Siendo más precisos, cuando nos proponemos a abordar las iniciativas y proyectos que hemos definido para subsanar las deficiencias encontradas. Habitualmente, identificamos aspectos de mejora de muy diversa índole y no resulta sencillo decidir cuál abordar en primer lugar. Dada esta situación, antes de ponernos en marcha, es muy útil llevar a cabo una clasificación y priorización de los proyectos pendientes. A continuación presentamos una serie de criterios para la clasificación y priorización de las iniciativas:

Tipo de proyecto. Atendiendo al tipo de proyecto, podemos distinguir entre:

• Organizativo: cuando se trata de acciones relacionadas con la estructura de nuestra empresa, nuestros métodos de trabajo o similares. Por ejemplo, definir e implantar métodos de trabajo siguiendo las mejores prácticas en materia de seguridad de la información.
• Técnico: tal y como su nombre indica, proyectos cuya componente técnica es especialmente relevante. Por ejemplo, securizar la página web corporativa.
• Regulatorio. Proyectos o iniciativas encaminadas a normalizar / formalizar algún aspecto concreto de nuestra organización. Por ejemplo, la regulación de las prestaciones de servicios de los encargados de tratamiento siguiendo los requisitos de la LOPD y el RDLOPD.

Coste del proyecto. En algunas ocasiones puede ser complicado hablar del coste económico de un proyecto cuando este se realiza con recursos propios. Sin embargo, al menos es conveniente establecer tres rangos de coste: bajo, medio y alto. Tal y como cabe esperar, lo que para una PYME puede ser coste “alto”, para una gran multinacional puede ser coste “bajo”.

Origen del incumplimiento. Frecuentemente los proyectos e iniciativas para la mejora de la seguridad tienen su origen en análisis de riesgos, auditorías o evaluaciones de seguridad. Puede resultarnos conveniente clasificar los proyectos atendiendo a este criterio para que una vez finalizados, no resulte sencillo revisar cuál era la situación anterior a fin de comprobar que se han subsanado la causa raíz del problema.

Tiempo de ejecución. En algunos casos es requisito indispensable que los proyectos finalicen antes de una fecha determinada. Dada esta situación, clasificar los proyectos atendiendo al tiempo de ejecución necesario aporta gran valor a la organización.

Recursos necesarios para la ejecución. Con este criterio distinguimos aquellos proyectos que pueden ser ejecutados con nuestros recursos propios de los que deberemos externalizar.

Así pues, si sabemos que en una época determinada del año necesitamos disponer del 100% de nuestros recursos, entonces únicamente deberemos planificar en este periodo los proyectos que se lleven a cabo por recursos externos. Por ejemplo, si necesitamos que todo el personal del Departamento Administración esté disponible para hacer el cierre del ejercicio contable en un periodo determinado, entonces no planificaremos en este periodo proyectos que requieran de su participación.

Relación ganancia / esfuerzo. Por último, uno de los criterios más utilizados a la hora de priorizar las iniciativas consiste en la relación ganancia / esfuerzo. En este sentido, daremos prioridad alta a los proyectos que nos aportan una fuerte ganancia y que requieren de poco esfuerzo para su ejecución.

Hemos podido comprobar que existen múltiples criterios para clasificar y priorizar los proyectos e iniciativas. Ni que decir tiene que no es necesario considerarlos todos a la hora de organizar nuestro trabajo. No obstante sí puede resultar conveniente tener en cuenta varios de ellos.

Por último, sólo nos queda destacar que hacer una correcta clasificación y priorización de los proyectos no sólo nos hará más cómodo nuestro trabajo, sino que jugará un papel importante de cara a lograr el éxito de los propios proyectos.