Informe de Electiva 6
-
Upload
paula-ruiz -
Category
Documents
-
view
6 -
download
0
Transcript of Informe de Electiva 6
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 1/16
REPUBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITECNICO
“SANTIAGO MARIÑO”
EXTENSION MATURIN
Prof.: Integrante
Ing. Fabiola Idrogo Selenny SánchezMoreno AlexisRuiz Vicente
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 2/16
Maturín, Julio de 2013
Herramientas de Software de Riesgo
Según Robert Charette presenta la siguiente definición de riesgo:
En primer lugar, el riesgo afecta a los futuros acontecimientos. El hoy y
el ayer están más allá de lo que nos pueda preocupar, pues ya estamos
cosechando lo que sembramos previamente con nuestras acciones del
pasado. La pregunta es, podemos por tanto, cambiando nuestras
acciones actuales, crear una oportunidad para una situación diferente y,con suerte, mejor para nosotros en el futuro. Esto significa, en segundo
lugar, que el riesgo implica cambio, que puede venir dado por cambios
de opinión, de acciones, de lugares. En tercer lugar, el riesgo implica
elección y la incertidumbre que entraña la elección. Por tanto, el riesgo,
como la muerte, es una de las pocas cosas inevitables de la vida.
Cuando se considera el riesgo en el contexto de la ingeniería del software, los tres
pilares conceptuales de Charette se hacen continuamente evidentes. El futuro es lo
que preocupa, ¿qué riesgos podrían hacer que el proyecto fracasara? El cambio es la
preocupación ¿cómo afectarán los cambios en los requisitos del cliente, en las
tecnologías de desarrollo, en los ordenadores a las que van dirigidas, el proyecto y
todas las entidades relacionadas con él, al cumplimiento de la planificación temporal
y al éxito en general? Aparte ¿qué métodos y herramientas se debería emplear, cuánta
gente debería estar implicada, qué importancia hay que darle a la calidad?
Peter Drucker dijo una vez: "Mientras que es inútil intentar eliminar el riesgo y
cuestionable el poder minimizarlo, es esencial que los riesgos que se tomen sean los
riesgos adecuados". Antes de poder identificar los "riesgos adecuados" que se pueden
2
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 3/16
tomar en un proyecto de software, es importante poder identificar todos los riesgos
que sean obvios a jefes de proyectos y profesionales del software.
La gestión de riesgos en el ámbito del software procura formalizar conocimiento
orientado a la minimización o evitación de riesgos en proyectos de desarrollo de
software, mediante la generación de principios y buenas prácticas de aplicación
realista. Hasta el momento se ha propuesto y utilizado diferentes enfoques de gestión
del riesgo desde que [Boehm, 1988] atrajo a la comunidad de ingeniería del software
hacia la gestión del riesgo. Sin embargo, es evidente que pocas organizaciones
utilizan todavía de una forma explícita y sistemática métodos específicos para
gestionar los riesgos en sus proyectos software.
El riesgo implica dos Características fundamentales:
Incertidumbre: El acontecimiento que caracteriza al riesgo puede o no puede
ocurrir; por ejemplo, no hay riesgos de un 100 por ciento de probabilidad.
Pérdida: Si el riesgo se convierte en una realidad, ocurrirán consecuencias no
deseadas o pérdidas.
Cuando se analizan los riesgos es importante cuantificar el nivel de incertidumbre
y el grado de pérdidas asociado con cada riesgo. Para hacerlo, se consideran
diferentes categorías de riesgos.
Los riesgos del proyecto amenazan al plan del proyecto. Es decir, si los riesgos
del proyecto se hacen realidad, es probable que la planificación temporal del proyecto
se retrase y que los costos aumenten. Los riesgos del proyecto identifican los
problemas potenciales de presupuesto, planificación temporal, personal (asignación y
organización), recursos, cliente y requisitos y su impacto en un proyecto de software.
Los riesgos técnicos amenazan la calidad y la planificación temporal del software
que hay que producir. Si un riesgo técnico se convierte en realidad, la
implementación puede llegar a ser difícil o imposible. Los riesgos técnicos identifican
problemas potenciales de diseño, implementación, de interfaz, verificación y de
3
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 4/16
mantenimiento. Además las ambigüedades de especificaciones, incertidumbre
técnica, técnicas anticuadas y las "tecnologías punta" son también factores de riesgo.
Los riesgos técnicos ocurren porque el problema es más difícil de resolver de lo que
pensábamos.
Los riesgos del negocio amenazan la viabilidad del software a construir Los
riesgos del negocio a menudo ponen en peligro el proyecto o el producto. Los cinco
principales riesgo del negocio:
a) Construir un producto o sistema excelente que no quiere nadie en realidad
(riesgo de mercado),
b) Construir un producto que no encaja en la estrategia comercial general de
la compañía (riesgo estratégico),c) Construir un producto que el departamento de ventas no sabe cómo vender
d) Perder el apoyo de una gestión experta debido a cambios de enfoque o a
cambios de personal (riesgo de dirección)
e) Perder presupuesto o personal asignado (riesgos de presupuesto).
Es extremadamente importante recalcar que no siempre funciona una
categorización tan sencilla. Algunos riesgos son simplemente imposibles
de predecir.
Componentes y controladores del riesgo se definen de la siguiente manera:
Riesgo de rendimiento: el grado de incertidumbre con el que el producto
encontrará sus requerimientos y se adecue para su empleo pretendido.
Riesgo de costo: El grado de incertidumbre que mantendrá el presupuesto del
proyecto.
Riesgo de soporte: El grado de incertidumbre de la facilidad del software. para
corregirse, adaptarse y ser mejorado.
Riesgo de la planificación temporal: El grado de incertidumbre con que se
podrá mantener la planificación temporal y de que el producto se entregue a
tiempo.
4
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 5/16
El impacto de cada controlador de riesgo en el componente de riesgo se divide en
cuatro categorías de impacto:
a) Despreciable
b) Marginal
c) Crítico
d) Catastrófico
Identificación de riesgo
La identificación del riesgo es un intento sistemático para especificar las amenazas al
plan del proyecto (estimaciones, planificación temporal, carga de recursos, entre
otros). Identificando los riesgos conocidos y predecibles, el gestor del proyecto da un
paso adelante para evitarlos cuando sea posible y controlarlos cuando sea necesario.
Tamaño del producto: riesgos asociados con el tamaño general del software a
construir o a modificar.
Impacto en el negocio: riesgos asociados con las limitaciones impuestas por la
gestión o por el mercado.
Características del cliente: riesgos asociados con la sofisticación del cliente y
la habilidad del desarrollador para comunicarse con el cliente en los
momentos oportunos.
Definición del proceso: riesgos asociados con el grado de definición del
proceso del software y su seguimiento por la organización de desarrollo.
Entorno de desarrollo: riesgos asociados con la disponibilidad y calidad de las
herramientas que se van a emplear en la construcción del producto.
Tecnología a construir: riesgos asociados con la complejidad del sistema a
construir y la tecnología punta que contiene el sistema.
5
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 6/16
Tamaño y experiencia de la plantilla: riesgos asociados con la experiencia
técnica y de proyectos de los ingenieros del software que van a realizar el
trabajo
6
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 7/16
Posibles Riesgo de un Software
Las herramientas de evaluación de riesgos más comunes son las listas de control,
que constituyen una herramienta muy útil para identificar peligros. Entre
otras herramientas de evaluación de riesgos cabe mencionar: guías, documentos
orientativos, manuales, folletos, cuestionarios, y “herramientas interactivas”
(software interactivo, como programas específicos para determinados sectores).
Respecto al entorno de desarrollo existen diferentes herramientas:
• Herramientas de gestión de proyecto
7
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 8/16
• Herramientas de gestión del proceso de desarrollo
• Herramientas de análisis y diseño
• Existen generadores de códigos apropiados para la aplicación
• Herramientas de pruebas
• Herramientas de gestión de configuración
SE Risk
SE Risk es la solución definitiva para la administración de riesgos corporativos y
la mejora continua de los procesos de la gobernanza dando soporte para la
identificación de riesgos, reduciendo las pérdidas y maximizando las oportunidades
de gano de la organización, facilita la categorización del riesgo, tal como su
evaluación, a través de herramientas de fácil aplicabilidad y visualización,
proporcionando más desempeño y eficacia en la prevención y en el control de los
riesgos identificados en los procesos empresariales.
SE Risk permite una visión corporativa entre las áreas de administración de
riesgo y controles internos, evidenciando cuales son los riesgos potenciales que
pueden impedir la realización de los objetivos de la organización y permite también
que los riesgos sean evaluados de tres maneras diferentes: cualitativa, cuantitativa y
por matriz. Uno de los mayores diferenciales de la solución es la capacidad de SE
Risk encuadrarse perfectamente en todo y cualquier campo organizacional, o sea, la
gestión de riesgos puede ser automatizada en proyectos, procesos, estrategias,
seguridad del consumidor, activos y peligros.Los requisitos, conceptos y métodos empleados por el sistema satisfacen
plenamente los requisitos exigidos y establecidos por las principales normas y
metodologías mundiales, como ISO 9000, ISO 14000, ISO 20000, ISO 22000,
AS/NZS 4360, ITIL, PMBOK, COBIT, SOX, FDA, HACCP entre otras.
8
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 9/16
Herramientas EAR
Las herramientas EAR soportan el análisis y la gestión de riesgos de un sistema
de información siguiendo la metodología Magerit, Los activos están expuestos
a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto.
Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir
el riesgo al que está expuesto el sistema. Degradación y frecuencia califican la
vulnerabilidad del sistema.
El gestor del sistema de información dispone de salvaguardas, que o bien reducen
la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del
grado de implantación de estas salvaguardas, el sistema pasa a una nueva estimación
de riesgo que se denomina riesgo residual.
PILAR
Dispone de una biblioteca estándar de propósito general, y es capaz de realizar
calificaciones de seguridad respecto de normas ampliamente conocidas como son:
ISO/IEC 27002:2005 - Código de buenas prácticas para la Gestión de la
Seguridad de la Información
ENS - Esquema Nacional de Seguridad
9
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 10/16
Comprende cómo funciona el plan de gestión de riesgos. El riesgo es la
probabilidad de sufrir un efecto (positivo o negativo) de un evento o una serie de
eventos que tienen lugar en uno o muchos lugares. La probabilidad del riesgo
depende del evento y el impacto que puede causar. (Riesgo = Probabilidad x
Impacto). Hay que analizar varios factores como:
Evento: ¿Qué podría pasar?
Probabilidad: ¿Qué tan probable es que suceda?
Impacto: ¿Cuán malo sería si ocurre?
Mitigación: ¿Cómo se puede reducir la probabilidad (y qué tanto se
puede reducir)?
Contingencia: ¿Cómo se puede reducir el impacto (y qué tanto se
puede reducir)?
Reducción del riesgo = Mitigación x Contingencia
Exposición al riesgo = Riesgo – Reducción
Tras definir lo de arriba, el resultado será aquello que llamamos
exposición. Es la cantidad de riesgo que no puedes evitar.
Muchas veces es una fórmula de costos contra beneficios.
El riesgo asumido es si decides proceder. (Algunas veces, sin tener
opción, por ejemplo: Cambios federales obligatorios.)
Pasos para una Gestión de Riesgo
Define tu proyecto. En este artículo, supongamos que eres responsable de un
sistema de computadoras que ofrece información importante (pero no
fundamental para la vida) de una gran cantidad de población. La computadora principal es vieja y tiene que ser sustituida. Tu tarea es hacer un plan de riesgo
para la migración del sistema.
10
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 11/16
Consigue aportaciones de los demás. Junta a varias personas y piensen en
qué podría pasar y cómo se podría prevenir en una tormenta de ideas. Toma
muchas notas.
Identifica las consecuencias de cada riesgo. Obtén información acerca de lo
que podría pasar por medio de una tormenta de ideas. Asocia cada riesgo con
las consecuencias que podrían tener.
Elimina los asuntos irrelevantes. Si te estás ocupando de un sistema de un
concesionario no debes preocuparte de guerras nucleares o asteroides
Haz una lista de los elementos de riesgo identificados. No necesitas
ordenarlos por el momento Asigna la probabilidad. Para cada elemento de
riesgo en tu lista, determina si las posibilidades de materialización son altas,
medias o bajas. Asigna el impacto. Asígnalo como alto, medio o bajo
siguiendo las guías preestablecidas.
Determina el riesgo del elemento. Muchas veces se usa una tabla para hacer
esta tarea (Sé flexible en el análisis)
Clasifica los riesgos: Lista todos los elementos que hayas identificado de
mayor a menor riesgo.
Desarrolla estrategias de migración. La migración está diseñada parareducir la probabilidad de que se materialice un riesgo. Normalmente sólo
tendrás que hacer esto para elementos de riesgo alto o medio.
Desarrolla planes de contingencia. La contingencia está diseñada para
reducir el impacto de un riesgo.
Analiza la efectividad de cada plan. Analizar las consecuencias de cada uno
de los planes
Vigila tus riesgos. Ahora que ya conoces tus riesgos, necesitas determinar
cómo sabrás que se materializarán, así que ya estás preparado para poner las
contingencias. Según avance tu proyecto podrás ver si los riesgos se
convierten en problemas.
11
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 12/16
Herramientas para la evaluación de riesgos
Existen muchas herramientas y metodologías disponibles para asistir a las
empresas y organizaciones a evaluar los riesgos. La elección del método dependerá
de las condiciones de trabajo, como, por ejemplo, el número de trabajadores, el tipo
de actividades y equipos de trabajo, las características particulares del lugar de trabajo
y cualquier otro riesgo específico.
Las herramientas de evaluación de riesgos más comunes son las listas de control,
que constituyen una herramienta muy útil para identificar peligros. Entre otras
herramientas de evaluación de riesgos cabe mencionar: guías, documentos
orientativos, manuales, folletos, cuestionarios, y “herramientas interactivas” (software
interactivo gratuito, como programas específicos para determinados sectores).Estas
herramientas pueden ser tanto genéricas como específicas para una rama/riesgo.
Plan de gestión de riesgo
La Organización
Empresa dedicada a la construcción de obras
Departamento de informática
Riesgo de Información contempla los riesgos asociados a la información que soporta
la gestión y operación de la entidad, los reportes generados hacia el exterior o
internamente, y el procesamiento interno de la información.
Calidad de la información: Riegos relacionados con la confiabilidad, integridad y
oportunidad de la información necesaria para la toma de decisiones.
Manejo de la información: Riesgos derivados del uso de la información internamente
de la empresa y la publicación de la misma a entes externos.
12
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 13/16
Seguridad informática: Relacionados con la disponibilidad, pérdida, accesibilidad y
tecnologías informáticas.
Objetivos de la implementación de la Gestión de Riesgos.
El objetivo primordial de la implementación es el de ayudar a mejorar la gestión
realizada por el Jefe, y así encaminarse al cumplimiento de las metas.
Una planificación eficaz para la prevención debe desarrollar a través de la
identificación, evaluación, eliminación y control de riesgo. Por tanto debe cubrir a los
empleados lesiones, accidentes laborales, enfermedades, o la perdidas de equipo.
Una buena planificación implica lo siguiente:
1.- identificación y evaluación de riesgo
2.-control de riesgo
13
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 14/16
3.- implantación y mantenimientos de medidas de control
4.- valoración de las actuaciones
5. periódicamente debe revisarse el lugar de trabajo
Identificación de los riesgos
Mal manejo de la información conrespecto al recurso humano de la
entidad.
- Filtración de información interna.
Tardía entrega de la informaciónnecesaria para la revisión de una obra.
- Llegar a la faena y no estar realizandolos ítems a revisar.
- Pérdida de recursos económicos.
Falta de personal idóneo en el manejode tecnología informática.
- Pérdida de la información que soportalos procesos de la Oficina
Entrega errónea de información hacia
el exterior.
- Pérdida de la imagen de la oficina
provincial.
- Reclamos de parte de los receptores de
los distintos servicios entregados por la
oficina provincial.
Aspectos claves de la gestión de riesgo:
Política preventiva de la empresa:
Es un compromiso de todos; su objetivo es proteger la seguridad y salud de todos
los empleados, con la convicción de que los accidentes de trabajo y enfermedades
profesionales pueden y deben ser evitados. Para ello, adopta el principio de mejora
permanente de la acción preventiva, que incluye, entre otras, las actividades de
prevención y protección de la salud, actuación ante emergencias, adecuación del
trabajo a la persona, selección de equipos de trabajo y productos, coordinación entre
empresas y demás obligaciones recogidas en el marco normativo de prevención.
Organización preventiva:
14
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 15/16
Consiste en diseñar y establecer las actividades entre todas las personas que
constituyen la organización, debe ser adecuada a las necesidades preventivas de la
misma. La necesidad de realizar la evaluación, su actualización preceptiva, las
actividades de ejecución y control de la planificación preventiva, la necesidad de
efectuar inspecciones periódicas de seguridad o de puntos críticos, la dispersión de
los puestos o centros de trabajo son factores a considerar a la hora de analizar la
adecuación de la organización preventiva. En el supuesto de la actividad preventiva
con un Servicio de Prevención ajeno, deberán analizarse en profundidad los términos
del concierto y el cumplimiento del mismo.
Planificación e implementación
Sirve para establecer los objetivos y métodos para implantar la política de prevención de riesgo que tiene como punto de partida la evaluación de riesgo
Revisión de actuaciones
Para una gestión eficaz en prevención de riesgo laborales es importante conocer
los resultados y posibilitar una mejora, esto se logra mediante la auto comprobación
activa del área de trabajo, de los instrumentos, equipos, procedimientos, sistemas
empleados.
Auditoria (control externo)
Se refiere a la verificación de sí todo ocurre en una empresa conforme al
programa adoptado, a las órdenes dadas y a los principios admitidos” El control
requiere la existencia de un objetivo y la aplicación de unas medidas correctivas.
Tiene como misión establecer si el plan de riesgo es el adecuado.
La organización en materia de prevención prepara el mejor modelo preventivo
para la puesta en marcha de cualquier actividad, por esto es necesario implementar
una cultura a todos los trabajadores en cuanto a la prevención de riesgo. La parte más
importante de la incorporación de la cultura de riesgo dentro de la entidad, es sin
duda la de capacitar al personal sobre esta nueva gestión a implementarse, se deberá
capacitar en primera instancia, al equipo que trabajará directamente en el desarrollo
de ésta, cómo lo capacitaremos:
15
7/14/2019 Informe de Electiva 6
http://slidepdf.com/reader/full/informe-de-electiva-6 16/16
Integrando dentro del Plan de Capacitación cursos de Gestión de Riesgos y
sus modelos a aplicar.
En segunda instancia se deberán realizar charlas para todo el personal
Además se deberán incluir Talleres, por cada Departamento, con el fin de que
cada funcionario pueda observar cómo se está llevando sus funciones y como
según ellos mismo podrían mejorarlas.
Monitoreo y Consulta.
El monitoreo estará a cargo de la Unidad de Control Interno en conjunto con
cada responsable de los diferentes Departamentos. La Unidad de Control
Interno dentro de la función de asesorar que realizará, se encargará de comunicar
luego el monitoreo y los hallazgos encontrados a los respectivos Departamentos y
realizará las sugerencias para el mejoramiento y tratamiento de los riesgos detectados.
Dentro de las actividades de monitoreo se realizarán reuniones periódicas en
donde se autoevaluará el comportamiento del riesgo y sí se han presentado nuevos
riesgos dentro de la entidad que deban ser combatidos. ésta autoevaluación no debe
estar pensada como el fin del proceso, sino que muy por el contrario, nos entregará
información importante para reformular el tratamiento de riesgos detectados, agregar
nuevas acciones para combatirlos y a su vez generar dentro de los diferentes
Departamentos un ambiente de compromiso, y posibilitar a través de
la retroalimentación el mejoramiento en el logro de los objetivos institucionales.
Se debe señalar que el éxito en el tiempo de la Gestión de Riesgos, dependerá de
las revisiones y actualizaciones que se realicen a las metodologías,
procesos, sistemas y conocimiento del personal.
16