Sulocion Taller Eje 4 Ingenieria de Sofware II.
Sulocion Taller Eje 4 Ingenieria de Sofware II.
Sulocion Taller Eje 4 Ingenieria de Sofware II.
Edison Barrero
Christian Gahona
Septiembre 2019
Presentado a:
Programa:
2019
Introducción
En este documento abarcamos algunos objetivos de la gestión de riesgos que a su vez nos
permiten identificar, controlar y eliminar la fuente de riesgo antes de que empiecen a afectar el
cumplimento de los objetivos del proyecto. Todo esto enfocado e un análisis en la gestión de
riesgos, que por medio de unos pasos ayuda al equipo a comprender y manejar la incertidumbre
1. Análisis.
1.1. Que el contenido de la planeación y propuesta no sea realmente definido por el equipo, sino
obligándonos desde el principio a identificar la manera correcta en que debemos organizar cada
La correcta planificación nos ayuda a establecer la prioridad de cada una de las actividades y a
tener un mejor control del tiempo para ejecutar un proyecto con la calidad deseada y con éxito.
Entonces, cuando hablamos de planificar podemos decir que se trata del conjunto de acciones
para establecer cada una de las actividades a realizar con el fin de lograr los objetivos planteados,
para mitigar el riesgo de que la planeación del proyecto no lo logré ser efectuado por fallas en la
estrategia planteada se deben dialogar las ideas con él equipo de profesionales, cliente y usuario
final manejando de manera conjunta las ideas principales para no comprometer al equipo a
realizar cambios improvisados que podrían perjudicar el desarrollo del software implicando
sobrecostos.
En algunos casos la definición del alcance (no cumple con lo solicitado por el usuario), no
cumple con el tiempo establecido (esto a su vez impacta sobre el costo del desarrollo el cual se
constante, el equipo de desarrollo no trabaja como debe de ser, se realizan modificaciones que no
son informadas a todos los interesados y provoco molestias, existen factores internos y/o
externos que provocan demora y no son tomados en cuenta, y la adquisición de productos y/o
los tiempos por cada fase, se deben definir los cronogramas de acuerdo a las definiciones de
alcance del mismo, mayor disponibilidad de tiempo para que en ello se logre la revisión y
mantenimiento de fallas, logrando obtener la calidad que se le promete al cliente. Se debe llegar
a un mutuo acuerdo con el cliente sobre los tiempos de desarrollo y entrega, dando claridad sobre
Para mitigar este riesgo es necesario que se logre tener una comunicación clara y fluida con el
usuario final a fin de que se le pueda dar a conocer su evaluación el software y se logre conocer
interfaces y mecánicas.
Para ello recomienda realizar conclusiones específicas cuya finalidad sea la realización de
oportuna, esto es proporcionada tan pronto como sea posible; equilibrada, es decir, que incluya
1.4. Usuarios finales que insisten en nuevos requerimientos a lo largo de todo el proyecto.
Cabe la posibilidad de que el usuario solicite cambios con nuevos requerimientos a lo largo del
la información de funcionalidad y alcance del desarrollo, se debe mitigar este riesgo definiendo
los requerimientos con claridad de la mano del usuario final ya que si hay cambios en medio del
Riesgos en implementación:
Virus Troyano.
Un caballo de Troya o troyano es un tipo de malware que a menudo se camufla como software
legítimo. Los ciber ladrones y los hackers pueden emplear los troyanos para intentar acceder a
los sistemas de los usuarios. Normalmente, algún tipo de ingeniería social engaña a los usuarios
para que carguen y ejecuten los troyanos en sus sistemas. Una vez activados, los troyanos
pueden permitir a los cibercriminales espiarte, robar tus datos confidenciales y obtener acceso
por una puerta trasera a tu sistema. Estas acciones pueden incluir las siguientes:
Eliminación de datos
Bloqueo de datos
Modificación de datos
Copia de datos
Posibles ataques:
Trojan-DDoS.
Estos programas realizan ataques DoS (denegación de servicio) contra una dirección web
específica. Mediante el envío de una gran cantidad de solicitudes (desde tu ordenador y otros
denegación de servicio.
Un troyano backdoor (de puerta trasera) proporciona el control remoto del ordenador infectado a
los ciberdelincuentes. Estos troyanos permiten al ciberdelincuente hacer todo lo que desee en el
ordenador infectado, como enviar, recibir, iniciar y eliminar archivos, mostrar datos y reiniciar el
ordenador. Los troyanos backdoor (de puerta trasera) a menudo se utilizan para unir un conjunto
de ordenadores infectados para formar un botnet o una red zombi que se puede utilizar con
objetivos delictivos.
Exploit.
Los exploits son programas que contienen datos o código que se aprovechan de una
Phishing .
El phishing es un método usado por los atacantes para suplantar la identidad de un usuario o de
una empresa mediante una comunicación electrónica (correo, mensajería instantánea, etc.), con
desviar el flujo de clientes, ingresos o búsquedas hacia un portal falso. Aunque focaliza sus
ataques a tiendas o portales de venta online, el phishing es también frecuente en sitios que
ofrecen servicios financieros o en aquellas webs que mantienen un flujo de crédito constante.
Una forma persistente de forzar la confusión del usuario es que se anuncia la aparición del sitio
Para evitar caer en este tipo de ataques, es importante verificar que el remitente de cualquier
correo electrónico se corresponda con la entidad a la cual dice pertenecer y que no contenga
letras o caracteres extraños. Otra forma de identificar estos sitios falsos es observar que en la
en nuestros e-mails.
1.5.1 Que el contenido de la planeación y propuesta no sea realmente definido por el equipo, sino
obligándonos desde el principio a identificar la manera correcta en que debemos organizar cada
La correcta planificación nos ayuda a establecer la prioridad de cada una de las actividades y a
tener un mejor control del tiempo para ejecutar un proyecto con la calidad deseada y con éxito.
Entonces, cuando hablamos de planificar podemos decir que se trata del conjunto de acciones
para establecer cada una de las actividades a realizar con el fin de lograr los objetivos planteados,
para mitigar el riesgo de que la planeación del proyecto no lo logré ser efectuado por fallas en la
estrategia planteada se deben dialogar las ideas con él equipo de profesionales, cliente y usuario
final manejando de manera conjunta las ideas principales para no comprometer al equipo a
realizar cambios improvisados que podrían perjudicar el desarrollo del software implicando
sobrecostos.
En algunos casos la definición del alcance (no cumple con lo solicitado por el usuario), no
cumple con el tiempo establecido (esto a su vez impacta sobre el costo del desarrollo el cual se
constante, el equipo de desarrollo no trabaja como debe de ser, se realizan modificaciones que
no son informadas a todos los interesados y provoco molestias, existen factores internos y/o
externos que provocan demora y no son tomados en cuenta, y la adquisición de productos y/o
los tiempos por cada fase, se deben definir los cronogramas de acuerdo a las definiciones de
alcance del mismo, mayor disponibilidad de tiempo para que en ello se logre la revisión y
mantenimiento de fallas, logrando obtener la calidad que se le promete al cliente. Se debe llegar
a un mutuo acuerdo con el cliente sobre los tiempos de desarrollo y entrega, dando claridad sobre
Para mitigar este riesgo es necesario que se logre tener una comunicación clara y fluida con el
usuario final a fin de que se le pueda dar a conocer su evaluación el software y se logre conocer
interfaces y mecánicas.
Para ello recomienda realizar conclusiones específicas cuya finalidad sea la realización de
Consiste en dejar que miembros del equipo de proyectos o expertos externos al proyecto
generen una lista de posibles riesgos bajo la supervisión del moderador de la reunión.
una herramienta de trabajo grupal que facilita el surgimiento de nuevas ideas sobre un tema o
problema determinado. La lluvia de ideas, es una técnica de grupo para generar ideas originales
en un ambiente relajado.
Esta herramienta fue creada en el año 1941, por Alex Osborne, cuando su búsqueda de ideas
creativas resulto en un proceso interactivo de grupo no estructurado que generaba mas y mejores
ideas que las que los individuos podían producir trabajando de forma independiente; dando
participantes.
¿Cuándo se utiliza?
Nos permite
Desarrollar la creatividad
¿Cómo se utiliza?
No se deben repetir
No se critican
El ejercicio termina cuando ya no existen nuevas ideas. Se analizan, evalúan y organizan las
mismas, para valorar su utilidad en función del objetivo que pretendía lograr con el empleo de
esta técnica.
Modo de uso.
asunto de discusión.
Escribir cada idea en el menor número de palabras posible.
Verificar con la persona que hizo la contribución cuando se esté repitiendo la idea.
Fomentar la creatividad.
Los miembros del grupo de “lluvia de ideas” y el facilitador nunca deben criticar
las ideas.
Tiene las mismas metas que la lluvia de ideas no estructurada. La diferencia consiste en
que cada miembro del equipo presenta sus ideas en un formato ordenado (ej: de
Es similar a la lluvia de ideas, los participantes piensan las ideas, pero registran en papel
sus ideas en silencio. Cada participante pone su hoja en la mesa y la cambia por otra hoja
de papel. Cada participante puede entonces agregar otras ideas relacionadas o pensar en
nuevas ideas. Este proceso continuo por cerca de 30 minutos y permite a los participantes
construir sobre las ideas de otros y evitar conflictos o intimidaciones por parte de los
miembros dominantes.
2.2. Juicio Experto: Técnica Delphi.
de tipo cualitativa.
se replantean a los expertos en una segunda vuelta con información de lo aportado por los demás,
sin revelar los nombres de los autores. Esto permite orientar la creación de ideas hacia la
Existen diferentes versiones de esta técnica; la forma más utilizada, organizada en cuatro pasos,
Es importante definir con precisión el campo de investigación. A partir de este paso se determina
el perfil de los expertos que deben ser consultados y se establecen las bases para la elaboración
específicos, a saber:
opiniones.
Los expertos deben tener un amplio dominio del tema sobre el que se realiza el estudio y
capacidad para elucubrar sobre el futuro. No importan sus credenciales académicas o su jerarquía
Los expertos deben ser independientes para evitar posibles sesgos en sus opiniones. Es bueno
conformar una selección de alrededor de 50 o más porque siempre hay bajas durante el tiempo de
anonimato.
comunicación en la que se aclaran las características del método para que todos sepan que se
producirán otras opiniones, que habrá más de una vuelta y que lo que se busca es un consenso.
consensuada generalmente no es posible en la primera consulta. Por otra parte, a veces los
La información procesada constituye el material para la segunda consulta. En esta etapa los
expertos son informados de los resultados de la primera consulta de preguntas y deben dar una
nueva opinión. En el caso de que su respuesta sea fuertemente divergente con respecto al grupo
Si se hace necesaria, en la tercera consulta se pide a cada experto comentar los argumentos de los
que no coinciden con la mayoría. Una cuarta vuelta de preguntas, generalmente conduce al
resultado.
El papel del equipo conductor es fundamental en procesar la información que se genera en las
convergente al final del desarrollo de las consultas sucesivas más algunos juicios divergentes a
otras.
Las limitaciones del método son fundamentalmente dos: el proceso puede ser exageradamente
largo y eventualmente costoso. Por otra parte, en su transcurso es normal perder importantes
miembros del panel de expertos lo que le hace reducir solidez a los resultados.
2.3. DAFO:
posible identificar los riesgos, y oportunidades potenciales que pueden afectar a nuestro
proyecto. El análisis DAFO, también conocido como análisis FODA, es una herramienta de
Es una herramienta para conocer la situación real en que se encuentra una organización, empresa,
Se considera que esta técnica fue originalmente propuesta por Albert S. Humphrey durante los
años sesenta y setenta en los Estados Unidos durante una investigación del Instituto de
Investigaciones de Stanford que tenía como objetivo descubrir por qué fallaba la planificación
corporativa. Este recurso produjo una revolución en el campo de la estrategia empresarial. El
objetivo del análisis DAFO es determinar las ventajas competitivas de la empresa bajo análisis y
la estrategia genérica que más le convenga en función de sus características propias y de las del
2.4. Entrevistas:
El director del proyecto se reúne los stakeholders, usuarios, o con diferentes personas con
jerárquica las diferentes fuentes de donde podrían surgir riesgos para un determinado
Ishikawa debido a su autor) es un método para crear y clasificar ideas o hipótesis sobre las
causas de un problema de manera gráfica. Además, organiza gran cantidad de datos mostrando
¿PARA QUÉ...?
El diagrama de causa-efecto presenta unas utilidades para determinar los factores involucrados
en un problema.
Se puede emplear tanto para la búsqueda de una causa como de una solución.
perfil requerido.
desarrollo.
destrucción de información
confidencial.
diseño.
proyecto es subestimada.
prototipos.
lógicos.
Tecnológica Falta de disponibilidad de servicios Alta Alta
de terceros.
ya que hay controles que se encuentran muy bien implementados y otros en cambio están por
trabajar.
En este punto se ha analizado la empresa desde el punto de vista de sus activos, cómo está
organizada, las amenazas y un análisis de riesgos donde se puede ver cómo afectan estas y el
impacto que tienen sobre la organización. En este apartado se evaluará hasta que punta la
empresa cumple con las buenas prácticas en materia de seguridad. Esto se hará utilizando como
Metodología.
La ISO/IEC 27002:2005 servirá como marco de control del estado de la seguridad. En total, la
ISO/IEC 27002:2005 agrupa 133 controles o medidas preventivas sobre “buenas prácticas” para
organizaciones.
Seguridad física.
Política de seguridad
Gestión de activos
Control de acceso
Gestión de incidentes
Cumplimiento
Como principales puntos a destacar por parte de la política de seguridad, esta debería:
información.
El otro objetivo principal de la política es llevar un control, revisándola a intervalos
Gestión de activos:
La gestión de activos no obtiene buenos resultados a nivel general, por tanto, la organización ha
de intentar enfocar sus esfuerzos en realizar una gestión de los activos más importante de manera
La seguridad de los recursos humanos está en líneas generales por encima del 50% del nivel
total, lo que es un nivel aceptable pero no suficiente como para no invertir esfuerzos en mejorar
este apartado.
en su función. Esta formación debería empezar con una inducción formal del proceso designado
para introducir la política de seguridad de la compañía y las expectativas. Otro punto a definir
son los procesos disciplinarios para empleados que cometan aperturas en la seguridad,
asegurándose que se reciba un correcto y justo tratamiento de los empleados por los hechos
ya que no es posible extraer material fuera de ella y los ordenadores que se desechan se realiza a
través de la fundación universitaria del area andina tiene un servicio para ello, por lo tanto, en
Controles de acceso:
actualizado y revisado periódicamente al respecto, por tanto es otro punto a implementar. Este
procedimiento debería documentar pautas de los empleados como mantener el escritorio limpio,
acceder a redes o sitios maliciosos que puedan comprometer los activos o información sensible.
detallen los requisitos que debe seguir la organización conjuntamente con la normativa de
seguridad vigente española para la gestión de los datos de carácter confidencial, para conseguir
organización, como:
deberá tener asignado un responsable que se encargue de verificar las alertas que se
Auditorías de seguridad.
Conclusión
La gestión del riesgo es crucial en el proyecto de software, el gestionar los riesgos implica
identificar todos los factores que pueden llevar el proyecto al fracaso. Si se tienen en cuenta o
se elabora los planes RSGR se podrá controlar de una forma adecuada los riesgos que pueden
afectar al proyecto.
Es necesario recordar que el plan RSGR debe revisarse conforme el proyecto avanza y a su
Referencia.
https://www.aulafacil.com/cursos/estrategia/prospectiva-y-gestion-estrategica/juicio-de-expertos-
metodo-delphi-l37803
https://es.slideshare.net/malupahu/gestion-de-riesgos-4696054
https://www.linkedin.com/pulse/los-100-riesgos-en-la-gesti%C3%B3n-de-proyectos-luciano-
moreira-da-cruz
https://www2.deloitte.com/cr/es/pages/risk/articles/cuales-fueron-los-riesgos-tecnologicos-en-
2017-y-que-se-espera-para-este-2018.html
https://www.aec.es/web/guest/centro-conocimiento/diagrama-de-causa-efecto