300 likes | 497 Views
CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMAS UNIDAD I. PIERRE SERGEI ZUPPA AZÚA. INTRODUCCIÓN A LA EVALUACIÓN DE PROYECTOS INFORMÁTICOS Y A LA GESTIÓN DE PROCESOS TI. PROCESOS BÁSICOS DE GESTIÓN DE TI. SÍNTOMAS DE UN PROYECTO EN CRISIS. Baja comunicación.
E N D
CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMAS UNIDAD I PIERRE SERGEI ZUPPA AZÚA INTRODUCCIÓN A LA EVALUACIÓN DE PROYECTOS INFORMÁTICOS Y A LA GESTIÓN DE PROCESOS TI
SÍNTOMAS DE UN PROYECTO EN CRISIS • Baja comunicación. • Planeación y administración inadecuada. • Requerimientos inestables. • Falta de entrenamiento. • Cronograma no realista /no realizable. • Alta rotación del personal. • Uso inadecuado de recursos. • Ambiente de trabajo inadecuado. • Personal atado a tecnología obsoleta. • Carencia de compromiso a largo plazo. • Baja implicación o compromiso de los participantes. • Baja definición de roles y responsabilidades
DIAGRAMA DE ACCIÓN 1. Identificación 2. Análisis de la No conformidad potencial u oportunidad de mejora Acciones correctivas Deben ocurrir cuando un problema surge. 3. Ejecución de la acción preventiva Acciones preventivas Cuando ocurren cambios en el proyecto que no fueron previstos. 4. Cierre de la acción preventiva ¿Conforme? 5. Seguimiento ¿Conforme? Fin
FACTORES CRÍTICOS PARA EJECUTAR UNA RECUPERACIÓN • Compromiso. • Habilidades. • Capacidades. • Entendimiento verdadero. • Revisión. • FODA. • Manejo de la política.
LEY DE MORPHY • Si algo puede salir mal, saldrá mal, en el peor momento y en el peor lugar. • Todo suceso malo, es susceptible de empeorar. • Cambiar de cola siempre produce el efecto de enlentecer en la que te encuentras. • Si requieres de un tiempo limitado para realizar un proyecto, requerirás como mínimo del doble. • Siempre existirá usuarios que ofrezcan resistencia al cambio. • El número de incidencias con un usuario es inversamente proporcional a su descontento con el proyecto. • Cualquier grado de seguridad impuesto será vulnerado a la primera. • A mayor diferencia tecnológica con clientes y proveedores, mayor necesidad de integración con ellos. • A mayor violación de las obligaciones legales, mayor necesidad de aparentar legalidad. • A la creencia de menor necesidad del cambio tecnológico, mayor es ésta.
TIPOS DE ANÁLISIS Cuantitativo Cualitativo Establece un rango de valores para determinar loscostos de daños y controles de seguridad. La matriz de probabilidad e impacto puede usarse para clasificar los riesgos según su importancia individual. La prioridad de los riesgos puede establecerse para el: Costo. Tiempo. Alcance. Calidad. Evalúa la prioridad de los riesgos identificados mediante valores numéricos para los costes de daños y controles de seguridad. Impacto sobre los objetivos como: • Costos. • Cronograma. • Alcance. • Calidad.
MÉTODOS CUALITATIVOS • Listas de chequeos. • Análisis preliminar de riesgos PHA. • Whatif?. • Análisis de modo de falla y efecto FMEA. • HAZID. • HPA. • HAZOP.
METODOLOGÍA DE EVALUACIÓN DE RIESGO • Selección de ámbitos e identificación de activos • Asociación de amenazas y vulnerabilidades a activos • Ejecución de la evaluación de riesgos • Plan de tratamiento de riesgos
MARCO REFERENCIAL INTERNACIONAL • ISO 31000:2009 • Principles and Guidelines onImplementation • ISO/IEC 31010:2009 • Risk Management - Risk AssessmentTechniques • ISO Guide 73:2009 • Risk Management - Vocabulary
MODELO PRAGMÁTICO DE RIESGO • Riesgo= Amenaza * Vulnerabilidad * Impacto • SI • Amenaza Alta, Media, Baja 3,2,1 • Vulnerabilidad Alta, Media, Baja 3,2,1 • Impacto Alto, Medio, Bajo 3,2,1 • ENTONCES • Riesgo (3x3x3) ... (1x1x1) 27 ... 1
ESTIMACIÓN DE RIESGOS Probabilidad
ESTIMACIÓN DE RIESGOS Impacto
OBJETIVO DE EVALUACIÓN DE RIESGO Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organización.
CICLO DE MITIGACIÓN DE RIESGOS Agente de la amenaza Activa Amenaza Puede explotar Vulnerabilidad Evidencia Interviene directamente RIESGO Protección Puede ser contrarrestado Activo Puede Dañar Exposición Representa una
ANÁLISIS DE RIESGO Niveles de riesgo de la organización
ANÁLISIS DE RIESGO Cubre las necesidades de Seguridad de la organización considerando: • Recursos económicos. • Recursos humanos. • Inversión proporcional al riesgo. • Objetividad. • Tomas de decisiones. • Criterios • Definidos • Usos sucesivos • Comparación • Inventario de riesgos.
SGSI METODOLOGÍA BENEFICIOS Reducción de riesgos. Ahorro de los costos por el aprovechamiento de los recursos. Seguridad. Cumplimiento con la legislación vigente. Respetar los derechos de nuestros clientes y proveedores. Evitar infracciones y sanciones. Mejorar la competitividad en el mercado. Medir la eficiencia de las medidas tomadas. Controlar el CID (Confidencialidad, Integridad y Disponibilidad) para mejora la imagen • Analizar y ordenar la estructura de los sistemas de información. • Definición de procedimientos de trabajo para mantener su seguridad. • Controles que permitan medir la eficiencia de las medidas tomadas.
FASES DE IMPLEMENTACIÓN • Debe contar la empresa con una estructura organizativa. Se diseña de acuerdo a los objetivos, necesidades y estructura de la empresa
NIVELES DE DOCUMENTACIÓN Objetivo Generales Desarrollo de los objetivos Comandos técnicos Indicadores, métrica
TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS • Técnicas de Recopilación de Información Tormenta de ideas Técnica Delphi Entrevistas • Técnica de organización de información Diagramas de afinidad Análisis mediante lista de control Análisis de suposiciones • Técnicas de diagramación • Diagramas de causa y efecto • Diagramas de flujo o de sistemas • Diagramas de influencias
TÉCNICAS DE ANÁLISIS DE RIESGOS Análisis cualitativo análisis cuantitativo CBA (CostBenefitAnalysis) Modelado y Simulación Análisis del valor ganado Árboles de decisión Análisis de sensibilidad • Técnica Delphi • Matriz probabilidad – impacto
METODOLOGÍA ANÁLISIS DE RIESGOS • MAGERIT • OCTAVE • NIST 800-30ª