REPUBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITECNICO SANTIAGO MARIO EXTENSION MATURIN

Prof.: Ing. Fabiola Idrogo

Integrante Selenny Snchez Moreno Alexis Ruiz Vicente

Maturn, Julio de 2013 Herramientas de Software de Riesgo Segn Robert Charette presenta la siguiente definicin de riesgo: En primer lugar, el riesgo afecta a los futuros acontecimientos. El hoy y el ayer estn ms all de lo que nos pueda preocupar, pues ya estamos cosechando lo que sembramos previamente con nuestras acciones del pasado. La pregunta es, podemos por tanto, cambiando nuestras acciones actuales, crear una oportunidad para una situacin diferente y, con suerte, mejor para nosotros en el futuro. Esto significa, en segundo lugar, que el riesgo implica cambio, que puede venir dado por cambios de opinin, de acciones, de lugares. En tercer lugar, el riesgo implica eleccin y la incertidumbre que entraa la eleccin. Por tanto, el riesgo, como la muerte, es una de las pocas cosas inevitables de la vida. Cuando se considera el riesgo en el contexto de la ingeniera del software, los tres pilares conceptuales de Charette se hacen continuamente evidentes. El futuro es lo que preocupa, qu riesgos podran hacer que el proyecto fracasara? El cambio es la preocupacin cmo afectarn los cambios en los requisitos del cliente, en las tecnologas de desarrollo, en los ordenadores a las que van dirigidas, el proyecto y todas las entidades relacionadas con l, al cumplimiento de la planificacin temporal y al xito en general? Aparte qu mtodos y herramientas se debera emplear, cunta gente debera estar implicada, qu importancia hay que darle a la calidad? Peter Drucker dijo una vez: "Mientras que es intil intentar eliminar el riesgo y cuestionable el poder minimizarlo, es esencial que los riesgos que se tomen sean los riesgos adecuados". Antes de poder identificar los "riesgos adecuados" que se pueden

tomar en un proyecto de software, es importante poder identificar todos los riesgos que sean obvios a jefes de proyectos y profesionales del software. La gestin de riesgos en el mbito del software procura formalizar conocimiento orientado a la minimizacin o evitacin de riesgos en proyectos de desarrollo de software, mediante la generacin de principios y buenas prcticas de aplicacin realista. Hasta el momento se ha propuesto y utilizado diferentes enfoques de gestin del riesgo desde que [Boehm, 1988] atrajo a la comunidad de ingeniera del software hacia la gestin del riesgo. Sin embargo, es evidente que pocas organizaciones utilizan todava de una forma explcita y sistemtica mtodos especficos para gestionar los riesgos en sus proyectos software. El riesgo implica dos Caractersticas fundamentales: Incertidumbre: El acontecimiento que caracteriza al riesgo puede o no puede ocurrir; por ejemplo, no hay riesgos de un 100 por ciento de probabilidad. Prdida: Si el riesgo se convierte en una realidad, ocurrirn consecuencias no deseadas o prdidas. Cuando se analizan los riesgos es importante cuantificar el nivel de incertidumbre y el grado de prdidas asociado con cada riesgo. Para hacerlo, se consideran diferentes categoras de riesgos. Los riesgos del proyecto amenazan al plan del proyecto. Es decir, si los riesgos del proyecto se hacen realidad, es probable que la planificacin temporal del proyecto se retrase y que los costos aumenten. Los riesgos del proyecto identifican los problemas potenciales de presupuesto, planificacin temporal, personal (asignacin y organizacin), recursos, cliente y requisitos y su impacto en un proyecto de software. Los riesgos tcnicos amenazan la calidad y la planificacin temporal del software que hay que producir. Si un riesgo tcnico se convierte en realidad, la implementacin puede llegar a ser difcil o imposible. Los riesgos tcnicos identifican problemas potenciales de diseo, implementacin, de interfaz, verificacin y de 3

mantenimiento. Adems las ambigedades de especificaciones, incertidumbre tcnica, tcnicas anticuadas y las "tecnologas punta" son tambin factores de riesgo. Los riesgos tcnicos ocurren porque el problema es ms difcil de resolver de lo que pensbamos. Los riesgos del negocio amenazan la viabilidad del software a construir Los riesgos del negocio a menudo ponen en peligro el proyecto o el producto . Los cinco principales riesgo del negocio: a) Construir un producto o sistema excelente que no quiere nadie en realidad (riesgo de mercado), b) Construir un producto que no encaja en la estrategia comercial general de la compaa (riesgo estratgico), c) Construir un producto que el departamento de ventas no sabe cmo vender d) Perder el apoyo de una gestin experta debido a cambios de enfoque o a cambios de personal (riesgo de direccin) e) Perder presupuesto o personal asignado (riesgos de presupuesto). Es extremadamente importante recalcar que no siempre funciona una categorizacin tan sencilla. Algunos riesgos son simplemente imposibles de predecir. Componentes y controladores del riesgo se definen de la siguiente manera: Riesgo de rendimiento: el grado de incertidumbre con el que el producto encontrar sus requerimientos y se adecue para su empleo pretendido. Riesgo de costo: El grado de incertidumbre que mantendr el presupuesto del proyecto. Riesgo de soporte: El grado de incertidumbre de la facilidad del software. para corregirse, adaptarse y ser mejorado. Riesgo de la planificacin temporal: El grado de incertidumbre con que se podr mantener la planificacin temporal y de que el producto se entregue a tiempo.

El impacto de cada controlador de riesgo en el componente de riesgo se divide en cuatro categoras de impacto: a) Despreciable b) Marginal c) Crtico d) Catastrfico Identificacin de riesgo La identificacin del riesgo es un intento sistemtico para especificar las amenazas al plan del proyecto (estimaciones, planificacin temporal, carga de recursos, entre otros). Identificando los riesgos conocidos y predecibles, el gestor del proyecto da un paso adelante para evitarlos cuando sea posible y controlarlos cuando sea necesario. Tamao del producto: riesgos asociados con el tamao general del software a construir o a modificar. Impacto en el negocio: riesgos asociados con las limitaciones impuestas por la gestin o por el mercado. Caractersticas del cliente: riesgos asociados con la sofisticacin del cliente y la habilidad del desarrollador para comunicarse con el cliente en los momentos oportunos. Definicin del proceso: riesgos asociados con el grado de definicin del proceso del software y su seguimiento por la organizacin de desarrollo. Entorno de desarrollo: riesgos asociados con la disponibilidad y calidad de las herramientas que se van a emplear en la construccin del producto. Tecnologa a construir: riesgos asociados con la complejidad del sistema a construir y la tecnologa punta que contiene el sistema.

 Tamao y experiencia de la plantilla: riesgos asociados con la experiencia tcnica y de proyectos de los ingenieros del software que van a realizar el trabajo

Posibles Riesgo de un Software

Las herramientas de evaluacin de riesgos ms comunes son las listas de control, que constituyen una herramienta muy til para identificar peligros. otras herramientas de evaluacin de riesgos cabe orientativos, manuales, folletos, mencionar: y guas, cuestionarios, Entre documentos

herramientas interactivas

(software interactivo, como programas especficos para determinados sectores). Respecto al entorno de desarrollo existen diferentes herramientas: Herramientas de gestin de proyecto

Herramientas de gestin del proceso de desarrollo Herramientas de anlisis y diseo Existen generadores de cdigos apropiados para la aplicacin Herramientas de pruebas Herramientas de gestin de configuracin

SE Risk SE Risk es la solucin definitiva para la administracin de riesgos corporativos y la mejora continua de los procesos de la gobernanza dando soporte para la identificacin de riesgos, reduciendo las prdidas y maximizando las oportunidades de gano de la organizacin, facilita la categorizacin del riesgo, tal como su evaluacin, a travs de herramientas de fcil aplicabilidad y visualizacin, proporcionando ms desempeo y eficacia en la prevencin y en el control de los riesgos identificados en los procesos empresariales. SE Risk permite una visin corporativa entre las reas de administracin de riesgo y controles internos, evidenciando cuales son los riesgos potenciales que pueden impedir la realizacin de los objetivos de la organizacin y permite tambin que los riesgos sean evaluados de tres maneras diferentes: cualitativa, cuantitativa y por matriz. Uno de los mayores diferenciales de la solucin es la capacidad de SE Risk encuadrarse perfectamente en todo y cualquier campo organizacional, o sea, la gestin de riesgos puede ser automatizada en proyectos, procesos, estrategias, seguridad del consumidor, activos y peligros. Los requisitos, conceptos y mtodos empleados por el sistema satisfacen plenamente los requisitos exigidos y establecidos por las principales normas y metodologas mundiales, como ISO 9000, ISO 14000, ISO 20000, ISO 22000, AS/NZS 4360, ITIL, PMBOK, COBIT, SOX, FDA, HACCP entre otras.

 Herramientas EAR Las herramientas EAR soportan el anlisis y la gestin de riesgos de un sistema de informacin siguiendo la metodologa Magerit, Los activos estn expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que est expuesto el sistema. Degradacin y frecuencia califican la vulnerabilidad del sistema. El gestor del sistema de informacin dispone de salvaguardas, que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantacin de estas salvaguardas, el sistema pasa a una nueva estimacin de riesgo que se denomina riesgo residual. PILAR Dispone de una biblioteca estndar de propsito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son: ISO/IEC 27002:2005 - Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin ENS - Esquema Nacional de Seguridad

Comprende cmo funciona el plan de gestin de riesgos . El riesgo es la probabilidad de sufrir un efecto (positivo o negativo) de un evento o una serie de eventos que tienen lugar en uno o muchos lugares. La probabilidad del riesgo depende del evento y el impacto que puede causar. (Riesgo = Probabilidad x Impacto). Hay que analizar varios factores como: Evento: Qu podra pasar? Probabilidad: Qu tan probable es que suceda? Impacto: Cun malo sera si ocurre? Mitigacin: Cmo se puede reducir la probabilidad (y qu tanto se puede reducir)? Contingencia: Cmo se puede reducir el impacto (y qu tanto se puede reducir)? Reduccin del riesgo = Mitigacin x Contingencia Exposicin al riesgo = Riesgo Reduccin Tras definir lo de arriba, el resultado ser aquello que llamamos exposicin. Es la cantidad de riesgo que no puedes evitar. Muchas veces es una frmula de costos contra beneficios. El riesgo asumido es si decides proceder. (Algunas veces, sin tener opcin, por ejemplo: Cambios federales obligatorios.) Pasos para una Gestin de Riesgo Define tu proyecto. En este artculo, supongamos que eres responsable de un sistema de computadoras que ofrece informacin importante (pero no fundamental para la vida) de una gran cantidad de poblacin. La computadora principal es vieja y tiene que ser sustituida. Tu tarea es hacer un plan de riesgo para la migracin del sistema.

10

 Consigue aportaciones de los dems. Junta a varias personas y piensen en qu podra pasar y cmo se podra prevenir en una tormenta de ideas. Toma muchas notas. Identifica las consecuencias de cada riesgo. Obtn informacin acerca de lo que podra pasar por medio de una tormenta de ideas. Asocia cada riesgo con las consecuencias que podran tener. Elimina los asuntos irrelevantes. Si te ests ocupando de un sistema de un concesionario no debes preocuparte de guerras nucleares o asteroides Haz una lista de los elementos de riesgo identificados . No necesitas ordenarlos por el momento Asigna la probabilidad. Para cada elemento de riesgo en tu lista, determina si las posibilidades de materializacin son altas, medias o bajas. Asigna el impacto. Asgnalo como alto, medio o bajo siguiendo las guas preestablecidas. Determina el riesgo del elemento. Muchas veces se usa una tabla para hacer esta tarea (S flexible en el anlisis) Clasifica los riesgos: Lista todos los elementos que hayas identificado de mayor a menor riesgo. Desarrolla estrategias de migracin. La migracin est diseada para reducir la probabilidad de que se materialice un riesgo. Normalmente slo tendrs que hacer esto para elementos de riesgo alto o medio. Desarrolla planes de contingencia. La contingencia est diseada para reducir el impacto de un riesgo. Analiza la efectividad de cada plan . Analizar las consecuencias de cada uno de los planes Vigila tus riesgos. Ahora que ya conoces tus riesgos, necesitas determinar cmo sabrs que se materializarn, as que ya ests preparado para poner las contingencias. Segn avance tu proyecto podrs ver si los riesgos se convierten en problemas.

11

Herramientas para la evaluacin de riesgos Existen muchas herramientas y metodologas disponibles para asistir a las empresas y organizaciones a evaluar los riesgos. La eleccin del mtodo depender de las condiciones de trabajo, como, por ejemplo, el nmero de trabajadores, el tipo de actividades y equipos de trabajo, las caractersticas particulares del lugar de trabajo y cualquier otro riesgo especfico. Las herramientas de evaluacin de riesgos ms comunes son las listas de control, que constituyen una herramienta muy til para identificar peligros. Entre otras herramientas de evaluacin de riesgos cabe mencionar: guas, documentos orientativos, manuales, folletos, cuestionarios, y herramientas interactivas (software interactivo gratuito, como programas especficos para determinados sectores).Estas herramientas pueden ser tanto genricas como especficas para una rama/riesgo. Plan de gestin de riesgo La Organizacin Empresa dedicada a la construccin de obras Departamento de informtica Riesgo de Informacin contempla los riesgos asociados a la informacin que soporta la gestin y operacin de la entidad, los reportes generados hacia el exterior o internamente, y el procesamiento interno de la informacin. Calidad de la informacin: Riegos relacionados con la confiabilidad, integridad y oportunidad de la informacin necesaria para la toma de decisiones. Manejo de la informacin: Riesgos derivados del uso de la informacin internamente de la empresa y la publicacin de la misma a entes externos.

12

Seguridad informtica: Relacionados con la disponibilidad, prdida, accesibilidad y tecnologas informticas. Objetivos de la implementacin de la Gestin de Riesgos. El objetivo primordial de la implementacin es el de ayudar a mejorar la gestin realizada por el Jefe, y as encaminarse al cumplimiento de las metas. Una planificacin eficaz para la prevencin debe desarrollar a travs de la identificacin, evaluacin, eliminacin y control de riesgo. Por tanto debe cubrir a los empleados lesiones, accidentes laborales, enfermedades, o la perdidas de equipo.

Una buena planificacin implica lo siguiente: 1.- identificacin y evaluacin de riesgo 2.-control de riesgo

13

3.- implantacin y mantenimientos de medidas de control 4.- valoracin de las actuaciones 5. peridicamente debe revisarse el lugar de trabajo Identificacin de los riesgos Mal manejo de la informacin con respecto al recurso humano de la entidad. - Filtracin de informacin interna.

Tarda entrega de la informacin - Llegar a la faena y no estar realizando necesaria para la revisin de una obra. los tems a revisar. - Prdida de recursos econmicos. Falta de personal idneo en el manejo - Prdida de la informacin que soporta de tecnologa informtica. los procesos de la Oficina Entrega errnea de informacin hacia - Prdida de la imagen de la oficina el exterior. provincial. - Reclamos de parte de los receptores de los distintos servicios entregados por la oficina provincial.

Aspectos claves de la gestin de riesgo: Poltica preventiva de la empresa: Es un compromiso de todos; su objetivo es proteger la seguridad y salud de todos los empleados, con la conviccin de que los accidentes de trabajo y enfermedades profesionales pueden y deben ser evitados. Para ello, adopta el principio de mejora permanente de la accin preventiva, que incluye, entre otras, las actividades de prevencin y proteccin de la salud, actuacin ante emergencias, adecuacin del trabajo a la persona, seleccin de equipos de trabajo y productos, coordinacin entre empresas y dems obligaciones recogidas en el marco normativo de prevencin. Organizacin preventiva:

14

Consiste en disear y establecer las actividades entre todas las personas que constituyen la organizacin, debe ser adecuada a las necesidades preventivas de la misma. La necesidad de realizar la evaluacin, su actualizacin preceptiva, las actividades de ejecucin y control de la planificacin preventiva, la necesidad de efectuar inspecciones peridicas de seguridad o de puntos crticos, la dispersin de los puestos o centros de trabajo son factores a considerar a la hora de analizar la adecuacin de la organizacin preventiva. En el supuesto de la actividad preventiva con un Servicio de Prevencin ajeno, debern analizarse en profundidad los trminos del concierto y el cumplimiento del mismo. Planificacin e implementacin Sirve para establecer los objetivos y mtodos para implantar la poltica de prevencin de riesgo que tiene como punto de partida la evaluacin de riesgo Revisin de actuaciones Para una gestin eficaz en prevencin de riesgo laborales es importante conocer los resultados y posibilitar una mejora, esto se logra mediante la auto comprobacin activa del rea de trabajo, de los instrumentos, equipos, procedimientos, sistemas empleados. Auditoria (control externo) Se refiere a la verificacin de s todo ocurre en una empresa conforme al programa adoptado, a las rdenes dadas y a los principios admitidos El control requiere la existencia de un objetivo y la aplicacin de unas medidas correctivas. Tiene como misin establecer si el plan de riesgo es el adecuado. La organizacin en materia de prevencin prepara el mejor modelo preventivo para la puesta en marcha de cualquier actividad, por esto es necesario implementar una cultura a todos los trabajadores en cuanto a la prevencin de riesgo. La parte ms importante de la incorporacin de la cultura de riesgo dentro de la entidad, es sin duda la de capacitar al personal sobre esta nueva gestin a implementarse, se deber capacitar en primera instancia, al equipo que trabajar directamente en el desarrollo de sta, cmo lo capacitaremos:

15

 Integrando dentro del Plan de Capacitacin cursos de Gestin de Riesgos y sus modelos a aplicar. En segunda instancia se debern realizar charlas para todo el personal Adems se debern incluir Talleres, por cada Departamento, con el fin de que cada funcionario pueda observar cmo se est llevando sus funciones y como segn ellos mismo podran mejorarlas. Monitoreo y Consulta. El monitoreo estar a cargo de la Unidad de Control Interno en conjunto con cada responsable de los diferentes Departamentos. La Unidad de Control Interno dentro de la funcin de asesorar que realizar, se encargar de comunicar luego el monitoreo y los hallazgos encontrados a los respectivos Departamentos y realizar las sugerencias para el mejoramiento y tratamiento de los riesgos detectados. Dentro de las actividades de monitoreo se realizarn reuniones peridicas en donde se autoevaluar el comportamiento del riesgo y s se han presentado nuevos riesgos dentro de la entidad que deban ser combatidos. sta autoevaluacin no debe estar pensada como el fin del proceso, sino que muy por el contrario, nos entregar informacin importante para reformular el tratamiento de riesgos detectados, agregar nuevas acciones para combatirlos y a su vez generar dentro de los diferentes Departamentos un ambiente de compromiso, y posibilitar a travs de la retroalimentacin el mejoramiento en el logro de los objetivos institucionales. Se debe sealar que el xito en el tiempo de la Gestin de Riesgos, depender de las revisiones y actualizaciones que se realicen a las metodologas, procesos, sistemas y conocimiento del personal.

16