Hace mucho tiempo, en una red digital que hoy nos parece muy, muy lejana, la ciberseguridad era una disciplina casi anecdótica. En aquella Galaxia muy lejana, las empresas operaban con una falsa sensación de paz. Las amenazas no eran sofisticadas maquinarias de extorsión financiera, sino experimentos creados por estudiantes curiosos o jóvenes buscando notoriedad, como el Gusano Morris de 1988, que infectó accidentalmente al 10% de los ordenadores conectados a "Internet". En esa época y hasta los 2000, diría yo, proteger una empresa era una tarea puramente técnica: el informático instalaba un antivirus o software similar, y no hacía falta ninguna gestión de proyectos.
 
El ataque de los clones Sin embargo, el mundo se hiperconectó. En el año 2000, el gusano ILOVEYOU demostró el poder devastador de la ingeniería social. Al igual que el profundo amor que Anakin Skywalker sentía por Padme Amidala fue exactamente lo que desencadenó la oscuridad en él y su trágica caída al Lado Oscuro, el amor prometido en el asunto de este código desencadenó el caos mundial. Oculto bajo esa inocente carta, este gusano logró colapsar servidores a nivel global y causó miles de millones de dólares en daños.
 
A este incidente le siguió una verdadera era de oscuridad, dominada por gusanos de red automatizados que se propagaban a la velocidad de la luz. Durante estos años, vimos aparecer amenazas como Code Red (2001) o SQL Slammer (2003). Pero si hay dos grandes incidentes que recuerdo nítidamente de aquella época fueron Blaster (2003) y Sasser (2004). Estos gusanos aprovechaban vulnerabilidades de Windows para infectar equipos por el mero hecho de estar conectados a Internet. Fueron exactamente estos los que me tocaron a mí en primera línea de batalla; yo mismo tuve que hacer mi labor de "ingeniero informático", yendo máquina por máquina para parchear Windows a contrarreloj y frenar la propagación en los ordenadores de mis amigos en la Universidad.
 
La gran lección de esta era fue que la tecnología por sí sola no era suficiente. Las empresas carecían de procesos de gestión y gobierno. Ninguna red podía considerarse segura solo con escudos técnicos si nadie organizaba las defensas.
 
El Despertar de la Fuerza: El nacimiento de los Marcos de Gobierno Ante este caos y con pérdidas multimillonarias, la industria comprendió que necesitaba un "Código Jedi": un conjunto de reglas y metodologías para poner orden y no continuar en el lado oscuro. La ciberseguridad dejó de ser un problema del "técnico de sistemas" para convertirse en un riesgo corporativo que requería estrategia y procesos.
 
Es en este momento de despertar cuando se consolidan los grandes marcos de gobierno. En el año 2005, nace oficialmente como estándar internacional la norma ISO/IEC 27001, estableciendo la necesidad de un Sistema de Gestión de Seguridad de la Información (SGSI). Años más tarde, tras una orden ejecutiva en EE. UU., nació el NIST Cybersecurity Framework, dotando a las empresas de una estructura adicional de resiliencia.
 
El Project Manager es como un Maestro Jedi. Hoy en día, el panorama de amenazas está dominado por el "Lado Oscuro": el cibercrimen organizado, las APT (Amenazas Avanzadas Persistentes) y la ciberguerra. Para hacer frente a estas amenazas y cumplir con las regulaciones, las empresas no pueden limitarse a comprar herramientas.
Utilizando estos marcos de gobierno (ISO, NIST, COBIT...) como su brújula para cuantificar los riesgos y las brechas, el CISO toma decisiones y genera proyectos. Y tal y como define el tema 1 del PMBOK, el resultado de estos proyectos es la creación de productos únicos o servicios para la compañía.
Es aquí donde entramos nosotros: el Project Manager o el Service Manager son los encargados de liderar la ejecución de estos proyectos y servicios estratégicos. Somos quienes canalizamos "la Fuerza", traduciendo la teoría de una normativa en la implantación real de un Centro de Operaciones de Seguridad (SOC), en una red Zero Trust o en un servicio de continuidad de negocio. Nosotros hacemos que la seguridad ocurra y garantizamos la supervivencia de la organización en esta galaxia digital.
 
Conclusión: El enfoque M.O.R.E. del PMI Toda esta evolución de la ciberseguridad refleja exactamente el nuevo llamado a la acción que el Project Management Institute (PMI) nos hace a los profesionales a través de su iniciativa M.O.R.E.. Esta filosofía nos insta a redefinir el éxito y no limitarnos a las clásicas métricas de ejecución (tiempo, coste y alcance), asumiendo cuatro principios fundamentales:
  • M (Manage Perceptions): Gestionar las percepciones para asegurar que el proyecto entregue un valor suficiente frente a la inversión.
  • O (Own Project Success): Apropiarnos del éxito del proyecto más allá de la simple gestión, responsabilizándonos del valor tangible.
  • R (Relentlessly Reassess): Reevaluar incesantemente los parámetros frente a la realidad del cambio.
  • E (Expand Perspective): Expandir nuestra perspectiva para comprender cómo nuestro proyecto encaja en los grandes objetivos de la empresa.
Nuestro objetivo al implementar un marco de ciberseguridad no es ser unos meros ejecutores técnicos; se trata de aplicar la visión M.O.R.E. para alinear nuestros esfuerzos con los objetivos empresariales. Así conseguimos que la ciberseguridad deje de ser vista como un gasto técnico y se convierta en un activo estratégico y de valor. Esa es la verdadera forma de consagrarnos, definitivamente, como los Maestros Jedi que nuestras organizaciones necesitan.