CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMAS UNIDAD I INTRODUCCIÓN A LA EVALUACIÓN DE PROYECTOS INFORMÁTICOS Y A LA GESTIÓN DE PROCESOS TI PIERRE SERGEI ZUPPA AZÚA
PROCESOS BÁSICOS DE GESTIÓN DE TI Nivel de Estratégico: procesos de Estrategia Gobierno de TI. Nivel Operativo: Cadena de valor para el cliente: G. Demanda G. Proyectos G. Aplicaciones G. Explotación G. Infraestructura G. del Servicio. Nivel de Soporte: procesos transversales de Soporte Monitorización Gestión de Proveedores.
SÍNTOMAS DE UN PROYECTO EN CRISIS Baja comunicación. Planeación y administración inadecuada. Requerimientos inestables. Falta de entrenamiento. Cronograma no realista /no realizable. Alta rotación del personal. Uso inadecuado de recursos. Ambiente de trabajo inadecuado. Personal atado a tecnología obsoleta. Carencia de compromiso a largo plazo. Baja implicación o compromiso de los participantes. Baja definición de roles y responsabilidades
FASE DE PREOCUPACIÓN EN UN PROYECTO
DIAGRAMA DE ACCIÓN Fin 1. Identificación Acciones correctivas 2. Análisis de la No conformidad potencial u oportunidad de mejora Acciones correctivas Deben ocurrir cuando un problema surge. 3. Ejecución de la acción preventiva Acciones preventivas Cuando ocurren cambios en el proyecto que no fueron previstos. 4. Cierre de la acción preventiva ¿Conforme? 5. Seguimiento ¿Conforme? Fin
DETECCIÓN DE PROBLEMAS EN UN PROYECTO
FACTORES CRÍTICOS PARA EJECUTAR UNA RECUPERACIÓN Compromiso. Habilidades. Capacidades. Entendimiento verdadero. Revisión. FODA. Manejo de la política.
LEY DE MORPHY Si algo puede salir mal, saldrá mal, en el peor momento y en el peor lugar. Todo suceso malo, es susceptible de empeorar. Cambiar de cola siempre produce el efecto de enlentecer en la que te encuentras. Si requieres de un tiempo limitado para realizar un proyecto, requerirás como mínimo del doble. Siempre existirá usuarios que ofrezcan resistencia al cambio. El número de incidencias con un usuario es inversamente proporcional a su descontento con el proyecto. Cualquier grado de seguridad impuesto será vulnerado a la primera. A mayor diferencia tecnológica con clientes y proveedores, mayor necesidad de integración con ellos. A mayor violación de las obligaciones legales, mayor necesidad de aparentar legalidad. A la creencia de menor necesidad del cambio tecnológico, mayor es ésta.
CUADRO DE RIESGOS Componentes Niveles Desempeño Soporte Costo Calendarización Catastrófico Crítica Marginal Despreciable
TIPOS DE ANÁLISIS Cuantitativo Cualitativo Evalúa la prioridad de los riesgos identificados mediante valores numéricos para los costes de daños y controles de seguridad. Impacto sobre los objetivos como: Costos. Cronograma. Alcance. Calidad. Establece un rango de valores para determinar los costos de daños y controles de seguridad. La matriz de probabilidad e impacto puede usarse para clasificar los riesgos según su importancia individual. La prioridad de los riesgos puede establecerse para el: Costo. Tiempo. Alcance. Calidad.
MÉTODOS CUALITATIVOS Listas de chequeos. Análisis preliminar de riesgos PHA. What if?. Análisis de modo de falla y efecto FMEA. HAZID. HPA. HAZOP.
METODOLOGÍA DE EVALUACIÓN DE RIESGO Selección de ámbitos e identificación de activos Asociación de amenazas y vulnerabilidades a activos Ejecución de la evaluación de riesgos Plan de tratamiento de riesgos
MARCO REFERENCIAL INTERNACIONAL ISO 31000:2009 Principles and Guidelines on Implementation ISO/IEC 31010:2009 Risk Management - Risk Assessment Techniques ISO Guide 73:2009 Risk Management - Vocabulary
MODELOS DE CÁLCULO DE RIESGO
MODELO PRAGMÁTICO DE RIESGO Riesgo = Amenaza * Vulnerabilidad * Impacto SI Amenaza Alta, Media, Baja 3,2,1 Vulnerabilidad Alta, Media, Baja 3,2,1 Impacto Alto, Medio, Bajo 3,2,1 ENTONCES Riesgo (3x3x3) ... (1x1x1) 27 ... 1
ESTIMACIÓN DE RIESGOS Probabilidad
ESTIMACIÓN DE RIESGOS Impacto
MODELO DE CÁLCULO DE RIESGO Factores del Riesgo Frecuencia de la Pérdida Frecuencia de la amenaza Tiempo de Contacto No Programada Programada Única vez Periódica Acción del atacante Beneficio Esfuerzo Sanción / Pena Vulnerabilidad Fortaleza de los controles Capacidad de la Amenaza Impacto Impacto Primario Según Activo Criticidad Costo Sensitividad Reputación Competitividad Compliance General Según Amenaza Competencia Acción Acceso Uso indebido Divulgación Modificación DoS Interna / Externa Impacto Secundario Según Organización Tiempo Debido Cuidado Respuesta Contención Remediación Recuperación Detección Factores Externos Legal y Regulatorio Competidores Medio Accionistas
OBJETIVO DE EVALUACIÓN DE RIESGO Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organización.
CICLO DE MITIGACIÓN DE RIESGOS Agente de la amenaza Activa Amenaza Puede explotar Vulnerabilidad Evidencia Interviene directamente RIESGO Protección Puede ser contrarrestado Activo Puede Dañar Exposición Representa una
GESTIÓN DE RIESGOS (ISO 31000)
GESTIÓN DE RIESGOS
ANÁLISIS DE RIESGO Salvaguardas Niveles de riesgo de la organización Vulnerabilidades Amenazas Niveles de riesgo de la organización
ANÁLISIS DE RIESGO Cubre las necesidades de Seguridad de la organización considerando: Recursos económicos. Recursos humanos. Inversión proporcional al riesgo. Objetividad. Tomas de decisiones. Criterios Definidos Usos sucesivos Comparación Inventario de riesgos.
SGSI METODOLOGÍA BENEFICIOS Analizar y ordenar la estructura de los sistemas de información. Definición de procedimientos de trabajo para mantener su seguridad. Controles que permitan medir la eficiencia de las medidas tomadas. Reducción de riesgos. Ahorro de los costos por el aprovechamiento de los recursos. Seguridad. Cumplimiento con la legislación vigente. Respetar los derechos de nuestros clientes y proveedores. Evitar infracciones y sanciones. Mejorar la competitividad en el mercado. Medir la eficiencia de las medidas tomadas. Controlar el CID (Confidencialidad, Integridad y Disponibilidad) para mejora la imagen
FASES DE IMPLEMENTACIÓN Concienciación y formación Organización de la seguridad Política de seguridad Alcance Debe contar la empresa con una estructura organizativa. Se diseña de acuerdo a los objetivos, necesidades y estructura de la empresa
NIVELES DE DOCUMENTACIÓN Políticas Procedimientos Instrucciones Registros Objetivo Generales Desarrollo de los objetivos Comandos técnicos Indicadores, métrica
TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS Técnicas de Recopilación de Información Tormenta de ideas Técnica Delphi Entrevistas Técnica de organización de información Diagramas de afinidad Análisis mediante lista de control Análisis de suposiciones Técnicas de diagramación Diagramas de causa y efecto Diagramas de flujo o de sistemas Diagramas de influencias
TÉCNICAS DE ANÁLISIS DE RIESGOS Análisis cualitativo análisis cuantitativo Técnica Delphi Matriz probabilidad – impacto CBA (Cost Benefit Analysis) Modelado y Simulación Análisis del valor ganado Árboles de decisión Análisis de sensibilidad
METODOLOGÍA ANÁLISIS DE RIESGOS MAGERIT OCTAVE NIST 800-30ª