PMI Madrid Spain

Eisenhower, la Matriz de Riesgos en las Ardenas y un ataque zombie

Luis Ángel Martínez CastellanosLuis Angel Martínez
   
ITProject Manager
Voluntario PMI Castilla y León Branch

  

Amelia Herrero Amelia Herrero Carrera
 
 
 Responsable Desarrollo y Mantenimiento en ATOS
 Voluntario PMI Castilla y León Branch
 

El pasado 10 de octubre tuvimos la ocasión de aprender algo más sobre un área tan compleja, y a la vez importante, como es la gestión de riesgos, tan olvidada en algunas ocasiones pero que en muchas otras marca la diferencia entre el éxito o el fracaso en la dirección de proyectos, dando lugar a que incluso dentro de nuestra organización exista una certificación específica en la materia (PMI-RMP).

En primer lugar, Fernando Ley, experto director de proyectos, con más de 25 años de experiencia en el área de construcción e ingeniería, nos hacía un repaso de los diferentes procesos relativos a la gestión de riesgos que, según PMP, tienen lugar dentro de cada una de las fases del proyecto dentro de esta área de conocimiento.

Fernando nos recuerda lo que es la dirección de proyectos, que los proyectos existen allá desde la época de los faraones y destaca la importancia que tiene contar desde el principio, con un plan de riesgos en el que se establezca cómo vamos a trabajar con éstos. Posteriormente empezaremos por identificar todos los posibles riesgos cercanos al negocio clasificándolos según su tipo (en este caso, centrados en el sector de la construcción, vimos se pueden englobar en grupos como ingeniería, subcontrataciones, medioambientales, riesgos de seguridad, financieros, de contrato, de puesta en marcha etc.). Tras esta identificación, pasamos a realizar un análisis cualitativo situando todos éstos en una matriz de riesgos posicionados según su probabilidad de ocurrencia e impacto para llegar a situar cada uno de ellos en un nivel entre alto, medio y bajo. El objetivo es eliminar los riesgos altos, mitigar los riesgos medios y hacer un seguimiento de los bajos. Como sugerencia de buena práctica, siempre que en nuestro proyecto realicemos intermediación entre clientes y proveedores, debemos trasladar los riesgos de unos a otros y no quedarnos con ellos. Finalmente, durante la fase de ejecución del proyecto, tendremos que hacer seguimiento y control de los riesgos sobre la lista inicial actualizando el estado de éstos de forma continua.

DSC 0158

Y de la teoría, la práctica .. Navidad del 44, batalla de las Ardenas durante la Segunda Guerra Mundial. Incluso varias décadas antes de que se publicara el PMBOK ya se hacía planificación de riesgos. Así, Fernando nos relata cómo el general Eisenhower hizo la planificación de riesgos sin perder el objetivo del proyecto (conquistar Berlín), trazando su matriz de riesgos y diseñando su plan de contingencia.

DSC00913

Posteriormente, José Manuel Cuena, profesional con más de 20 años de experiencia en la gestión de seguridad en IT, nos hablaba de la gestión de riesgos en esta área de especial relevancia en la actualidad en todas las empresas. La protección de los datos es básica desde que éstos se han convertido en uno de los principales activos, sino el principal.

José Manuel nos plantea la siguiente pregunta muy interesante que deben hacerse todas las organizaciones: “¿Cuánto valen mis datos?

Muchas veces no nos planteamos el valor de los datos en una empresa, y simplemente nos damos cuenta de dicho valor, cuando ya no disponemos de los datos. Nos cuenta que aproximadamente el 60% de las pymes desaparecen después de haber sufrido un ciberataque. Incluso Jose Manuel, nos relató algunos ejemplos. Por eso, destacó la importancia de pensar no solo en los riesgos, sino en los riesgos de los riesgos.

De nuevo, en este otro ámbito de las TIC y los data center , se destaca la importancia de tener en cuenta todos los riesgos por extraños que parezcan, así hablamos de : riesgos meteorológicos, geopolíticos (guerras , atentados terroristas ..) , accidentales (fuego, inundación …), riesgos intencionados , accidentales o incluso otros (ataque “zombie”)

DSC 0219

Una posible solución a las empresas para proteger sus datos puede ser externalizar la gestión de los datos y ponerlos en manos de una organización experta en esta materia. En cuanto a los usuarios que acceden a los datos de la compañía, hay que establecer claramente las responsabilidades y restricciones de acceso desde el principio.

Jose Manuel, nos explicó varios de los estándares que existen en materia de seguridad cuya aplicación es muy beneficioso para la organización, como son: ISO27001, ISO22301, ENS o el sello AEI de Ciberseguridad. La certificación en este tipo de estándar puede ser una ayuda, así como seguir unos consejos básicos para la seguridad: constancia, implicación total de la organización (no sólo el departamento de IT), empezar afrontando lo más básico en lugar de querer abarcar todo desde el principio y establecer planes de contingencia simples.

La clave de una buena gestión de riesgos es involucrar a toda la organización y creer realmente en la importancia de tener una adecuada estrategia de riesgos antes de que sea demasiado tarde.

En definitiva, una jornada muy interesante en cuanto a la gestión de riesgos dentro de los proyectos que seguro nos hará estar alerta y pensar más de una vez, en nuestra puesta en práctica diaria como directores de proyecto, ayudándonos a identificar y tratar éstos de una manera más profesional y efectiva.