CALIDAD Y TCNICAS DE EVALUACIN DE LOS SISTEMAS

CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMAS UNIDAD I INTRODUCCIÓN A LA EVALUACIÓN DE PROYECTOS INFORMÁTICOS Y A LA GESTIÓN DE PROCESOS TI PIERRE SERGEI ZUPPA AZÚA

PROCESOS BÁSICOS DE GESTIÓN DE TI Nivel de Estratégico: procesos de Estrategia G. Demanda Gobierno de TI. G. Proyectos Nivel de Soporte: Nivel Operativo: Cadena de valor para el cliente: G. Aplicaciones procesos transversales de Soporte G. Explotación www. utel. edu. mx Monitorización G. Infraestructura Gestión de Proveedores. G. del Servicio.

SÍNTOMAS DE UN PROYECTO EN CRISIS Ø Baja comunicación. Ø Planeación y administración inadecuada. Ø Requerimientos inestables. Ø Falta de entrenamiento. Ø Cronograma no realista /no realizable. Ø Alta rotación del personal. Ø Uso inadecuado de recursos. Ø Ambiente de trabajo inadecuado. Ø Personal atado a tecnología obsoleta. Ø Carencia de compromiso a largo plazo. Ø Baja implicación o compromiso de los participantes. Ø Baja definición de roles y responsabilidades www. utel. edu. mx

FASE DE PREOCUPACIÓN EN UN PROYECTO www. utel. edu. mx

DIAGRAMA DE ACCIÓN 1. Identificación Acciones correctivas Deben ocurrir cuando un problema surge. Acciones preventivas Cuando ocurren cambios en el proyecto que no fueron previstos. 2. Análisis de la No conformidad potencial u oportunidad de mejora 3. Ejecución de la acción preventiva 4. Cierre de la acción preventiva ¿Conforme? 5. Seguimiento ¿Conforme? Fin www. utel. edu. mx

DETECCIÓN DE PROBLEMAS EN UN PROYECTO www. utel. edu. mx

FACTORES CRÍTICOS PARA EJECUTAR UNA RECUPERACIÓN • • Compromiso. Habilidades. Capacidades. Entendimiento verdadero. Revisión. FODA. Manejo de la política. www. utel. edu. mx

LEY DE MORPHY 1. 2. 3. Si algo puede salir mal, saldrá mal, en el peor momento y en el peor lugar. Todo suceso malo, es susceptible de empeorar. Cambiar de cola siempre produce el efecto de enlentecer en la que te encuentras. 4. Si requieres de un tiempo limitado para realizar un proyecto, requerirás como mínimo del doble. 5. Siempre existirá usuarios que ofrezcan resistencia al cambio. 6. El número de incidencias con un usuario es inversamente proporcional a su descontento con el proyecto. 7. Cualquier grado de seguridad impuesto será vulnerado a la primera. 8. A mayor diferencia tecnológica con clientes y proveedores, mayor necesidad de integración con ellos. 9. A mayor violación de las obligaciones legales, mayor necesidad de aparentar legalidad. 10. A la creencia de menor necesidad del cambio tecnológico, mayor es ésta. www. utel. edu. mx

CUADRO DE RIESGOS Componentes Desempeño Soporte Niveles Catastrófico Crítica Marginal Despreciable www. utel. edu. mx Costo Calendarización

TIPOS DE ANÁLISIS Cuantitativo Cualitativo Evalúa la prioridad de los riesgos identificados mediante valores numéricos para los costes de daños y controles de seguridad. Establece un rango de valores para determinar los costos de da ños y controles de seguridad. La matriz de probabilidad e impac to puede usarse para clasificar los riesgos según su importancia individual. La prioridad de los riesgos puede establecerse para el: Impacto sobre los objetivos como: – – Costos. Cronograma. Alcance. Calidad. – – www. utel. edu. mx Costo. Tiempo. Alcance. Calidad.

MÉTODOS CUALITATIVOS – Listas de chequeos. – Análisis preliminar de riesgos PHA. – What if? . – Análisis de modo de falla y efecto FMEA. – HAZID. – HPA. – HAZOP. www. utel. edu. mx

METODOLOGÍA DE EVALUACIÓN DE RIESGO – Selección de ámbitos e identificación de activos – Asociación de amenazas y vulnerabilidades a activos – Ejecución de la evaluación de riesgos – Plan de tratamiento de riesgos www. utel. edu. mx

MARCO REFERENCIAL INTERNACIONAL • ISO 31000: 2009 • Principles and Guidelines on Implementation • ISO/IEC 31010: 2009 • Risk Management - Risk Assessment Techniques • ISO Guide 73: 2009 • Risk Management Vocabulary www. utel. edu. mx

MODELOS DE CÁLCULO DE RIESGO www. utel. edu. mx

MODELO PRAGMÁTICO DE RIESGO Riesgo = Amenaza * Vulnerabilidad * Impacto • SI – Amenaza Alta, Media, Baja 3, 2, 1 – Vulnerabilidad Alta, Media, Baja 3, 2, 1 – Impacto Alto, Medio, Bajo 3, 2, 1 • ENTONCES – Riesgo (3 x 3 x 3). . . (1 x 1 x 1) 27. . . 1 www. utel. edu. mx

ESTIMACIÓN DE RIESGOS Probabilidad www. utel. edu. mx

ESTIMACIÓN DE RIESGOS Impacto www. utel. edu. mx

www. utel. edu. mx Recuperación Remediación Accionistas Medio Competidores Según Organización Legal y Regulatorio Detección Respuesta Según Amenaza Debido Cuidado Impacto Primario Contención Tiempo Frecuencia de la Pérdida Do. S Modificación Interna / Externa Acción Competencia Según Activo Divulgación Uso indebido Vulnerabilidad Acceso Sensitividad Capacidad de la Amenaza General Costo Compliance Fortaleza de los controles Criticidad Acción del atacante Competitividad Sanción / Pena Esfuerzo Tiempo de Contacto Beneficio Programada No Programada Frecuencia de la amenaza Reputación Periódica Única vez MODELO DE CÁLCULO DE RIESGO Factores del Riesgo Impacto Secundario Factores Externos

OBJETIVO DE EVALUACIÓN DE RIESGO Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organización. www. utel. edu. mx

CICLO DE MITIGACIÓN DE RIESGOS Agente de la amenaza Activa Puede explotar Amenaza Interviene directamente Protección Vulnerabilidad Evidencia RIESGO Puede ser contrarrestado Activo Exposición www. utel. edu. mx Representa una Puede Dañar

GESTIÓN DE RIESGOS (ISO 31000) www. utel. edu. mx

GESTIÓN DE RIESGOS www. utel. edu. mx

ANÁLISIS DE RIESGO Niveles de riesgo de la organización Salvaguardas Vulnerabilidades Amenazas www. utel. edu. mx

ANÁLISIS DE RIESGO Cubre las necesidades de Seguridad de la organización considerando: – – – Recursos económicos. Recursos humanos. Inversión proporcional al riesgo. Objetividad. Tomas de decisiones. Criterios • Definidos • Usos sucesivos • Comparación – Inventario de riesgos. www. utel. edu. mx

SGSI METODOLOGÍA BENEFICIOS • Analizar y ordenar la estructura de los sistemas de información. 1. 2. • Definición de procedimientos de trabajo para mantener su seguridad. • Controles que permitan medir la eficiencia de las medidas tomadas. 3. 4. 5. 6. 7. www. utel. edu. mx Reducción de riesgos. Ahorro de los costos por el aprovechamiento de los recursos. Seguridad. Cumplimiento con la legislación vigente. – Respetar los derechos de nuestros clientes y proveedores. – Evitar infracciones y sanciones. Mejorar la competitividad en el mercado. Medir la eficiencia de las medidas tomadas. Controlar el CID (Confidencialidad, Integridad y Disponibilidad) para mejora la imagen

FASES DE IMPLEMENTACIÓN Debe contar la empresa con una estructura organizativa. Concienciación y formación Se diseña de acuerdo a los objetivos, necesidades y estructura de la empresa Organización de la seguridad Política de seguridad Alcance www. utel. edu. mx

NIVELES DE DOCUMENTACIÓN Objetivo Generales Políticas Procedimientos Instrucciones Desarrollo de los objetivos Comandos técnicos Indicadores, métrica Registros www. utel. edu. mx

TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS • Técnicas de Recopilación de Información Tormenta de ideas Técnica Delphi Entrevistas • Técnica de organización de información Diagramas de afinidad Análisis mediante lista de control Análisis de suposiciones • Técnicas de diagramación – Diagramas de causa y efecto – Diagramas de flujo o de sistemas – Diagramas de influencias www. utel. edu. mx

TÉCNICAS DE ANÁLISIS DE RIESGOS Análisis cualitativo • Técnica Delphi • Matriz probabilidad – impacto análisis cuantitativo • CBA (Cost Benefit Analysis) • Modelado y Simulación • Análisis del valor ganado • Árboles de decisión • Análisis de sensibilidad www. utel. edu. mx

METODOLOGÍA ANÁLISIS DE RIESGOS • MAGERIT • OCTAVE • NIST 800 -30ª www. utel. edu. mx