¿Se han preguntado cómo pueden asegurar de manera efectiva la información vital de sus proyectos? La seguridad de los datos es crucial en cualquier empresa, y como gerentes de proyectos, somos responsables de garantizar que la información confidencial y/o sensible esté protegida en todo momento.
2. Durante la construcción de un nuevo aeropuerto
en un país latinoamericano, se produjo una
filtración de información confidencial que contenía
los planos del proyecto, los presupuestos y los
nombres de los contratistas.
La filtración se debió a un error humano, ya que un
empleado de la empresa constructora compartió
accidentalmente la información en un foro público
en línea.
Esta filtración de información provocó que la
empresa constructora tuviera que reforzar sus
medidas de seguridad y que se retrasara el
proyecto.
3. Proyecto de desarrollo de un nuevo
software
• En el desarrollo de un nuevo software para una empresa
financiera, se detectó que un grupo de hackers había
accedido a los sistemas informáticos del proyecto y había
robado código fuente y datos confidenciales.
• Se cree que los hackers accedieron a los sistemas a
través de una vulnerabilidad en el software de desarrollo.
• Esta fuga de información provocó que la empresa
financiera tuviera que retrasar el lanzamiento del software
y que se replanteara sus medidas de seguridad.
4. Proyecto de investigación científica
• Durante un proyecto de investigación científica sobre un
nuevo medicamento, se produjo la pérdida de un
ordenador portátil que contenía datos confidenciales
sobre los resultados de la investigación.
• El ordenador portátil fue robado de un vehículo que
estaba estacionado en el campus de la universidad donde
se desarrollaba el proyecto.
• Esta pérdida de información provocó que el equipo de
investigación tuviera que retrasar la publicación de sus
resultados y que se reforzaran las medidas de seguridad
en el campus.
5. Proyecto de marketing de una nueva campaña
publicitaria
• En la preparación de una nueva campaña publicitaria para
una empresa de productos de consumo, se filtró a la
prensa un borrador del anuncio que contenía información
confidencial sobre la estrategia de marketing de la
empresa.
• Se cree que la filtración se produjo debido a un error
humano, ya que un empleado de la agencia de publicidad
compartió accidentalmente el borrador con un periodista.
• Esta filtración de información provocó que la empresa de
productos de consumo tuviera que modificar su campaña
publicitaria y que se replanteara sus medidas de
seguridad.
6. Proyecto de implementación de un nuevo sistema
ERP
• Durante la implementación de un nuevo sistema ERP en
una empresa manufacturera, se detectó que un grupo de
hackers había accedido a los sistemas informáticos del
proyecto y había instalado malware que podía bloquear el
acceso a los datos.
• Se cree que los hackers accedieron a los sistemas a
través de una vulnerabilidad en el software de instalación
del sistema ERP.
• Este ataque de malware provocó que la empresa
manufacturera tuviera que interrumpir la implementación
del sistema ERP y que se contratara a una empresa de
seguridad informática para eliminar el malware.
7. Introducción
• En esta presentación abordaremos los riesgos que
conlleva la utilización de información en los proyectos.
• Analizaremos las medidas de seguridad necesarias para
proteger dicha información.
8. En este mundo
digital, la información
es un activo
fundamental para las
empresas y
organizaciones.
Sin embargo, su uso en
proyectos conlleva riesgos
que deben ser gestionados
adecuadamente.
9. ¿Qué es la información?
• La información es cualquier dato o conjunto de datos que tiene
un significado y valor para una persona o una organización.
• Puede ser tangible o intangible, y puede presentarse en
diversos formatos, como documentos, imágenes, videos, audio
y datos electrónicos.
• Es importante tener una comprensión clara de qué es la
información para poder identificar los riesgos asociados a su
uso en proyectos.
• La información puede ser de diversa naturaleza, desde datos
personales confidenciales hasta secretos comerciales valiosos.
• La protección de la información es crucial para el éxito de
cualquier proyecto.
10. ¿Cuáles son los riesgos de utilizar
información en proyectos?
• Pérdida de información: La información puede perderse
debido a errores humanos, fallos técnicos, robos o
desastres naturales.
• Divulgación no autorizada: La información puede ser
divulgada a personas no autorizadas de forma accidental
o intencionada.
• Alteración de la información: La información puede ser
alterada o modificada de forma no autorizada.
• Destrucción de la información: La información puede ser
destruida de forma accidental o intencionada.
11. ¿Cómo proteger la información en
proyectos?
• La protección de la información requiere un enfoque
integral que incluya medidas técnicas, organizativas y
físicas.
• Es importante implementar controles de acceso
adecuados, cifrar la información confidencial, realizar
copias de seguridad regulares, sensibilizar a los
empleados y desarrollar planes de respuesta a incidentes.
12. Ejemplos de medidas de seguridad
• Controles de acceso: Utilizar contraseñas seguras,
autenticación de dos factores y tarjetas de identificación
para controlar el acceso a la información.
• Cifrado: Cifrar los datos en reposo y en tránsito utilizando
algoritmos de cifrado fuertes.
• Copias de seguridad: Realizar copias de seguridad de la
información en un almacenamiento seguro y fuera del
sitio.
• Sensibilización y formación: Brindar a los empleados
capacitación sobre seguridad de la información,
incluyendo cómo identificar y reportar amenazas, y cómo
utilizar las medidas de seguridad de manera efectiva.
13. Ejemplos de medidas de seguridad
• Planes de respuesta a incidentes: Desarrollar planes de
respuesta a incidentes que incluyan procedimientos para
identificar, contener y remediar las violaciones de seguridad de
la información.
• Existen diversas medidas de seguridad que pueden ser
implementadas para proteger la información en proyectos.
• La elección de las medidas adecuadas dependerá de las
necesidades específicas del proyecto y de la organización.
• Es importante consultar con expertos en seguridad de la
información para obtener asesoramiento sobre las mejores
prácticas para proteger la información.
14. Prácticas comunes a seguir
• El primer paso es identificar todos los tipos de
información que se utilizarán o generarán durante el
proyecto. Esto puede incluir planos, documentos, datos,
código fuente, correos electrónicos, direcciones,
formulas, etc.
• Una vez identificados, los activos de información deben
clasificarse según su nivel de confidencialidad e
importancia.
• Esto ayudará a determinar qué medidas de seguridad son
necesarias para protegerlos
15. Prácticas comunes a seguir
• Establecer una política de seguridad de la información
Una política de seguridad de la información
• Una vez que se han clasificado los activos de
información, es necesario evaluar los riesgos potenciales
para su seguridad. Esto incluye amenazas internas y
externas, como errores humanos, ataques maliciosos y
desastres naturales.
• La evaluación de riesgos debe identificar la probabilidad
de que ocurra cada amenaza y el impacto potencial que
podría tener en el proyecto
16. Sensibilizar y formar a los empleados y
proveedores
• Brindar a los empleados capacitación sobre seguridad de
la información, incluyendo cómo identificar y reportar
amenazas, y cómo utilizar las medidas de seguridad de
manera efectiva.
• Actualizar la capacitación de forma regular para reflejar
las nuevas amenazas y vulnerabilidades.
• Fomentar una cultura de seguridad de la información en la
organización.
• La sensibilización y la formación son esenciales para
proteger la información de errores humanos.
17. Sensibilizar y formar a los empleados y
proveedores
• Es importante brindar a los empleados capacitación sobre
seguridad de la información, incluyendo cómo identificar y
reportar amenazas, y cómo utilizar las medidas de
seguridad de manera efectiva.
• La capacitación debe actualizarse de forma regular para
reflejar las nuevas amenazas y vulnerabilidades.
• Es importante fomentar una cultura de seguridad de la
información en la organización donde los empleados se
sientan cómodos reportando cualquier problema de
seguridad que observen.
18. Implementar controles de acceso
• Restringir el acceso a la información a las personas que la
necesitan para su trabajo.
• Utilizar contraseñas seguras y autenticación de dos
factores.
• Limitar el uso de privilegios administrativos.
• Los controles de acceso son esenciales para proteger la
información de personas no autorizadas.
19. Implementar controles de acceso
• Es importante restringir el acceso a la información a las
personas que la necesitan para su trabajo.
• Se deben utilizar contraseñas seguras y autenticación de
dos factores para proteger las cuentas de usuario.
• Los privilegios administrativos deben limitarse al personal
que los necesita para realizar su trabajo.
20. Cifrar la información confidencial
• Cifrar los datos en reposo y en tránsito utilizando
algoritmos de cifrado fuertes.
• Utilizar claves de cifrado seguras y almacenarlas de forma
segura.
• Destruir los datos confidenciales de forma segura cuando
ya no sean necesarios.
Co FO mo FO Es FES Tas FAS. Tu Fu?
21. Realizar copias de seguridad regulares
• Realizar copias de seguridad de la información en un
almacenamiento seguro y fuera del sitio.
• Probar las copias de seguridad de forma regular para
asegurarse de que son restaurables.
• Conservar las copias de seguridad durante un período de
tiempo adecuado.
• Las copias de seguridad son esenciales para poder
restaurar la información en caso de pérdida o daño.
22. Realizar copias de seguridad regulares
• Es importante realizar copias de seguridad de la
información en un almacenamiento seguro y fuera del
sitio.
• Las copias de seguridad deben probarse de forma regular
para asegurarse de que son restaurables.
• Las copias de seguridad deben conservarse durante un
período de tiempo adecuado.
23. Desarrollar planes de respuesta a
incidentes
• Desarrollar planes de respuesta a incidentes que incluyan
procedimientos para identificar, contener y remediar las
violaciones de seguridad de la información.
• Probar los planes de respuesta a incidentes de forma
regular para asegurarse de que son efectivos.
• Comunicar los planes de respuesta a incidentes a todos
los empleados.
24. Desarrollar planes de respuesta a
incidentes
• Los planes de respuesta a incidentes son esenciales para
saber cómo actuar en caso de una violación de seguridad
de la información.
• Los planes deben incluir procedimientos para identificar,
contener y remediar las violaciones de seguridad de la
información.
• Los planes de respuesta a incidentes deben probarse de
forma regular para asegurarse de que son efectivos.
• Todos los empleados deben estar familiarizados con los
planes de respuesta a incidentes y saber cómo actuar en
caso de una violación de seguridad de la información.
25. Conclusiones
• La información es un activo fundamental para las
empresas y organizaciones.
• La utilización de información en proyectos conlleva
diversos riesgos que deben ser gestionados
adecuadamente.
• Existen diversas medidas de seguridad que pueden ser
implementadas para proteger la información en
proyectos.
• Es importante establecer una cultura de seguridad de la
información en la organización donde todos los
empleados estén comprometidos con la protección de la
información.
26. Recomendaciones finales
• Realizar una evaluación de riesgos de seguridad de la
información para identificar los riesgos potenciales.
• Implementar las medidas de seguridad adecuadas para
mitigar los riesgos identificados.
• Sensibilizar y formar a los empleados sobre seguridad de
la información.
• Desarrollar y probar planes de respuesta a incidentes.
• Monitorizar y revisar continuamente las medidas de
seguridad de la información.
27. • En 2016, un ex empleado de Google robó secretos
comerciales relacionados con el proyecto de vehículos
autónomos de la empresa.
• El empleado descargó archivos confidenciales antes de
unirse a un competidor directo, lo que resultó en una
demanda legal y una investigación federal.
28. • En 2015, la Oficina de Administración de Personal de EE.
UU. sufrió una violación masiva de datos que afectó a
más de 21 millones de empleados federales y
contratistas.
• Los atacantes, supuestamente patrocinados por el
gobierno chino, obtuvieron acceso a información personal
altamente confidencial.
29. • En 2017, el Hospital General de Massachusetts
experimentó una violación de seguridad que expuso
información médica confidencial de pacientes de
investigación clínica.
• La violación fue el resultado de un correo electrónico
malicioso enviado a un investigador, comprometiendo las
credenciales de acceso.
30. • En 2016, se descubrió que un grupo de hackers
extranjeros había infiltrado la red eléctrica de Ucrania,
causando apagones masivos en varias regiones del país.
• Los atacantes accedieron a los sistemas de control de la
red y los manipularon para interrumpir el suministro de
energía.
31. • En 2014, Sony Pictures Entertainment sufrió un ataque
cibernético masivo que resultó en la filtración de miles de
correos electrónicos internos, documentos confidenciales
y datos de empleados.
• Los atacantes, supuestamente respaldados por Corea del
Norte, filtraron información comprometedora y causaron
daños significativos a la reputación de la empresa.