CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMASUNIDAD I

PIERRE SERGEI ZUPPA AZÚA

INTRODUCCIÓN A LA EVALUACIÓN DE PROYECTOSINFORMÁTICOS Y A LA GESTIÓN DE PROCESOS TI

www.utel.edu.mx

PROCESOS BÁSICOS DE GESTIÓN DE TI

PROCESOS BÁSICOS DE

GESTIÓN DE TI

Nivel de Estratégico:

procesos de Estrategia Gobierno de TI.

Nivel Operativo:

Cadena de valor para el cliente:

G. Demanda G. Proyectos G. Aplicaciones G. Explotación G. Infraestructura G. del Servicio.

Nivel de Soporte:

procesos transversales de

SoporteMonitorización Gestión de

Proveedores.

www.utel.edu.mx

SÍNTOMAS DE UN PROYECTO EN CRISIS

Baja comunicación. Planeación y administración inadecuada. Requerimientos inestables. Falta de entrenamiento. Cronograma no realista /no realizable. Alta rotación del personal. Uso inadecuado de recursos. Ambiente de trabajo inadecuado. Personal atado a tecnología obsoleta. Carencia de compromiso a largo plazo. Baja implicación o compromiso de los participantes.  Baja definición de roles y responsabilidades

www.utel.edu.mx

FASE DE PREOCUPACIÓN EN UN PROYECTO

www.utel.edu.mx

DIAGRAMA DE ACCIÓN

Acciones correctivasDeben ocurrir cuando un problema surge.

Acciones preventivasCuando ocurren cambios en el proyecto que no fueron previstos.

1. Identificación

2. Análisis de la No conformidad potencial

u oportunidad de mejora

3. Ejecución de la acción preventiva

4. Cierre de la acción preventiva

¿Conforme?5. Seguimiento

¿Conforme?

Fin

www.utel.edu.mx

DETECCIÓN DE PROBLEMAS EN UN PROYECTO

www.utel.edu.mx

FACTORES CRÍTICOS PARA EJECUTAR UNA RECUPERACIÓN

• Compromiso.• Habilidades.• Capacidades.• Entendimiento verdadero.• Revisión.• FODA.• Manejo de la política.

www.utel.edu.mx

LEY DE MORPHY

1. Si algo puede salir mal, saldrá mal, en el peor momento y en el peor lugar.2. Todo suceso malo, es susceptible de empeorar.3. Cambiar de cola siempre produce el efecto de enlentecer en la que te

encuentras.4. Si requieres de un tiempo limitado para realizar un proyecto, requerirás como

mínimo del doble.5. Siempre existirá usuarios que ofrezcan resistencia al cambio.6. El número de incidencias con un usuario es inversamente proporcional a su

descontento con el proyecto.7. Cualquier grado de seguridad impuesto será vulnerado a la primera.8. A mayor diferencia tecnológica con clientes y proveedores, mayor necesidad de

integración con ellos.9. A mayor violación de las obligaciones legales, mayor necesidad de aparentar

legalidad.10. A la creencia de menor necesidad del cambio tecnológico, mayor es ésta.

www.utel.edu.mx

CUADRO DE RIESGOS

Componentes Niveles

Desempeño Soporte Costo Calendarización

Catastrófico

Crítica

Marginal

Despreciable

www.utel.edu.mx

TIPOS DE ANÁLISIS

CuantitativoEvalúa la prioridad de los riesgos identificados mediante valores numéricos para los costes de daños y controles de seguridad.

Impacto sobre los objetivos como:

– Costos.– Cronograma.– Alcance.– Calidad.

CualitativoEstablece un rango de valores para determinar los costos de daños y controles de seguridad.La matriz de probabilidad e impacto puede usarse para clasificar los riesgos según su importancia individual. La prioridad de los riesgos puede establecerse para el:

– Costo.– Tiempo.– Alcance.– Calidad.

www.utel.edu.mx

MÉTODOS CUALITATIVOS

– Listas de chequeos.– Análisis preliminar de riesgos PHA.– What if?.– Análisis de modo de falla y efecto FMEA.– HAZID.– HPA.– HAZOP.

www.utel.edu.mx

METODOLOGÍA DE EVALUACIÓN DE RIESGO

– Selección de ámbitos e identificación de activos

– Asociación de amenazas y vulnerabilidades a activos

– Ejecución de la evaluación de riesgos

– Plan de tratamiento de riesgos

www.utel.edu.mx

MARCO REFERENCIAL INTERNACIONAL

• ISO 31000:2009 • Principles and Guidelines

on Implementation

• ISO/IEC 31010:2009• Risk Management - Risk

Assessment Techniques

• ISO Guide 73:2009 • Risk Management -

Vocabulary

www.utel.edu.mx

MODELOS DE CÁLCULO DE RIESGO

www.utel.edu.mx

Riesgo = Amenaza * Vulnerabilidad * Impacto

MODELO PRAGMÁTICO DE RIESGO

• SI– Amenaza Alta, Media, Baja 3,2,1– Vulnerabilidad Alta, Media, Baja 3,2,1– Impacto Alto, Medio, Bajo 3,2,1

• ENTONCES– Riesgo (3x3x3) ... (1x1x1) 27 ... 1

www.utel.edu.mx

ESTIMACIÓN DE RIESGOS

Probabilidad

www.utel.edu.mx

ESTIMACIÓN DE RIESGOS

Impacto

www.utel.edu.mx

Factores del Riesgo

Frecuencia de la Pérdida

Frecuencia de la amenaza

Tiempo de Contacto

No P

rogr

amad

a

Prog

ram

ada

Única

vez

Perió

dica

Acción del atacante

Bene

ficio

Esfu

erzo

Sanc

ión

/ Pen

a

Vulnerabilidad

Fortaleza de los controles

Capacidad de la Amenaza

Impacto

Impacto Primario

Según Activo

Critic

idad

Cost

o

Sens

itivid

ad

Repu

tació

n

Com

petit

ivida

d

Com

plia

nce

Gen

eral

Según Amenaza

Com

pete

ncia

Acció

n

Acce

so

Uso

inde

bido

Divu

lgac

ión

Mod

ificac

ión

DoS

Inte

rna

/ Ext

erna

Impacto Secundario

Según Organización

Tiem

po

Debi

do C

uida

do

Resp

uest

a

Cont

enció

n

Rem

edia

ción

Recu

pera

ción

Dete

cció

n

Factores Externos

Dete

cció

n

Lega

l y R

egul

ator

io

Com

petid

ores

Med

io

Accio

nist

as

MODELO DE CÁLCULO DE RIESGO

www.utel.edu.mx

OBJETIVO DE EVALUACIÓN DE RIESGO

Seleccionar aquellos controles que

permitan mitigar los riesgos no tolerables

hasta niveles aceptables para la

organización.

www.utel.edu.mx

CICLO DE MITIGACIÓN DE RIESGOS

Agente dela amenaza

Amenaza

Vulnerabilidad

RIESGO

Activo

Exposición

Protección

Activa

Puede explotar

Evidencia

Puede Dañar

Representa una

Puede ser contrarrestado

Interviene directamente

www.utel.edu.mx

GESTIÓN DE RIESGOS (ISO 31000)

www.utel.edu.mx

GESTIÓN DE RIESGOS

www.utel.edu.mx

ANÁLISIS DE RIESGO

Salvaguardas

Vulnerabilidades

Amenazas

Niveles de riesgo de la organización

www.utel.edu.mx

ANÁLISIS DE RIESGO

Cubre las necesidades de Seguridad de la organización considerando:

– Recursos económicos.– Recursos humanos.– Inversión proporcional al riesgo.– Objetividad.– Tomas de decisiones.– Criterios

• Definidos• Usos sucesivos• Comparación

– Inventario de riesgos.

www.utel.edu.mx

SGSI

METODOLOGÍA• Analizar y ordenar la

estructura de los sistemas de información.

• Definición de procedimientos de trabajo para mantener su seguridad.

• Controles que permitan medir la eficiencia de las medidas tomadas.

BENEFICIOS1. Reducción de riesgos.2. Ahorro de los costos por el

aprovechamiento de los recursos.3. Seguridad.4. Cumplimiento con la legislación vigente.

– Respetar los derechos de nuestros clientes y proveedores.

– Evitar infracciones y sanciones.

5. Mejorar la competitividad en el mercado.6. Medir la eficiencia de las medidas

tomadas.7. Controlar el CID (Confidencialidad,

Integridad y Disponibilidad) para mejora la imagen

www.utel.edu.mx

FASES DE IMPLEMENTACIÓN

Concienciación y formación

Organización de la seguridad

Política de seguridad

Alcance

Debe contar la empresa con una estructura organizativa.

Se diseña de acuerdo a los objetivos, necesidades y estructura de la empresa

www.utel.edu.mx

NIVELES DE DOCUMENTACIÓN

Políticas

Procedimientos

Instrucciones

Registros

Objetivo Generales

Desarrollo de los objetivos

Comandos técnicos

Indicadores, métrica

www.utel.edu.mx

TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS

• Técnicas de Recopilación de Información Tormenta de ideas Técnica Delphi Entrevistas

• Técnica de organización de información Diagramas de afinidad

Análisis mediante lista de control Análisis de suposiciones

• Técnicas de diagramación – Diagramas de causa y efecto– Diagramas de flujo o de sistemas– Diagramas de influencias

www.utel.edu.mx

TÉCNICAS DE ANÁLISIS DE RIESGOS

Análisis cualitativo• Técnica Delphi

• Matriz probabilidad – impacto

análisis cuantitativo• CBA (Cost Benefit Analysis)

• Modelado y Simulación

• Análisis del valor ganado

• Árboles de decisión

• Análisis de sensibilidad

www.utel.edu.mx

METODOLOGÍA ANÁLISIS DE RIESGOS

• MAGERIT• OCTAVE• NIST 800-30ª