ANÁLISIS DE RIESGO

Camilo Andrés FrontadoErik Alexis ValderramAlejandro Jiménez MateHarold Jhovany López INGENIERIA DE SOFTWARE 302U. Distrital

ÍNDICE Introducción (ANALISIS DE RIESGO) Objetivos Tipos de Riesgo Probabilidad y efectos de los riesgos Identificación de riesgos Principales riesgos de un proyecto de software Proceso de manejo de riesgos Herramientas EAR Conclusiones Bibliografía

INTRODUCCIÓN (ANALISIS DE RIESGO) El análisis de riesgos informáticos es un proceso que

comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. 

OBJETIVOS

Determina la probabilidad y la seriedad de cada riesgo

Las probabilidades pueden variar entre muy alta, alta, moderada, baja o muy baja

Los efectos de los riesgos pueden ser: catastróficos, serios, tolerables o insignificantes.

TIPOS DE RIESGO

• Riesgos del proyecto. Amenaza el plan del proyecto • Riesgos técnicos. Amenaza la calidad del producto y la

planificación temporal • Riesgos del negocio. Amenaza la viabilidad del software a ser

construido (riesgos del mercado, riesgos estratégicos, riesgo dirección, riesgos del presupuesto).

• Riesgos predecibles. Predecible de la evaluación cuidadosa de plan del proyecto actual y de la experiencia de proyectos anteriores.

• Riesgos impredecibles. Algunos problemas simplemente ocurren sin advertir.

PROBABILIDAD Y EFECTOS DE LOS RIESGOSRiesgo Probabilidad EfectosLos problemas financieros de la organización fuerzan a reducir el presupuesto del proyecto

Baja Catastrófico

Es importante reclutar personal con las habilidades requeridas para el proyecto Alta Catastrófico

El personal clave esta enfermo y no disponible en momentos críticos Moderada Serio

Los componentes de software a utilizarse contienen defectos que limitan su funcionalidad

Moderada Serio

Se proponen cambios en los requerimientos que requieren rehacer el diseño Moderada Serio

La organización se reestructura de tal forma que una administración diferente se responsabiliza del proyecto

Alta Serio

La base de datos que se utiliza en el sistema no puede procesar muchas transacciones por segundo como se esperaba

Moderada Serio

IDENTIFICACIÓN DE RIESGOS

Riesgos en la tecnología

Riesgos en la gente

Riesgos organizacionales

Riesgos en los Requerimientos

Riesgos de estimación

FORMULA PARA DETERMINAR EL RIESGO TOTAL

La fórmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio 

Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:

Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.

Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo. Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.

Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.

Los riesgos del negocio amenazan la viabilidad del software a construir Los riesgos del negocio a menudo ponen en peligro el  proyecto o el producto.

PRINCIPALES RIESGOS DE UN PROYECTO DE SOFTWARE 1. Construir un producto o sistema excelente que no quiere nadie en

realidad (riesgo de mercado),

2. Construir un producto que no encaja en la estrategia comercial general de la compañía (riesgo estratégico),

3. Construir un producto que el departamento de ventas no sabe cómo vender. 

4. Perder el apoyo de una gestión experta debido a cambios de enfoque o a cambios de personal (riesgo de dirección)

5. Perder presupuesto o personal asignado (riesgos de presupuesto). 

PROCESO DE MANEJO DE RIESGOS

HERRAMIENTAS EAR

Existen actualmente herramientas que permiten llevar de forma sistematizada el análisis de riesgos. Generalmente estas herramientas vienen integradas en un paquete o grupo de aplicaciones para la implementación de las fases del Sistema de Gestión de las Seguridad de la información (SGSI). En tal sentido, se incluye la herramienta para el diseño de análisis de riesgos, las cuales se desarrollan basada en una metodología o estándar, por tanto, antes de seleccionar una herramienta, se debió tener claro este aspecto.

EAR/PILAR

Es una herramienta donde Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (accountability).Para tratar el riesgo se proponen salvaguardas (o contra medidas) normas de seguridad procedimientos de seguridadanalizándose el riesgo residual a lo largo de diversas etapas de tratamiento.

HERRAMIENTA EAR / PILAR

EJEMPLO PRACTICO DE ANÁLISIS DE RIESGO CON EAR/PILAR

Luego de haber cargado el proyecto podremos evaluar en que área el proyecto tiene mas riesgo

SALVA GUARDAS

VIDEO DE EXPLICACIÓN DE EAR/PILAR

CONCLUSIONES

El análisis de riesgo se debe de llevar en todos los proyectos y no solo de software debido a que determina la viabilidad del desarrollo

Gracias al análisis de riesgo se puede hacer la diferencia entre un proyecto exitoso o no

El análisis de riesgo permite evaluar las posibles falencias que habrán en un proyecto de software y dar posibles soluciones si las hay y son viables.

BIBLIOGRAFÍA Introducción http://

arielvargasu.blogspot.com.co/2010/10/analisis-y-gestion-de-riesgo_18.html

Clasificación de riesgos http://www.academia.edu/9263751/

Ingenieria_de_Software_Riesgos Herramientas EAR

http://www.ar-tools.com/es/index.html EAR pilar

https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/ear-pilar.html