Informe de Electiva 6

7/14/2019 Informe de Electiva 6

http://slidepdf.com/reader/full/informe-de-electiva-6 1/16

REPUBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITECNICO

“SANTIAGO MARIÑO”

EXTENSION MATURIN

Prof.: Integrante

Ing. Fabiola Idrogo Selenny SánchezMoreno AlexisRuiz Vicente



Maturín, Julio de 2013

Herramientas de Software de Riesgo

Según Robert Charette presenta la siguiente definición de riesgo:

En primer lugar, el riesgo afecta a los futuros acontecimientos. El hoy y

el ayer están más allá de lo que nos pueda preocupar, pues ya estamos

cosechando lo que sembramos previamente con nuestras acciones del

pasado. La pregunta es, podemos por tanto, cambiando nuestras

acciones actuales, crear una oportunidad para una situación diferente y,con suerte, mejor para nosotros en el futuro. Esto significa, en segundo

lugar, que el riesgo implica cambio, que puede venir dado por cambios

de opinión, de acciones, de lugares. En tercer lugar, el riesgo implica

elección y la incertidumbre que entraña la elección. Por tanto, el riesgo,

como la muerte, es una de las pocas cosas inevitables de la vida.

Cuando se considera el riesgo en el contexto de la ingeniería del software, los tres

pilares conceptuales de Charette se hacen continuamente evidentes. El futuro es lo

que preocupa, ¿qué riesgos podrían hacer que el proyecto fracasara? El cambio es la

preocupación ¿cómo afectarán los cambios en los requisitos del cliente, en las

tecnologías de desarrollo, en los ordenadores a las que van dirigidas, el proyecto y

todas las entidades relacionadas con él, al cumplimiento de la planificación temporal

y al éxito en general? Aparte ¿qué métodos y herramientas se debería emplear, cuánta

gente debería estar implicada, qué importancia hay que darle a la calidad?

Peter Drucker dijo una vez: "Mientras que es inútil intentar eliminar el riesgo y

cuestionable el poder minimizarlo, es esencial que los riesgos que se tomen sean los

riesgos adecuados". Antes de poder identificar los "riesgos adecuados" que se pueden

2



tomar en un proyecto de software, es importante poder identificar todos los riesgos

que sean obvios a jefes de proyectos y profesionales del software.

La gestión de riesgos en el ámbito del software procura formalizar conocimiento

orientado a la minimización o evitación de riesgos en proyectos de desarrollo de

software, mediante la generación de principios y buenas prácticas de aplicación

realista. Hasta el momento se ha propuesto y utilizado diferentes enfoques de gestión

del riesgo desde que [Boehm, 1988] atrajo a la comunidad de ingeniería del software

hacia la gestión del riesgo. Sin embargo, es evidente que pocas organizaciones

utilizan todavía de una forma explícita y sistemática métodos específicos para

gestionar los riesgos en sus proyectos software.

El riesgo implica dos Características fundamentales:

Incertidumbre: El acontecimiento que caracteriza al riesgo puede o no puede

ocurrir; por ejemplo, no hay riesgos de un 100 por ciento de probabilidad.

Pérdida: Si el riesgo se convierte en una realidad, ocurrirán consecuencias no

deseadas o pérdidas.

Cuando se analizan los riesgos es importante cuantificar el nivel de incertidumbre

y el grado de pérdidas asociado con cada riesgo. Para hacerlo, se consideran

diferentes categorías de riesgos.

Los riesgos del proyecto amenazan al plan del proyecto. Es decir, si los riesgos

del proyecto se hacen realidad, es probable que la planificación temporal del proyecto

se retrase y que los costos aumenten. Los riesgos del proyecto identifican los

problemas potenciales de presupuesto, planificación temporal, personal (asignación y

organización), recursos, cliente y requisitos y su impacto en un proyecto de software.

Los riesgos técnicos amenazan la calidad y la planificación temporal del software

que hay que producir. Si un riesgo técnico se convierte en realidad, la

implementación puede llegar a ser difícil o imposible. Los riesgos técnicos identifican

problemas potenciales de diseño, implementación, de interfaz, verificación y de

3



mantenimiento. Además las ambigüedades de especificaciones, incertidumbre

técnica, técnicas anticuadas y las "tecnologías punta" son también factores de riesgo.

Los riesgos técnicos ocurren porque el problema es más difícil de resolver de lo que

pensábamos.

Los riesgos del negocio amenazan la viabilidad del software a construir Los

riesgos del negocio a menudo ponen en peligro el proyecto o el producto. Los cinco

principales riesgo del negocio:

a) Construir un producto o sistema excelente que no quiere nadie en realidad

(riesgo de mercado),

b) Construir un producto que no encaja en la estrategia comercial general de

la compañía (riesgo estratégico),c) Construir un producto que el departamento de ventas no sabe cómo vender

d) Perder el apoyo de una gestión experta debido a cambios de enfoque o a

cambios de personal (riesgo de dirección)

e) Perder presupuesto o personal asignado (riesgos de presupuesto).

Es extremadamente importante recalcar que no siempre funciona una

categorización tan sencilla. Algunos riesgos son simplemente imposibles

de predecir.

Componentes y controladores del riesgo se definen de la siguiente manera:

Riesgo de rendimiento: el grado de incertidumbre con el que el producto

encontrará sus requerimientos y se adecue para su empleo pretendido.

Riesgo de costo: El grado de incertidumbre que mantendrá el presupuesto del

proyecto.

Riesgo de soporte: El grado de incertidumbre de la facilidad del software. para

corregirse, adaptarse y ser mejorado.

Riesgo de la planificación temporal: El grado de incertidumbre con que se

podrá mantener la planificación temporal y de que el producto se entregue a

tiempo.

4



El impacto de cada controlador de riesgo en el componente de riesgo se divide en

cuatro categorías de impacto:

a) Despreciable

b) Marginal

c) Crítico

d) Catastrófico

Identificación de riesgo

La identificación del riesgo es un intento sistemático para especificar las amenazas al

plan del proyecto (estimaciones, planificación temporal, carga de recursos, entre

otros). Identificando los riesgos conocidos y predecibles, el gestor del proyecto da un

paso adelante para evitarlos cuando sea posible y controlarlos cuando sea necesario.

Tamaño del producto: riesgos asociados con el tamaño general del software a

construir o a modificar.

Impacto en el negocio: riesgos asociados con las limitaciones impuestas por la

gestión o por el mercado.

Características del cliente: riesgos asociados con la sofisticación del cliente y

la habilidad del desarrollador para comunicarse con el cliente en los

momentos oportunos.

Definición del proceso: riesgos asociados con el grado de definición del

proceso del software y su seguimiento por la organización de desarrollo.

Entorno de desarrollo: riesgos asociados con la disponibilidad y calidad de las

herramientas que se van a emplear en la construcción del producto.

Tecnología a construir: riesgos asociados con la complejidad del sistema a

construir y la tecnología punta que contiene el sistema.

5



Tamaño y experiencia de la plantilla: riesgos asociados con la experiencia

técnica y de proyectos de los ingenieros del software que van a realizar el

trabajo

6



Posibles Riesgo de un Software

Las herramientas de evaluación de riesgos más comunes son las listas de control,

que constituyen una herramienta muy útil para identificar peligros. Entre

otras herramientas de evaluación de riesgos cabe mencionar: guías, documentos

orientativos, manuales, folletos, cuestionarios, y “herramientas interactivas”

(software interactivo, como programas específicos para determinados sectores).

Respecto al entorno de desarrollo existen diferentes herramientas:

• Herramientas de gestión de proyecto

7



• Herramientas de gestión del proceso de desarrollo

• Herramientas de análisis y diseño

• Existen generadores de códigos apropiados para la aplicación

• Herramientas de pruebas

• Herramientas de gestión de configuración

SE Risk

SE Risk es la solución definitiva para la administración de riesgos corporativos y

la mejora continua de los procesos de la gobernanza dando soporte para la

identificación de riesgos, reduciendo las pérdidas y maximizando las oportunidades

de gano de la organización, facilita la categorización del riesgo, tal como su

evaluación, a través de herramientas de fácil aplicabilidad y visualización,

proporcionando más desempeño y eficacia en la prevención y en el control de los

riesgos identificados en los procesos empresariales.

SE Risk permite una visión corporativa entre las áreas de administración de

riesgo y controles internos, evidenciando cuales son los riesgos potenciales que

pueden impedir la realización de los objetivos de la organización y permite también

que los riesgos sean evaluados de tres maneras diferentes: cualitativa, cuantitativa y

por matriz. Uno de los mayores diferenciales de la solución es la capacidad de SE

Risk encuadrarse perfectamente en todo y cualquier campo organizacional, o sea, la

gestión de riesgos puede ser automatizada en proyectos, procesos, estrategias,

seguridad del consumidor, activos y peligros.Los requisitos, conceptos y métodos empleados por el sistema satisfacen

plenamente los requisitos exigidos y establecidos por las principales normas y

metodologías mundiales, como ISO 9000, ISO 14000, ISO 20000, ISO 22000,

AS/NZS 4360, ITIL, PMBOK, COBIT, SOX, FDA, HACCP entre otras.

8



Herramientas EAR

Las herramientas EAR soportan el análisis y la gestión de riesgos de un sistema

de información siguiendo la metodología Magerit, Los activos están expuestos

a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto.

Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir

el riesgo al que está expuesto el sistema. Degradación y frecuencia califican la

vulnerabilidad del sistema.

El gestor del sistema de información dispone de salvaguardas, que o bien reducen

la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del

grado de implantación de estas salvaguardas, el sistema pasa a una nueva estimación

de riesgo que se denomina riesgo residual.

PILAR

Dispone de una biblioteca estándar de propósito general, y es capaz de realizar

calificaciones de seguridad respecto de normas ampliamente conocidas como son:

ISO/IEC 27002:2005 - Código de buenas prácticas para la Gestión de la

Seguridad de la Información

ENS - Esquema Nacional de Seguridad

9

http://www.pilar-tools.com/magerit/index.html

http://www.pilar-tools.com/es/glossary/index.html#asset

http://www.pilar-tools.com/es/glossary/index.html#threat

http://www.pilar-tools.com/es/glossary/index.html#impact

http://www.pilar-tools.com/es/glossary/index.html#risk

http://www.pilar-tools.com/es/glossary/index.html#safeguard

http://www.pilar-tools.com/es/glossary/index.html#residual_risk

http://www.pilar-tools.com/doc/ens/

http://www.pilar-tools.com/es/glossary/index.html#asset

http://www.pilar-tools.com/es/glossary/index.html#threat

http://www.pilar-tools.com/es/glossary/index.html#impact

http://www.pilar-tools.com/es/glossary/index.html#risk

http://www.pilar-tools.com/es/glossary/index.html#safeguard

http://www.pilar-tools.com/es/glossary/index.html#residual_risk

http://www.pilar-tools.com/doc/ens/

http://www.pilar-tools.com/magerit/index.html



Comprende cómo funciona el plan de gestión de riesgos. El riesgo es la

probabilidad de sufrir un efecto (positivo o negativo) de un evento o una serie de

eventos que tienen lugar en uno o muchos lugares. La probabilidad del riesgo

depende del evento y el impacto que puede causar. (Riesgo = Probabilidad x

Impacto). Hay que analizar varios factores como:

Evento: ¿Qué podría pasar?

Probabilidad: ¿Qué tan probable es que suceda?

Impacto: ¿Cuán malo sería si ocurre?

Mitigación: ¿Cómo se puede reducir la probabilidad (y qué tanto se

puede reducir)?

Contingencia: ¿Cómo se puede reducir el impacto (y qué tanto se

puede reducir)?

Reducción del riesgo = Mitigación x Contingencia

Exposición al riesgo = Riesgo – Reducción

Tras definir lo de arriba, el resultado será aquello que llamamos

exposición. Es la cantidad de riesgo que no puedes evitar.

Muchas veces es una fórmula de costos contra beneficios.

El riesgo asumido es si decides proceder. (Algunas veces, sin tener

opción, por ejemplo: Cambios federales obligatorios.)

Pasos para una Gestión de Riesgo

Define tu proyecto. En este artículo, supongamos que eres responsable de un

sistema de computadoras que ofrece información importante (pero no

fundamental para la vida) de una gran cantidad de población. La computadora principal es vieja y tiene que ser sustituida. Tu tarea es hacer un plan de riesgo

para la migración del sistema.

10



Consigue aportaciones de los demás. Junta a varias personas y piensen en

qué podría pasar y cómo se podría prevenir en una tormenta de ideas. Toma

muchas notas.

Identifica las consecuencias de cada riesgo. Obtén información acerca de lo

que podría pasar por medio de una tormenta de ideas. Asocia cada riesgo con

las consecuencias que podrían tener.

Elimina los asuntos irrelevantes. Si te estás ocupando de un sistema de un

concesionario no debes preocuparte de guerras nucleares o asteroides

Haz una lista de los elementos de riesgo identificados. No necesitas

ordenarlos por el momento Asigna la probabilidad. Para cada elemento de

riesgo en tu lista, determina si las posibilidades de materialización son altas,

medias o bajas. Asigna el impacto. Asígnalo como alto, medio o bajo

siguiendo las guías preestablecidas.

Determina el riesgo del elemento. Muchas veces se usa una tabla para hacer

esta tarea (Sé flexible en el análisis)

Clasifica los riesgos: Lista todos los elementos que hayas identificado de

mayor a menor riesgo.

Desarrolla estrategias de migración. La migración está diseñada parareducir la probabilidad de que se materialice un riesgo. Normalmente sólo

tendrás que hacer esto para elementos de riesgo alto o medio.

Desarrolla planes de contingencia. La contingencia está diseñada para

reducir el impacto de un riesgo.

Analiza la efectividad de cada plan. Analizar las consecuencias de cada uno

de los planes

Vigila tus riesgos. Ahora que ya conoces tus riesgos, necesitas determinar

cómo sabrás que se materializarán, así que ya estás preparado para poner las

contingencias. Según avance tu proyecto podrás ver si los riesgos se

convierten en problemas.

11



Herramientas para la evaluación de riesgos

Existen muchas herramientas y metodologías disponibles para asistir a las

empresas y organizaciones a evaluar los riesgos. La elección del método dependerá

de las condiciones de trabajo, como, por ejemplo, el número de trabajadores, el tipo

de actividades y equipos de trabajo, las características particulares del lugar de trabajo

y cualquier otro riesgo específico.

Las herramientas de evaluación de riesgos más comunes son las listas de control,

que constituyen una herramienta muy útil para identificar peligros. Entre otras

herramientas de evaluación de riesgos cabe mencionar: guías, documentos

orientativos, manuales, folletos, cuestionarios, y “herramientas interactivas” (software

interactivo gratuito, como programas específicos para determinados sectores).Estas

herramientas pueden ser tanto genéricas como específicas para una rama/riesgo.

Plan de gestión de riesgo

La Organización

Empresa dedicada a la construcción de obras

Departamento de informática

Riesgo de Información contempla los riesgos asociados a la información que soporta

la gestión y operación de la entidad, los reportes generados hacia el exterior o

internamente, y el procesamiento interno de la información.

Calidad de la información: Riegos relacionados con la confiabilidad, integridad y

oportunidad de la información necesaria para la toma de decisiones.

Manejo de la información: Riesgos derivados del uso de la información internamente

de la empresa y la publicación de la misma a entes externos.

12



Seguridad informática: Relacionados con la disponibilidad, pérdida, accesibilidad y

tecnologías informáticas.

Objetivos de la implementación de la Gestión de Riesgos.

El objetivo primordial de la implementación es el de ayudar a mejorar la gestión

realizada por el Jefe, y así encaminarse al cumplimiento de las metas.

Una planificación eficaz para la prevención debe desarrollar a través de la

identificación, evaluación, eliminación y control de riesgo. Por tanto debe cubrir a los

empleados lesiones, accidentes laborales, enfermedades, o la perdidas de equipo.

Una buena planificación implica lo siguiente:

1.- identificación y evaluación de riesgo

2.-control de riesgo

13



3.- implantación y mantenimientos de medidas de control

4.- valoración de las actuaciones

5. periódicamente debe revisarse el lugar de trabajo

Identificación de los riesgos

Mal manejo de la información conrespecto al recurso humano de la

entidad.

- Filtración de información interna.

Tardía entrega de la informaciónnecesaria para la revisión de una obra.

- Llegar a la faena y no estar realizandolos ítems a revisar.

- Pérdida de recursos económicos.

Falta de personal idóneo en el manejode tecnología informática.

- Pérdida de la información que soportalos procesos de la Oficina

Entrega errónea de información hacia

el exterior.

- Pérdida de la imagen de la oficina

provincial.

- Reclamos de parte de los receptores de

los distintos servicios entregados por la

oficina provincial.

Aspectos claves de la gestión de riesgo:

Política preventiva de la empresa:

Es un compromiso de todos; su objetivo es proteger la seguridad y salud de todos

los empleados, con la convicción de que los accidentes de trabajo y enfermedades

profesionales pueden y deben ser evitados. Para ello, adopta el principio de mejora

permanente de la acción preventiva, que incluye, entre otras, las actividades de

prevención y protección de la salud, actuación ante emergencias, adecuación del

trabajo a la persona, selección de equipos de trabajo y productos, coordinación entre

empresas y demás obligaciones recogidas en el marco normativo de prevención.

Organización preventiva:

14



Consiste en diseñar y establecer las actividades entre todas las personas que

constituyen la organización, debe ser adecuada a las necesidades preventivas de la

misma. La necesidad de realizar la evaluación, su actualización preceptiva, las

actividades de ejecución y control de la planificación preventiva, la necesidad de

efectuar inspecciones periódicas de seguridad o de puntos críticos, la dispersión de

los puestos o centros de trabajo son factores a considerar a la hora de analizar la

adecuación de la organización preventiva. En el supuesto de la actividad preventiva

con un Servicio de Prevención ajeno, deberán analizarse en profundidad los términos

del concierto y el cumplimiento del mismo.

Planificación e implementación

Sirve para establecer los objetivos y métodos para implantar la política de prevención de riesgo que tiene como punto de partida la evaluación de riesgo

Revisión de actuaciones

Para una gestión eficaz en prevención de riesgo laborales es importante conocer

los resultados y posibilitar una mejora, esto se logra mediante la auto comprobación

activa del área de trabajo, de los instrumentos, equipos, procedimientos, sistemas

empleados.

Auditoria (control externo)

Se refiere a la verificación de sí todo ocurre en una empresa conforme al

programa adoptado, a las órdenes dadas y a los principios admitidos” El control

requiere la existencia de un objetivo y la aplicación de unas medidas correctivas.

Tiene como misión establecer si el plan de riesgo es el adecuado.

La organización en materia de prevención prepara el mejor modelo preventivo

para la puesta en marcha de cualquier actividad, por esto es necesario implementar

una cultura a todos los trabajadores en cuanto a la prevención de riesgo. La parte más

importante de la incorporación de la cultura de riesgo dentro de la entidad, es sin

duda la de capacitar al personal sobre esta nueva gestión a implementarse, se deberá

capacitar en primera instancia, al equipo que trabajará directamente en el desarrollo

de ésta, cómo lo capacitaremos:

15



Integrando dentro del Plan de Capacitación cursos de Gestión de Riesgos y

sus modelos a aplicar.

En segunda instancia se deberán realizar charlas para todo el personal

Además se deberán incluir Talleres, por cada Departamento, con el fin de que

cada funcionario pueda observar cómo se está llevando sus funciones y como

según ellos mismo podrían mejorarlas.

Monitoreo y Consulta.

El monitoreo estará a cargo de la Unidad de Control Interno en conjunto con

cada responsable de los diferentes Departamentos. La Unidad de Control

Interno dentro de la función de asesorar que realizará, se encargará de comunicar

luego el monitoreo y los hallazgos encontrados a los respectivos Departamentos y

realizará las sugerencias para el mejoramiento y tratamiento de los riesgos detectados.

Dentro de las actividades de monitoreo se realizarán reuniones periódicas en

donde se autoevaluará el comportamiento del riesgo y sí se han presentado nuevos

riesgos dentro de la entidad que deban ser combatidos. ésta autoevaluación no debe

estar pensada como el fin del proceso, sino que muy por el contrario, nos entregará

información importante para reformular el tratamiento de riesgos detectados, agregar

nuevas acciones para combatirlos y a su vez generar dentro de los diferentes

Departamentos un ambiente de compromiso, y posibilitar a través de

la retroalimentación el mejoramiento en el logro de los objetivos institucionales.

Se debe señalar que el éxito en el tiempo de la Gestión de Riesgos, dependerá de

las revisiones y actualizaciones que se realicen a las metodologías,

procesos, sistemas y conocimiento del personal.

16

Informe de Electiva 6

Documents

Transcript of Informe de Electiva 6