Ir al contenido principal

Tareas módulo 4: Control, seguimiento y finalización del proyecto


En este informe se intentan exponer los resultados del proyecto aplicando lo aprendido durante este curso de Planificación y Gestión de Proyectos en la Administración Pública.

Datos básicos del proyecto:

Proyecto: ENSerio

Jefe de Proyecto: Responsable de Seguridad de la Organización y el Responsable de Protección de datos.

Entidad: Ayuntamiento de Calvià

Objetivo:

El objetivo del proyecto es la implantación de las medidas de seguridad y protección de datos que correspondan, sobre los Sistemas de Información de la Organización, que permitan obtener a la finalización del mismo, la Certificación en el Esquema Nacional de Seguridad (ENS) en un Sistema de Información que se considere prioritario para la Organización.

Por la naturaleza de los datos que trata y por la relevancia de los servicios que se gestionan, el sistema de información seleccionado es el Sistema de Gestión Policial utilizado por la Organización.

Grado de cumplimiento de los Indicadores.

  • Desvío de plazo: se ha producido una desviación de 6 meses respecto al tiempo de ejecución previsto.
  • Desvío de coste: se ha producido una desviación de un 15% respecto a los costes previstos.
  • Aprobación de la Política de seguridad por el Alcalde del Ayuntamiento: 100%
  • A la finalización de la fase de Diagnóstico y Plan se ha definido la Política de Seguridad que ha sido aprobada por el Alcalde del Ayuntamiento e incluye los punto identificados en el artículo 11 del Real Decreto. 
  • Aprobación de la Declaración de aplicabilidad: 100%. Se ha aprobado la Declaración de aplicabilidad por el Responsable de Seguridad. 
  • Medidas de seguridad implantadas frente a las identificadas en el Plan: 90%
  • Auditoria interna ENS: 100%
  • Certificación de conformidad con el ENS para el Sistema de Gestión Policial: 100%
  • Formación presencial al personal interno: 85%
  • Formación presencial al personal técnico: 100%

Alcance del proyecto.

De los entregables incluidos en el alcance se han conseguido los siguientes:
  • Análisis y diagnóstico de la situación actual de Seguridad del Sistema identificando el grado de cumplimiento en la Organización de las medidas establecidas en el ENS.
  • Plan de adecuación al ENS: se ha definido un plan de adecuación que incluye los siguientes entregables:
  • Política de Seguridad actualizada incluyendo las variaciones que corresponden de acuerdo con el Real Decreto 951/2015 de modificación del Real Decreto 3/2010 por el que se regula el ENS.
  • Valoración de la información y los servicios de los Sistemas de Información considerados prioritarios, así como, la determinación de la categoría del Sistema.
  • Análisis de riesgos de los Sistemas de Información de la Organización actualizado.
  • Elaboración de la Declaración de Aplicabilidad.
  • Elaboración de un Informe de insuficiencias del sistema.
  • Elaboración de un Plan de mejora de la Seguridad donde se han incluido las medidas de seguridad que sería necesario implantar para la adecuación al ENS.
  • Plan de adecuación al Reglamento General de Protección de Datos. Se ha elaborado un Plan de adecuación al RGPD.
  • Jornadas de concienciación dirigidas a todo el personal en seguridad de la información. Se han realizado 8 jornadas presenciales y se ha habilitado una herramienta para formación on-line.
  • Jornadas de capacitación dirigidas al personal técnico destinadas a la implantación de las medidas de seguridad que sean necesarias y actualización del plan. Se han realizado varias jornadas con un total de 20h de duración.
  • Auditoría previa a la certificación en el ENS. Debido a los retrasos producidos en la implantación de las medidas de seguridad, se ha producido una desviación de 5 meses en la ejecución de esta actividad.
  • Certificación en el ENS de un sistema de información. Debido a los retrasos producidos en la implantación de las medidas de seguridad, se ha producido una desviación de 6 meses en la ejecución de esta actividad.


Actividades del Proyecto.

Duración prevista del proyecto: 12 meses.

Duración real del proyecto: 18 meses.

Fase 1: Dirección y seguimiento del proyecto.

1.1. Dirección y supervisión de los trabajos.

1.2. Validación y aprobación de los trabajos.

1.3. Control del presupuesto.

1.4. Cierre del proyecto.

Se han llevado a cabo las actividades de esta fase durante toda la ejecución del proyecto con una desviación de 6 meses sobre el plazo previsto, por los retrasos que se han producido.

Fase 2. Diagnóstico y plan de adecuación al ENS.

2.1. Desarrollo del Plan de adecuación al ENS.

2.2. Análisis y diagnóstico de la situación actual.

Estas actividades han sufrido un retraso de 1 mes respecto a la planificación prevista de 4 meses, debido a los retrasos producidos por la implicación de los Responsables de Información y Servicios.

Fase 3. Implantación del ENS.

3.1. Implementación de un SGSI.

3.2. Elaboración de las Políticas, procedimientos, normativas.

3.3. Implantación de herramientas identificadas y/o medidas correctoras al Sistema de Gestión Policial.

3.4. Redacción del Informe del Estado de la Seguridad.

Estas actividades han sufrido un retraso de 5 meses respecto a la planificación prevista, debido a la inicialización de la fase con un mes de retraso respecto al previsto.

Fase 4. Plan de adecuación en materia de protección de datos de carácter personal.

4.1. Análisis general de la situación actual.

4.2. Implantación de la actuaciones para el cumplimiento del RGPD.

4.3. Preparación y carga en la herramienta de soporte de la documentación que corresponda.

Estas actividades se han realizado en el plazo previsto.

Fase 5. Certificación ENS.

5.1. Auditoría interna.

5.2. Certificación ENS del Sistema de Gestión Policial.

Estas actividades han sufrido un retraso de 6 meses respecto a la fecha prevista, debido a los retrasos producidos en la fase anterior de la cual depende, referida a la implantación del ENS.

Fase 6. Servicios de formación y divulgación.

6.1. Formación presencial al personal interno.

6.2. Formación presencial al personal técnico.

Estas actividades se han llevado a cabo en el plazo previsto. Hay que indicar que debido a la influencia de varios factores la formación del personal interno ha tenido un alcance del 85%. Se deberán prever nuevas jornadas de formación en el futuro.

Costes del proyecto.

  • Elementos de hardware y software que sean necesarios para el cumplimiento de las medidas de seguridad, de acuerdo con lo que se determine en el Plan de Adecuación: se ha producido una desviación de un 10% respecto a los costes previstos debido a que los elementos necesarios para el cumplimiento de las medidas han superado las previsiones iniciales.
  • Materiales necesarios para la adecuación física de las instalaciones identificados en el Plan de Adecuación. Se ha producido una desviación del 5% respecto a los costes iniciales, porque no se habían previsto actuaciones colaterales que ha sido necesario realizar. 
  • Contratación de los servicios de soporte de una empresa externa para la ejecución del proyecto. Los costes se han ajustado a los previstos.
  • Contratación de una auditoría para la Certificación en el ENS. Los costes se han ajustado a los previstos
  • Costes de formación al personal técnico. Los costes se han ajustado a los previstos.
  • Costes de las jornadas de concienciación en seguridad de las medidas de seguridad y protección de datos al personal de la Organización. Los costes se han ajustado a los previstos.
  • Asistencia a jornadas/seminarios. Los costes se han ajustado a los previstos.

Recursos humanos.

  • Responsable político que apoye e impulse el proyecto. El nivel de apoyo al proyecto ha sido bajo, ya que la ejecución de este proyecto no ha sido considerada como de las más prioritarias. 
  • Responsables de seguridad jurídico y técnico. Desempeño de acuerdo con la planificación.
  • Responsable de sistemas. Gran implicación en el proyecto.
  • Responsables de la Información y Servicios. Son los jefes de servicio de la organización a los cuales ha costado implicar en el proyecto. Además, la falta de disponibilidad de algunos recursos humanos del Servicio de Informática a la mitad del proyecto, ha provocado problemas importantes en la planificación teniendo que asumir los miembros del equipo técnico las tareas del personal no disponible. 
  • Personal Técnico del Servicio de Informática de la Organización para la implantación de las medidas de seguridad y elaboración de los procedimientos. Las desviaciones en referencia a las medidas a implantar han sido provocadas en gran medida por los problemas de disponibilidad de recursos humanos.
  • Personal externo que de soporte para la elaboración Plan y su Implantación. De acuerdo con la planificación.
  • Formadores contratados de forma externa. Al estar programadas las sesiones formativas no han surgido cambios destacables.
  • Auditor para la certificación en el ENS. Contratado un auditor externo certificado.
  • Personal de Policía responsable de la implantación. La empresa proveedora del sistema ha implantado de forma más lenta a la prevista las medidas de seguridad requeridas, ya que no estaban contempladas en el contrato de servicio la adaptación al ENS. 

Riesgos

  • Los riesgos que se han materializado en la ejecución del proyecto son:
  • Falta de liderazgo dentro del Organización que apoye la ejecución del proyecto, que han influenciado el desarrollo con retraso del proyecto.
  • El aumento de los recursos económicos necesarios para la ejecución del proyecto ha influenciado también en la desviación del plazo previsto.
  • Problemas de disponibilidad de los recursos humanos asignados al proyecto: la falta de recursos humanos a mitad de proyecto ha provocado que otros recursos dedicados al proyecto deban asumir sus funciones.
  • Falta de implicación por parte de los Responsables de Información y Servicios, que ha producido retrasos de ejecución del proyecto.
  • Retrasos en la implantación de las medidas de seguridad por parte de la empresa proveedora del Sistema de Gestión Policial y necesarias para conseguir la Certificación en el ENS.
  • Los desvíos en los costes han provocado retrasos en la ejecución.

Adquisiciones

  • Dentro del plan de adecuación se detectó la necesidad de adquisición de licencias de antivirus. Se han adquirido 200 licencias de antivirus para solucionar la contingencia. Aquí se ha producido una desviación importante ya que la estimación inicial era de 50 licencias.
  • Se ha adquirido una herramienta para la anonimización y eliminación automática de metadatos de los documentos publicados en la web. La licencia era por número de documentos publicados anualmente y tras el estudio se ha detectado que se publican más de los previstos inicialmente. Esto ha motivado un incremento en su coste.
  • Una destructora segura de material informático.
  • Herramienta para encriptación y protección de documentos.
  • Herramienta para la gestión de la RGPD y ENS
  • Software para gestionar la monitorización de los sistemas
  • Software para controlar el acceso de consulta y actualización de registros de las Bases de datos de la corporación. Solamente se ha implementado sobre el sistema de gestión policial aunque se ha retrasado su puesta en funcionamiento motivado por la falta de implicación de la empresa proveedora del servicio.
  • Material para la adecuación de las instalaciones físicas a los requerimientos de seguridad.

Acciones correctivas.

Las acciones correctivas que se han tenido que asumir en el proyecto consecuencia de las desviaciones y que han afectado a las tareas y productos han sido las siguientes:

  1. Desvío de costes: se ha tenido que aumentar en un 15% el presupuesto previsto.
  2. Desvío de plazos: cómo no era posible aumentar los recursos humanos dedicados al proyecto, se ha extendido la duración del proyecto en 6 meses.
  3. Desvío en las medidas de seguridad a implantar: algunas de las actuaciones contempladas en el Plan de mejora de la seguridad, no se han podido documentar y procedimentar, tal y como contempla dicho plan, aunque sí implementar. Ello ha permitido la obtención de la certificación para el Sistema de Información de Gestión Policial. Dichas actuaciones pendientes se contempla desarrollarlas en el futuro, dentro de un proceso de mejora continua.
  4. Desvío de las acciones formativas: debido a que no todo el personal de la administración pudo asistir a las jornadas realizadas, se deberán realizar nuevas acciones formativas dirigidas a ellas y para el nuevo personal que se pueda incorporar.

Lecciones aprendidas.

Buscar la implicación de los altos cargos de la administración y en general, de todos aquellas personas que deban intervenir en el proyecto, antes de iniciar un proyecto de esta naturaleza.


Medir mejor antes de presupuestar. Las desviaciones más importantes en los costes se ha dado en la adquisición de software en forma de licencias por no haber cuantificado correctamente nuestras necesidades reales.


Incluir en las cláusulas de los contratos de servicios informáticos todos los requisitos necesarios para el cumplimiento de el RGPD y ENS. Aunque los proveedores tienen la obligación de cumplirlos por ley es más fácil que acepten la adaptación de sus productos si está claramente especificado en el contrato.


En algunos contratos de formación es necesario añadir cláusulas de coste para posibles futuras formaciones no incluidas en la propuesta inicial. Esto nos permitirá mayor flexibilidad para alcanzar al 100% del personal y evitará la necesidad de nuevos contratos.


De cara a facilitar la gestión y seguimiento de los proyectos, podría ser más adecuado dividir proyectos grandes, en otros más pequeños.





Comentarios

Publicar un comentario

Entradas populares de este blog

Tareas módulo 3: Mapa mental del proyecto

Un mapa mental es un diagrama usado para representar palabras, ideas, tareas, dibujos, u otros conceptos ligados y dispuestos radialmente alrededor de una palabra clave o de una idea central. Los mapas mentales son un método muy eficaz para extraer y memorizar información. Son una forma lógica y creativa de tomar notas y expresar ideas, que consiste, literalmente, en cartografiar sus reflexiones sobre un tema; es representado por medio de dibujos o imágenes Veo el mapa mental como una buena herramienta para formalizar el resultado de un proceso de brainstorming. Su flexibilidad permite usarlo en diferentes etapas de la gestión del proyecto como son el acta de constitución o el diseño del proyecto. En este caso nos ha permitido desplegar las actividades y tareas del proyecto: Adecuación de la Organización a la Normativa de Seguridad de la información y Protección de Datos. Una vez localizadas las tareas a realizar podremos realizar correctamente la planificación utilizándolas en el
Publicar un comentario
Leer más

Las bases de la nave espacial

Las lineas estratégicas en el departamento de informática están definidas, pero la mayoría de ellas vienen impuestas por leyes y normativas que son de aplicación en la administración local. Esto hace que las soluciones sean difíciles de implantar y sea complejo determinar quien lidera los proyectos. Ejemplos de estas lineas estratégicas son: La tramitación electrónica de expedientes Sede electrónica Carpeta ciudadana Perfil del contratante Adecuación de los procesos de la administración a la LOPD y al Esquema Nacional de Seguridad Son muchas las lineas estratégicas con un departamento formado por un equipo reducido de personas, sin el completo apoyo institucional y con la resistencia al cambio propia de la administración pública. Todo ello hace muy difícil sacar adelante este tipo de proyectos. Trabajar con una buena gestión de proyectos reduciría la resistencia al cambio tecnológico, también mejoraría el apoyo institucional y la comunicación necesaria entre departamentos
Publicar un comentario
Leer más