martes, 26 de enero de 2010

PLAN DE PROYECTO PARA EL PROCESO DE CERTIFICACIÓN PCI DSS EN FISERV COSTA RICA

RESUMEN EJECUTIVO


Fiserv, Inc. es una empresa dedicada al desarrollo de software para el área financiera, nacida de la fusión de dos compañías norteamericanas en 1984, Sunshine State Systems, Inc en Tampa, Florida y First Data Processing ubicada en Milwaukee, Wis. Para todas las oficinas de Fiserv en India, Costa Rica y
Orlando Florida, Fiserv a establecido como política interna la obtención de la certificación PCI DSS para asegurar la información relacionada con tarjetas de crédito y débito, desde su perspectiva de proveedor de servicios de software en el área financiera. En el caso de las oficinas de Fiserv en Costa Rica la gestión de
esta certificación es un agregado a la certificación ISO 27001 que actualmente está en proceso de implementación.
La certificación PCI DSS es el conjunto de las Normas de Seguridad de la Información de la Industria de Medios de Pago (PCI DSS), creado por las compañías Visa y Mastercard. Esta es aplicada tanto a los bancos, como a comercios y proveedores de servicios relacionados con tarjetas de débito y
crédito, para proteger a los dueños de tarjetas y su información confidencial.
El objetivo principal de este trabajo, fue desarrollar un Plan de Proyecto para el proceso de Certificación de PCI DSS en Fiserv Costa Rica en su etapa de análisis.
Dentro de los objetivos específicos se desarrollaron los siguientes: Desarrollar el acta de constitución del proyecto. Desarrollar el cronograma del proyecto para garantizar la conclusión del proyecto en el tiempo establecido. Desarrollar un Plan de Gestión del Personal. Desarrollar un plan de comunicaciones para determinar las necesidades de información. Desarrollar un Plan de Gestión de Riesgos para aumentar la probabilidad e impacto de los eventos positivos y disminuir la probabilidad e impacto de los eventos adversos para el proyecto.
Dentro del marco metodológico usado para el desarrollo de la investigación se usaron fuentes de información primaria y secundaria. La fuente primaria que se utilizó para todos los objetivos aquí planteados fue el de entrevista, que se realizó a la Alta Gerencia, Departamento de Seguridad de la Información, Departamento
de Recursos Humanos y Departamento de TI, según fue necesario para cada objetivo específico. Para las fuentes secundarias, se hizo uso de los sitios web tanto de Fiserv, Inc. como del PCI Security Standards Council y sitios oficiales relacionados con el tema de la certificación PCI DSS como los de VISA y
Mastercard. De igual forma se utilizaron textos de Administración de Proyectos como fuentes secundarias para el desarrollo de cada objetivo específico.
La técnica es indispensable en el proceso de la investigación científica, ya que integra la estructura por medio de la cual se organiza la investigación, por ello el tipo de investigación que se utilizó es la Investigación Mixta, que utiliza tanto la investigación documental, como la investigación de campo. La investigación mixta
se empleará por la naturaleza de este proyecto, que involucra no solo la extracción de información de ciertos documentos, sino participación de distintas áreas de la organización (personal) que contienen información que debe ser extraída mediante la investigación de campo, y de esta forma complementar mejor la
información disponible en otros medios. Finalmente dentro del marco metodológico se utilizó el método de investigación Inductivo-Deductivo donde se observan hechos particulares para obtener proposiciones generales, lo cuál indica la obtención de conclusiones o leyes universales que explican o relacionan los
fenómenos estudiados. El resultado más importante del Proyecto Final de Graduación (PFG), es el plan de
proyecto completo que se propone en este documento y el desarrollo de los objetivos específicos que dan como resultado lo siguiente: el desarrollo del alcance del proyecto que permitió identificar claramente los entregables y posteriormente con el desglose de actividades obtener el cronograma de trabajo.
Además se realizó el calculo de los recursos que se requieren para llevar al cabo el proyecto y con ello se obtuvo la Matriz de Roles y Responsabilidades, parte del Plan de Recursos Humanos, para designar los diferentes recursos a estas actividades. Este análisis de recursos permitió el desarrollo del plan de
comunicaciones, con el cual se identificaron los involucrados del proyecto. Con base en el desarrollo de lo anterior fue posible identificar y planificar los riesgos del proyecto dando como resultado el registro de riesgos. Aunado a esto se desarrolló la investigación previa al plan de proyecto que describe y compara distintas metodologías y que justifica el uso de la metodología del PMI.
Con base en los resultados anteriores se concluye que la falta de una cultura organizacional enfocada a proyectos y la falta de conocimiento en el tema de administración de proyectos en Fiserv Costa Rica ha afectado los proyectos anteriores a este, ya que no han tenido una planeación definida o una metodología que haya permitido su éxito. A falta de documentación de proyectos anteriores, el juicio de expertos jugó un papel importante en el desarrollo de cada capítulo, pues a través de entrevistas fue posible extraer las lecciones aprendidas y con ello tomar en cuenta esta información para la planeación de todo el
proyecto. Dentro de las recomendaciones se tiene que es importante que se supervisen detalladamente los supuestos establecidos en este proyecto ya que son clave para el éxito de la planeación sugerida. Además se recomienda se use este plan de proyecto como base para proyectos futuros así como hacer un recuento de las lecciones aprendidas resultantes de este proceso para que queden almacenadas en el sistema Sayri. Es importante además considerar las áreas del conocimiento de calidad y adquisiciones para ser incluidas en planteamientos futuros según sea necesario. La capacitación en materia de administración de proyectos debe ser continua así como enfocar esfuerzos en coordinar procesos de trabajo con la casa matriz de Fiserv para evitar desorganización confusión en el desarrollo de proyectos conjuntos.