exposicion 03 analisis de rieso ear perl
Post on 08-Jul-2016
28 Views
Preview:
DESCRIPTION
TRANSCRIPT
ANÁLISIS DE RIESGO
Camilo Andrés FrontadoErik Alexis ValderramAlejandro Jiménez MateHarold Jhovany López INGENIERIA DE SOFTWARE 302U. Distrital
ÍNDICE Introducción (ANALISIS DE RIESGO) Objetivos Tipos de Riesgo Probabilidad y efectos de los riesgos Identificación de riesgos Principales riesgos de un proyecto de software Proceso de manejo de riesgos Herramientas EAR Conclusiones Bibliografía
INTRODUCCIÓN (ANALISIS DE RIESGO) El análisis de riesgos informáticos es un proceso que
comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados.
OBJETIVOS
Determina la probabilidad y la seriedad de cada riesgo
Las probabilidades pueden variar entre muy alta, alta, moderada, baja o muy baja
Los efectos de los riesgos pueden ser: catastróficos, serios, tolerables o insignificantes.
TIPOS DE RIESGO
• Riesgos del proyecto. Amenaza el plan del proyecto • Riesgos técnicos. Amenaza la calidad del producto y la
planificación temporal • Riesgos del negocio. Amenaza la viabilidad del software a ser
construido (riesgos del mercado, riesgos estratégicos, riesgo dirección, riesgos del presupuesto).
• Riesgos predecibles. Predecible de la evaluación cuidadosa de plan del proyecto actual y de la experiencia de proyectos anteriores.
• Riesgos impredecibles. Algunos problemas simplemente ocurren sin advertir.
PROBABILIDAD Y EFECTOS DE LOS RIESGOSRiesgo Probabilidad EfectosLos problemas financieros de la organización fuerzan a reducir el presupuesto del proyecto
Baja Catastrófico
Es importante reclutar personal con las habilidades requeridas para el proyecto Alta Catastrófico
El personal clave esta enfermo y no disponible en momentos críticos Moderada Serio
Los componentes de software a utilizarse contienen defectos que limitan su funcionalidad
Moderada Serio
Se proponen cambios en los requerimientos que requieren rehacer el diseño Moderada Serio
La organización se reestructura de tal forma que una administración diferente se responsabiliza del proyecto
Alta Serio
La base de datos que se utiliza en el sistema no puede procesar muchas transacciones por segundo como se esperaba
Moderada Serio
IDENTIFICACIÓN DE RIESGOS
Riesgos en la tecnología
Riesgos en la gente
Riesgos organizacionales
Riesgos en los Requerimientos
Riesgos de estimación
FORMULA PARA DETERMINAR EL RIESGO TOTAL
La fórmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo. Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
Los riesgos del negocio amenazan la viabilidad del software a construir Los riesgos del negocio a menudo ponen en peligro el proyecto o el producto.
PRINCIPALES RIESGOS DE UN PROYECTO DE SOFTWARE 1. Construir un producto o sistema excelente que no quiere nadie en
realidad (riesgo de mercado),
2. Construir un producto que no encaja en la estrategia comercial general de la compañía (riesgo estratégico),
3. Construir un producto que el departamento de ventas no sabe cómo vender.
4. Perder el apoyo de una gestión experta debido a cambios de enfoque o a cambios de personal (riesgo de dirección)
5. Perder presupuesto o personal asignado (riesgos de presupuesto).
PROCESO DE MANEJO DE RIESGOS
HERRAMIENTAS EAR
Existen actualmente herramientas que permiten llevar de forma sistematizada el análisis de riesgos. Generalmente estas herramientas vienen integradas en un paquete o grupo de aplicaciones para la implementación de las fases del Sistema de Gestión de las Seguridad de la información (SGSI). En tal sentido, se incluye la herramienta para el diseño de análisis de riesgos, las cuales se desarrollan basada en una metodología o estándar, por tanto, antes de seleccionar una herramienta, se debió tener claro este aspecto.
EAR/PILAR
Es una herramienta donde Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (accountability).Para tratar el riesgo se proponen salvaguardas (o contra medidas) normas de seguridad procedimientos de seguridadanalizándose el riesgo residual a lo largo de diversas etapas de tratamiento.
HERRAMIENTA EAR / PILAR
EJEMPLO PRACTICO DE ANÁLISIS DE RIESGO CON EAR/PILAR
Luego de haber cargado el proyecto podremos evaluar en que área el proyecto tiene mas riesgo
SALVA GUARDAS
VIDEO DE EXPLICACIÓN DE EAR/PILAR
CONCLUSIONES
El análisis de riesgo se debe de llevar en todos los proyectos y no solo de software debido a que determina la viabilidad del desarrollo
Gracias al análisis de riesgo se puede hacer la diferencia entre un proyecto exitoso o no
El análisis de riesgo permite evaluar las posibles falencias que habrán en un proyecto de software y dar posibles soluciones si las hay y son viables.
BIBLIOGRAFÍA Introducción http://
arielvargasu.blogspot.com.co/2010/10/analisis-y-gestion-de-riesgo_18.html
Clasificación de riesgos http://www.academia.edu/9263751/
Ingenieria_de_Software_Riesgos Herramientas EAR
http://www.ar-tools.com/es/index.html EAR pilar
https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/ear-pilar.html
top related