calidad y tÉcnicas de evaluaciÓn de los sistemas unidad i
Post on 02-Jan-2016
72 Views
Preview:
DESCRIPTION
TRANSCRIPT
CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMASUNIDAD I
PIERRE SERGEI ZUPPA AZÚA
INTRODUCCIÓN A LA EVALUACIÓN DE PROYECTOSINFORMÁTICOS Y A LA GESTIÓN DE PROCESOS TI
www.utel.edu.mx
PROCESOS BÁSICOS DE GESTIÓN DE TI
PROCESOS BÁSICOS DE
GESTIÓN DE TI
Nivel de Estratégico:
procesos de Estrategia Gobierno de TI.
Nivel Operativo:
Cadena de valor para el cliente:
G. Demanda G. Proyectos G. Aplicaciones G. Explotación G. Infraestructura G. del Servicio.
Nivel de Soporte:
procesos transversales de
SoporteMonitorización Gestión de
Proveedores.
www.utel.edu.mx
SÍNTOMAS DE UN PROYECTO EN CRISIS
Baja comunicación. Planeación y administración inadecuada. Requerimientos inestables. Falta de entrenamiento. Cronograma no realista /no realizable. Alta rotación del personal. Uso inadecuado de recursos. Ambiente de trabajo inadecuado. Personal atado a tecnología obsoleta. Carencia de compromiso a largo plazo. Baja implicación o compromiso de los participantes. Baja definición de roles y responsabilidades
www.utel.edu.mx
DIAGRAMA DE ACCIÓN
Acciones correctivasDeben ocurrir cuando un problema surge.
Acciones preventivasCuando ocurren cambios en el proyecto que no fueron previstos.
1. Identificación
2. Análisis de la No conformidad potencial
u oportunidad de mejora
3. Ejecución de la acción preventiva
4. Cierre de la acción preventiva
¿Conforme?5. Seguimiento
¿Conforme?
Fin
www.utel.edu.mx
FACTORES CRÍTICOS PARA EJECUTAR UNA RECUPERACIÓN
• Compromiso.• Habilidades.• Capacidades.• Entendimiento verdadero.• Revisión.• FODA.• Manejo de la política.
www.utel.edu.mx
LEY DE MORPHY
1. Si algo puede salir mal, saldrá mal, en el peor momento y en el peor lugar.2. Todo suceso malo, es susceptible de empeorar.3. Cambiar de cola siempre produce el efecto de enlentecer en la que te
encuentras.4. Si requieres de un tiempo limitado para realizar un proyecto, requerirás como
mínimo del doble.5. Siempre existirá usuarios que ofrezcan resistencia al cambio.6. El número de incidencias con un usuario es inversamente proporcional a su
descontento con el proyecto.7. Cualquier grado de seguridad impuesto será vulnerado a la primera.8. A mayor diferencia tecnológica con clientes y proveedores, mayor necesidad de
integración con ellos.9. A mayor violación de las obligaciones legales, mayor necesidad de aparentar
legalidad.10. A la creencia de menor necesidad del cambio tecnológico, mayor es ésta.
www.utel.edu.mx
CUADRO DE RIESGOS
Componentes Niveles
Desempeño Soporte Costo Calendarización
Catastrófico
Crítica
Marginal
Despreciable
www.utel.edu.mx
TIPOS DE ANÁLISIS
CuantitativoEvalúa la prioridad de los riesgos identificados mediante valores numéricos para los costes de daños y controles de seguridad.
Impacto sobre los objetivos como:
– Costos.– Cronograma.– Alcance.– Calidad.
CualitativoEstablece un rango de valores para determinar los costos de daños y controles de seguridad.La matriz de probabilidad e impacto puede usarse para clasificar los riesgos según su importancia individual. La prioridad de los riesgos puede establecerse para el:
– Costo.– Tiempo.– Alcance.– Calidad.
www.utel.edu.mx
MÉTODOS CUALITATIVOS
– Listas de chequeos.– Análisis preliminar de riesgos PHA.– What if?.– Análisis de modo de falla y efecto FMEA.– HAZID.– HPA.– HAZOP.
www.utel.edu.mx
METODOLOGÍA DE EVALUACIÓN DE RIESGO
– Selección de ámbitos e identificación de activos
– Asociación de amenazas y vulnerabilidades a activos
– Ejecución de la evaluación de riesgos
– Plan de tratamiento de riesgos
www.utel.edu.mx
MARCO REFERENCIAL INTERNACIONAL
• ISO 31000:2009 • Principles and Guidelines
on Implementation
• ISO/IEC 31010:2009• Risk Management - Risk
Assessment Techniques
• ISO Guide 73:2009 • Risk Management -
Vocabulary
www.utel.edu.mx
Riesgo = Amenaza * Vulnerabilidad * Impacto
MODELO PRAGMÁTICO DE RIESGO
• SI– Amenaza Alta, Media, Baja 3,2,1– Vulnerabilidad Alta, Media, Baja 3,2,1– Impacto Alto, Medio, Bajo 3,2,1
• ENTONCES– Riesgo (3x3x3) ... (1x1x1) 27 ... 1
www.utel.edu.mx
Factores del Riesgo
Frecuencia de la Pérdida
Frecuencia de la amenaza
Tiempo de Contacto
No P
rogr
amad
a
Prog
ram
ada
Única
vez
Perió
dica
Acción del atacante
Bene
ficio
Esfu
erzo
Sanc
ión
/ Pen
a
Vulnerabilidad
Fortaleza de los controles
Capacidad de la Amenaza
Impacto
Impacto Primario
Según Activo
Critic
idad
Cost
o
Sens
itivid
ad
Repu
tació
n
Com
petit
ivida
d
Com
plia
nce
Gen
eral
Según Amenaza
Com
pete
ncia
Acció
n
Acce
so
Uso
inde
bido
Divu
lgac
ión
Mod
ificac
ión
DoS
Inte
rna
/ Ext
erna
Impacto Secundario
Según Organización
Tiem
po
Debi
do C
uida
do
Resp
uest
a
Cont
enció
n
Rem
edia
ción
Recu
pera
ción
Dete
cció
n
Factores Externos
Dete
cció
n
Lega
l y R
egul
ator
io
Com
petid
ores
Med
io
Accio
nist
as
MODELO DE CÁLCULO DE RIESGO
www.utel.edu.mx
OBJETIVO DE EVALUACIÓN DE RIESGO
Seleccionar aquellos controles que
permitan mitigar los riesgos no tolerables
hasta niveles aceptables para la
organización.
www.utel.edu.mx
CICLO DE MITIGACIÓN DE RIESGOS
Agente dela amenaza
Amenaza
Vulnerabilidad
RIESGO
Activo
Exposición
Protección
Activa
Puede explotar
Evidencia
Puede Dañar
Representa una
Puede ser contrarrestado
Interviene directamente
www.utel.edu.mx
ANÁLISIS DE RIESGO
Salvaguardas
Vulnerabilidades
Amenazas
Niveles de riesgo de la organización
www.utel.edu.mx
ANÁLISIS DE RIESGO
Cubre las necesidades de Seguridad de la organización considerando:
– Recursos económicos.– Recursos humanos.– Inversión proporcional al riesgo.– Objetividad.– Tomas de decisiones.– Criterios
• Definidos• Usos sucesivos• Comparación
– Inventario de riesgos.
www.utel.edu.mx
SGSI
METODOLOGÍA• Analizar y ordenar la
estructura de los sistemas de información.
• Definición de procedimientos de trabajo para mantener su seguridad.
• Controles que permitan medir la eficiencia de las medidas tomadas.
BENEFICIOS1. Reducción de riesgos.2. Ahorro de los costos por el
aprovechamiento de los recursos.3. Seguridad.4. Cumplimiento con la legislación vigente.
– Respetar los derechos de nuestros clientes y proveedores.
– Evitar infracciones y sanciones.
5. Mejorar la competitividad en el mercado.6. Medir la eficiencia de las medidas
tomadas.7. Controlar el CID (Confidencialidad,
Integridad y Disponibilidad) para mejora la imagen
www.utel.edu.mx
FASES DE IMPLEMENTACIÓN
Concienciación y formación
Organización de la seguridad
Política de seguridad
Alcance
Debe contar la empresa con una estructura organizativa.
Se diseña de acuerdo a los objetivos, necesidades y estructura de la empresa
www.utel.edu.mx
NIVELES DE DOCUMENTACIÓN
Políticas
Procedimientos
Instrucciones
Registros
Objetivo Generales
Desarrollo de los objetivos
Comandos técnicos
Indicadores, métrica
www.utel.edu.mx
TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS
• Técnicas de Recopilación de Información Tormenta de ideas Técnica Delphi Entrevistas
• Técnica de organización de información Diagramas de afinidad
Análisis mediante lista de control Análisis de suposiciones
• Técnicas de diagramación – Diagramas de causa y efecto– Diagramas de flujo o de sistemas– Diagramas de influencias
www.utel.edu.mx
TÉCNICAS DE ANÁLISIS DE RIESGOS
Análisis cualitativo• Técnica Delphi
• Matriz probabilidad – impacto
análisis cuantitativo• CBA (Cost Benefit Analysis)
• Modelado y Simulación
• Análisis del valor ganado
• Árboles de decisión
• Análisis de sensibilidad
top related