Professional Documents
Culture Documents
1
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
Clasificación de Riesgos
La estrategia proactiva empieza mucho antes de que comiencen los trabajos técnicos. Se
identifican los riesgos potenciales, se valoran su probabilidad y su impacto y se establece una
prioridad según su importancia. Después el equipo de software establece un plan para controlar
el riesgo. El primer objetivo es evitar el riesgo, poco común no se pueden evitar todos los
riesgos. el equipo trabaja para desarrollar un plan de contingencia que le permita responder de
una manera eficaz y controlada. A lo largo de lo que queda de este capitulo, estudiamos la
estrategia proactiva para el control de riesgos.
Características:
• Incertidumbre: El acontecimiento que caracteriza al riesgo puede o no puede ocurrir.
• Pérdida: Si el riesgo se convierte en una realidad, ocurrirán consecuencias no
deseadas o pérdidas.
2
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
3
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
Un método para identificar riesgos es crear una lista de comprobación de elementos de riesgo
algunas categorias pueden ser:
COMPONENTES DE RIESGO
Riesgo de rendimiento.
Riesgo de coste.
Riesgo de soporte.
Riesgo de la planificación temporal.
4
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
Los controladores de riesgo pueden valorarse en una escala de probabilidad cualitativa que
tiene los siguientes valores: imposible, improbable, probable, frecuente y real. Después puede
asociarse una probabilidad matemática con cada valor cualitativo.
La naturaleza del riesgo indica los problemas probables que aparecerán si ocurre. Por ejemplo,
una interfaz externa mal definida para el hardware del cliente (un riesgo técnico) impedirá un
diseño y pruebas tempranas y probablemente lleve a problemas de integración más adelante en
el proyecto.
El alcance de un riesgo combina la severidad (¿cómo de serio es el problema?) con su
distribución general (¿qué proporción del proyecto se verá afectado y cuantos clientes se verán
perjudicados?).
La temporización de un riesgo considera cuándo y por cuánto tiempo se dejará sentir el
impacto.
5
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
Mapa de riesgo
Estrategia para reducir la movilidad:
• Reunirse con la plantilla actual y determinar las causas de la movilidad (por ej.: malas
condiciones de trabajo, salarios bajos, mercado laboral competitivo) para reducirlo.
• Una vez que comienza el proyecto, asuma que habrá movilidad y desarrolle técnicas
para asegurarse la continuidad cuando se vaya la gente.
• Organice los equipos del proyecto de manera que la información sobre cada actividad
de desarrollo esté ampliamente
dispersa.
• Defina estándares de
documentación y establezca
mecanismos para asegurarse de
que los documentos se
cumplimenten puntualmente.
• Convoque reuniones de revisión
de todo el trabajo de manera que
más de una persona a la vez esté
familiarizada con el trabajo.
• Defina un miembro de la plantilla
como reserva para cada técnico
crítico.
6
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
Cuadro de importancia
7
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
MAGERIT
MAGERIT es el acrónimo de "Metodología de
Análisis y Gestión de Riesgos de los Sistemas
de Información de las Administraciones
Públicas". Es una metodología de carácter
público, perteneciente al Ministerio de
Administraciones Públicas. Su utilización no
requiere autorización previa del MAP.
Matriz de Riesgos
No es posible una aplicación racional de medidas de seguridad sin antes analizar los riesgos
para, así implantar las medidas proporcionadas a estos riesgos, al estado de la tecnología y a
los costes (tanto de la ausencia de seguridad como de las salvaguardas).
Directos Indirectos
MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos
para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos,
MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el
riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para
poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a
la improvisación, ni dependa de la arbitrariedad del analista.
8
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
Henry Mintzberg argumentó que es muy difícil conseguir la estrategia correcta. Para
ayudarnos a pensar en ello con mayor profundidad, desarrolló su Estrategia de las 5Ps.
PLANO O PAUTA DE ACCIÓN: Una estrategia también puede ser una, “maniobra”
para ganar la partida al contrincante o competidor.
9
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
PATRÓN: Las estrategias pueden ser intencionales (ya sea como planes generales o
maniobras específicas), por supuesto también pueden elaborarse.
TIPOS DE ANÁLISIS
Cuantitativo: Intenta establecer valores numéricos para los costos de daños y controles de
seguridad. Es un proceso que evalúa la prioridad de los riesgos identificados usando la
probabilidad. Impacto sobre los objetivos como: costos, cronograma, alcance y calidad.
Cualitativo: Establece un rango de valores cualitativos para determinar los costes de daños y
controles de seguridad. Permite establecer prioridades para la planificación de la respuesta a
los riesgos.
MÉTODOS CUALITATIVOS:
o Listas de chequeos.
o Análisis preliminar de riesgos
PHA.
o What if?.
o Análisis de modo de falla y
efecto FMEA.
o HAZID.
o HPA.
o HAZOP.
Gestió del riesgo de suspender
1
0
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
Además, para una mejor utilización de estas medidas, a la hora de realizar estudios analíticos o
análisis estadísticos, deberían de tener unos valores que se ajusten a una cierta escala de
medida.
1
1
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
Métricas de Proceso: son medidas del proceso de desarrollo del Software tales como tiempo
de desarrollo total, esfuerzo en días/ hombre o mes / hombre de desarrollo del producto, tipo de
metodología utilizada o nivel medio de experiencia de los programadores. Muchos de los
trabajos iniciales realizados sobre las métricas de producto están relacionados con
las características del código fuente.
1
2
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
1
3
Unidad 4: Gestión de riesgos de TI (MAGERIT)
Calidad y técnicas de evaluación de los sistemas
CONSEJOS PRÁCTICOS
IDENTIFICAR LOS ACTIVOS
¿Qué activos son fundamentales para que
usted consiga sus objetivos?
¿Hay más activos que tenga que proteger por
obligación legal?
¿Hay activos relacionados con los anteriores?
Ejemplos de activos de naturaleza intangibles
¿Dónde puede verse comprometida la seguridad de los activos? Si unos datos son importantes
por su confidencialidad se necesita saber en qué sitio van a residir dichos datos y por qué
lugares van a circular: En esos puntos pueden ser revelados.
Si unos datos son importantes, por su integridad se necesita saber en qué sitio van a residir
dichos datos y por qué lugares van a circular, ya que en cualquiera de esos puntos pueden ser
alterados.
1
4