta de formularios enGoogle, 23 preguntas con requerimientos más específicos de información, 10 preguntas cerradas
34sobre el manejo de metodología, políticas, roles y planes que apoyen la disponibilidad,confidencialidad e integridad de la información, y 13 preguntas de clasificación donde podemosmedir el tipo de metodología y técnicas para buena gestión de proyectos según el marco utilizadopor cada organización.Figura 3.Portada encuesta grado intermedioAplicación encuesta grado intermedio: Se envía la encuesta de profundización a lasempresas que participan en la fase inicial de grado básico.Análisis de resultados: Con ayuda de las encuestas se planea conocer si las empresas quetrabajan con proyectos tienen conocimiento sobre buenas prácticas en su administración, y sireconocen la importancia de garantizar la disponibilidad, confidencialidad e integridad de lainformación manejada dentro de dichos proyectos, además de determinar en qué medida tienenconocimiento de la normativa en relación con la gestión de la seguridad de la información, los
35marcos relacionados a la misma y las razones por las cuales aún no se consider
(ISO/IEC 27002, 2013) (ISO/IEC 27001 Anexo A, 2013). Con relación a la seguridad de la información en los proyectos, la norma tiene un numeral corto y conciso, en el cual indica que "La seguridad de la información se debería tratar en la gestión de proyectos independientemente del tipo de proyectos" (ISO/IEC 27002, 2013)
![[ Modulo 9. Seguridad en Bases de Datos ] La seguridad en una base de .](/img/43/seguridad-bases-de-datos-diplomado-abd.jpg)
