CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMAS
UNIDAD I
INTRODUCCIÓN A LA EVALUACIÓN DE PROYECTOS
INFORMÁTICOS Y A LA GESTIÓN DE PROCESOS TI
PIERRE SERGEI ZUPPA AZÚA
PROCESOS BÁSICOS DE GESTIÓN DE TI
PROCESOS
BÁSICOS DE
GESTIÓN DE TI
Nivel de
Estratégico:
procesos de
Estrategia
G. Demanda
Gobierno de TI.
G. Proyectos
Nivel de
Soporte:
Nivel Operativo:
Cadena de valor
para el cliente:
G. Aplicaciones
procesos
transversales de
Soporte
G. Explotación
www.utel.edu.mx
Monitorización
G.
Infraestructura
Gestión de
Proveedores.
G. del Servicio.
SÍNTOMAS DE UN PROYECTO EN CRISIS
 Baja comunicación.
 Planeación y administración inadecuada.
 Requerimientos inestables.
 Falta de entrenamiento.
 Cronograma no realista /no realizable.
 Alta rotación del personal.
 Uso inadecuado de recursos.
 Ambiente de trabajo inadecuado.
 Personal atado a tecnología obsoleta.
 Carencia de compromiso a largo plazo.
 Baja implicación o compromiso de los participantes.
 Baja definición de roles y responsabilidades
www.utel.edu.mx
FASE DE PREOCUPACIÓN EN UN
PROYECTO
www.utel.edu.mx
DIAGRAMA DE ACCIÓN
1. Identificación
Acciones correctivas
Deben ocurrir cuando un
problema surge.
Acciones preventivas
Cuando
ocurren
cambios en el proyecto
que no fueron previstos.
2. Análisis de la No
conformidad potencial
u oportunidad de
mejora
3. Ejecución de la
acción preventiva
4. Cierre de la acción
preventiva
5. Seguimiento
¿Conforme?
¿Conforme?
Fin
www.utel.edu.mx
DETECCIÓN DE PROBLEMAS EN UN
PROYECTO
www.utel.edu.mx
FACTORES CRÍTICOS PARA EJECUTAR
UNA RECUPERACIÓN
•
•
•
•
•
•
•
Compromiso.
Habilidades.
Capacidades.
Entendimiento verdadero.
Revisión.
FODA.
Manejo de la política.
www.utel.edu.mx
LEY DE MORPHY
1.
2.
3.
Si algo puede salir mal, saldrá mal, en el peor momento y en el peor lugar.
Todo suceso malo, es susceptible de empeorar.
Cambiar de cola siempre produce el efecto de enlentecer en la que te
encuentras.
4. Si requieres de un tiempo limitado para realizar un proyecto, requerirás como
mínimo del doble.
5. Siempre existirá usuarios que ofrezcan resistencia al cambio.
6. El número de incidencias con un usuario es inversamente proporcional a su
descontento con el proyecto.
7. Cualquier grado de seguridad impuesto será vulnerado a la primera.
8. A mayor diferencia tecnológica con clientes y proveedores, mayor necesidad de
integración con ellos.
9. A mayor violación de las obligaciones legales, mayor necesidad de aparentar
legalidad.
10. A la creencia de menor necesidad del cambio tecnológico, mayor es ésta.
www.utel.edu.mx
CUADRO DE RIESGOS
Componentes
Desempeño
Soporte
Niveles
Catastrófico
Crítica
Marginal
Despreciable
www.utel.edu.mx
Costo
Calendarización
TIPOS DE ANÁLISIS
Cuantitativo
Cualitativo
Evalúa la prioridad de los riesgos
identificados mediante valores
numéricos para los costes de
daños y controles de seguridad.
Establece un rango de valores
para determinar los costos de dañ
os y controles de seguridad.
La matriz de probabilidad e impac
to puede usarse para clasificar los
riesgos según su importancia
individual. La prioridad de los
riesgos puede establecerse para
el:
Impacto
como:
–
–
–
–
sobre
Costos.
Cronograma.
Alcance.
Calidad.
los
objetivos
–
–
–
–
www.utel.edu.mx
Costo.
Tiempo.
Alcance.
Calidad.
MÉTODOS CUALITATIVOS
– Listas de chequeos.
– Análisis preliminar de riesgos PHA.
– What if?.
– Análisis de modo de falla y efecto FMEA.
– HAZID.
– HPA.
– HAZOP.
www.utel.edu.mx
METODOLOGÍA DE EVALUACIÓN DE RIESGO
– Selección de ámbitos e
identificación de activos
– Asociación de amenazas
y vulnerabilidades a
activos
– Ejecución de la
evaluación de riesgos
– Plan de tratamiento de
riesgos
www.utel.edu.mx
MARCO REFERENCIAL INTERNACIONAL
• ISO 31000:2009
• Principles and Guidelines
on Implementation
• ISO/IEC 31010:2009
• Risk Management - Risk
Assessment Techniques
• ISO Guide 73:2009
• Risk Management Vocabulary
www.utel.edu.mx
MODELOS DE CÁLCULO DE RIESGO
www.utel.edu.mx
MODELO PRAGMÁTICO DE RIESGO
Riesgo = Amenaza * Vulnerabilidad * Impacto
• SI
– Amenaza Alta, Media, Baja  3,2,1
– Vulnerabilidad  Alta, Media, Baja  3,2,1
– Impacto  Alto, Medio, Bajo  3,2,1
• ENTONCES
– Riesgo  (3x3x3) ... (1x1x1)  27 ... 1
www.utel.edu.mx
ESTIMACIÓN DE RIESGOS
Probabilidad
www.utel.edu.mx
ESTIMACIÓN DE RIESGOS
Impacto
www.utel.edu.mx
www.utel.edu.mx
Recuperación
Remediación
Accionistas
Medio
Competidores
Según
Organización
Legal y Regulatorio
Detección
Detección
Respuesta
Según Amenaza
Debido Cuidado
Impacto Primario
Contención
Tiempo
Interna / Externa
Frecuencia de la
Pérdida
DoS
Modificación
Acción
Competencia
Según Activo
Divulgación
Uso indebido
Vulnerabilidad
Acceso
Sensitividad
Capacidad de la
Amenaza
General
Costo
Compliance
Fortaleza de los
controles
Criticidad
Acción del
atacante
Competitividad
Sanción / Pena
Tiempo de
Contacto
Esfuerzo
Beneficio
Programada
No Programada
Frecuencia de la
amenaza
Reputación
Periódica
Única vez
MODELO DE CÁLCULO DE RIESGO
Factores del Riesgo
Impacto
Impacto Secundario
Factores Externos
OBJETIVO DE EVALUACIÓN DE RIESGO
Seleccionar aquellos
controles que
permitan mitigar los
riesgos no tolerables
hasta niveles
aceptables para la
organización.
www.utel.edu.mx
CICLO DE MITIGACIÓN DE RIESGOS
Agente de
la amenaza
Activa
Puede explotar
Amenaza
Evidencia
Interviene
directamente
Vulnerabilidad
RIESGO
Protección
Puede ser
contrarrestado
Activo
Exposición
www.utel.edu.mx
Representa una
Puede Dañar
GESTIÓN DE RIESGOS (ISO 31000)
www.utel.edu.mx
GESTIÓN DE RIESGOS
www.utel.edu.mx
ANÁLISIS DE RIESGO
Niveles de riesgo
de la organización
Salvaguardas
Vulnerabilidades
Amenazas
www.utel.edu.mx
ANÁLISIS DE RIESGO
Cubre las necesidades de Seguridad de la organización
considerando:
–
–
–
–
–
–
Recursos económicos.
Recursos humanos.
Inversión proporcional al riesgo.
Objetividad.
Tomas de decisiones.
Criterios
• Definidos
• Usos sucesivos
• Comparación
– Inventario de riesgos.
www.utel.edu.mx
SGSI
METODOLOGÍA
BENEFICIOS
• Analizar y ordenar la
estructura de los sistemas de
información.
1.
2.
• Definición de procedimientos
de trabajo para mantener su
seguridad.
• Controles que permitan medir
la eficiencia de las medidas
tomadas.
3.
4.
Reducción de riesgos.
Ahorro de los costos por el
aprovechamiento de los recursos.
Seguridad.
Cumplimiento con la legislación
vigente.
–
–
5.
6.
7.
www.utel.edu.mx
Respetar los derechos de nuestros clientes
y proveedores.
Evitar infracciones y sanciones.
Mejorar la competitividad en el
mercado.
Medir la eficiencia de las medidas
tomadas.
Controlar el CID (Confidencialidad,
Integridad y Disponibilidad) para
mejora la imagen
FASES DE IMPLEMENTACIÓN
Debe contar la empresa
con una estructura
organizativa.
Concienciación
y formación
Se diseña de acuerdo a los
objetivos, necesidades y
estructura de la empresa
Organización
de la seguridad
Política de seguridad
Alcance
www.utel.edu.mx
NIVELES DE DOCUMENTACIÓN
Objetivo Generales
Políticas
Procedimientos
Instrucciones
Desarrollo de los objetivos
Comandos técnicos
Indicadores, métrica
Registros
www.utel.edu.mx
TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS
• Técnicas de Recopilación de Información
Tormenta de ideas
Técnica Delphi
Entrevistas
• Técnica de organización de información
Diagramas de afinidad
Análisis mediante lista de control
Análisis de suposiciones
• Técnicas de diagramación
– Diagramas de causa y efecto
– Diagramas de flujo o de sistemas
– Diagramas de influencias
www.utel.edu.mx
TÉCNICAS DE ANÁLISIS DE RIESGOS
Análisis cualitativo
• Técnica Delphi
análisis cuantitativo
• CBA (Cost Benefit Analysis)
• Matriz probabilidad –
impacto
• Modelado y Simulación
• Análisis del valor ganado
• Árboles de decisión
• Análisis de sensibilidad
www.utel.edu.mx
METODOLOGÍA ANÁLISIS DE RIESGOS
• MAGERIT
• OCTAVE
• NIST 800-30ª
www.utel.edu.mx