ANALISIS DE RIESGO DE PROYECTOS INFORMATICOS ANALISIS DE RIESGO Este ensayo contiene material sobre cómo prevenir riesgos o cómo comportarse ante ellos

2011

DANIEL DISNAB

15/02/2011

2

INTRODUCCION

El análisis puede ser eficiente.

Sin embargo, el método para determinar qué controles de seguridad son convenientes y beneficiosos, es complicado y responde de gran manera. Una de las funciones principales del análisis de riesgos es poner un proceso en una base más ecuánime.

Los riesgos de seguridad de información deben ser tomados en cuenta en el negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, finanzas, entre otros y los clientes deben ser identificados para lograr una mejor imagen global y completa de estos riesgos.

La principal meta del análisis de riesgo debe ser resguardar a la compañía y su forma de vigilar su labor no tan solo la protección de los partes informáticas. El proceso no necesariamente debe de ser manipulado como una función.

El análisis de riesgo en proyectos informáticos es conveniente saber si hay controles que puedan ayudar a disminuir la posibilidad de error en el riesgo controlado, de no ser, vulnerable será de riesgo no controlado.

Mientras evaluamos el riesgo es adecuado realizar varias acciones: Calcular la señal o el golpe en caso de amenaza presente, a nivel de riesgo no solucionado como el riesgo solucionado y verificar el riesgo de tal manera que se pueda anticipar, esto se puede realizar de manera cuantitativa asignando pesos ó de manera cualitativa central de riesgos.

Podemos decir que el análisis de riesgo no solo nos sirve en proyectos informáticos si no en cualquier proyecto no importa cuál sea su objetivo.

ANALISIS DE RIESGO

Podemos manipular el análisis de riesgo para elegir de entre varias alternativas de desarrollo, o para encargarse de los riesgos asociados con una opción que se haya elegido

Al manipular el análisis la alternativa más factible es puesta en práctica el análisis tiene que ser exhaustivo y no tiene que dejar duda alguna al escogerlo por lo tanto el análisis es la parte fundamental de un proyecto para su desarrollo inmediato o de largo plazo.

ENFOQUE CUANTITATIVO DEL ANALISIS DE RIESGO

Este enfoque maneja dos dispositivos fundamentales, la probabilidad de que se origine un acontecimiento y la probabilidad desaparecida en caso de que ocurra el acontecimiento antes dicho.

El rumbo cuantitativo del análisis de riesgos informáticos se concentra en el uso de una sola cantidad causada a partir de ciertos elementos.

3

Los contratiempos con esta clase de análisis de riesgos son totalmente asociados con la equivocación y falta de desconfianza de los datos.

ENFOQUE CUALITATIVO DEL ANALISIS DE RIESGO

La sistemática más manejada para el análisis de riesgos. La perspectiva no es necesaria y tan solo se la utiliza como agente de cálculo la pérdida estimada.

El peligro es un conjunto de factores que pueden “salir mal”, las funciones que pueden “atacar”, la información de la realidad. Algunos peligros comunes a muchos lugares suelen ser el calor, el hurto, la trampa interna o el mal funcionamiento de componentes, entre otras cosas. El asunto es que los peligros están cada vez más cerca en nuestros procesos de negocio.

Son sensibles todos aquellos dispositivos que hacen a un sistema más atraído al ataque de un posible peligro o aquellos contextos en las que es más probable que un embate tenga cierto triunfo en los procesos de negocio de la organización.

EXPOSICION A RIESGOS

La exposición a riesgos o impacto de riesgo es semejante a la posibilidad de pérdida no esperada multiplicada por la cantidad de la perdida.

Todo proyecto sea o no informático está expuesto a riesgos por lo tanto hay que estar consciente de todos los posibles riesgos que pueden ocurrir dentro del proyecto que se vaya a realizar.

ESTIMACION DE LA MAGNITUD DE LA PÉRDIDA

En los casos en que el volumen de perdida no es fácil de valorar directamente, se puede dividir la pérdida en pérdidas más pequeñas en una valoración de la perdida.

Es decir tomar partes de la perdida completa para saber de qué o en que se sufrió esa perdida así se hará mas fácil la identificación y valoración de la perdida porque si se intenta valorar la perdida completa tal vez se nos haga más voluminosa de lo que en realidad es.

Aunque la perdida que estimamos no es como se esperaba por lo menos tendremos una referencia de la situación en la que nos encontramos así podremos poner en marcha las maniobras de defensa.

ESTIMACION DE LA PROBABILIDAD DE PÉRDIDA

Hay que disponer de la persona más adaptada con los sistemas también se puede usar técnicas de grupo o realizar analogías con apuestas otra manera es utilizando la evaluación mediante adjetivos.

La persona más adaptada con el sistema conoce los movimientos y las posibles pérdidas que se puedan dar en el proyecto.

4

Las técnicas de grupo también son otro punto de apoyo porque entre las personas que se encuentran conformando aquel grupo podemos divisar mejor los posibles riesgos y pérdidas y buscar soluciones anticipadas para contrarrestarlas.

Si utilizamos la evaluación mediante objetivos conforme van poniéndose en práctica los proyectos tenemos que ir evaluando para ir sabiendo en que puede haber o donde puede haber perdidas.

RETRASO TOTAL DEL PROYECTO Y MARGEN DE RETRASO

La capacidad del retraso total esperado permite aclarar el nivel global de riesgo del proyecto.

El margen de retraso es una manera de prevenir cualquier dificultad en el proyecto además puede ser utilizado para realizar modificaciones.

Muchas veces los proyectos se retrasan por diferentes factores ya sea porque los sistemas no se han terminado o porque se demoraron más de lo previsto en la fabricación del proyecto y por esas causas se toma el tiempo de prueba del proyecto y por lo tanto el proyecto es lanzado sin ser probado y de ahí surgen fallas y el proyecto se estanca.

Por esos motivos es necesario tener un margen de error es decir un tiempo en el cual se puedan prevenir estas situaciones y evitar que los proyectos fracasen.

PRIORIZACION DE RIESGO

La priorización de riesgos se realiza una vez que se haya creado una lista de riesgos de la planificación de forma que sepa donde centrar los esfuerzos.

La lista comienza antes de que el proyecto sea puesto en marcha para así tener una visión más certera en cuanto a las posibles amenazas o riesgos.

CONTROL DE RIESGO

Una vez que haya reconocido los riesgos del proyecto y examinado sus prioridades estamos preparados para controlarlos.

El control de riesgo es una función esencial del análisis ya que sin el control necesario los proyectos no se podrían completar.

Los riesgos son controlados para evitar la paralización del proyecto y evitar pérdidas económicas muy elevadas.

PLANIFICACION DE RIESGOS

La técnica de gestión de riesgos pueden ser tan natural descubriendo quien, que, cuando y como se tramita cada uno de los riesgos.

Al planificar los riesgos se debe preguntar “quien” puede realizarlo.

“Que” se puede hacer.

“cuando” se podrá presentar.

“como” podemos resolverlo.

5

Si nos preguntamos eso podremos tener una visión más clara para la clasificación y planificación de tales riesgos.

RESOLUCION DE RIESGOS

La resolución de un riesgo concreto depende del riesgo específico.

Para poder aplicar una resolución debemos tener en cuenta que hay que pensar bien y tener claro el proyecto.

Aquí unos consejos:

Evite el riesgo No realice actividades arriesgadas.

Traslade el riesgo de una parte del sistema a otra A veces lo que es un riesgo en una parte del proyecto no lo es en otra parte del proyecto por lo que puede ser enviado a otra parte.

Consiga información acerca del riesgo Si no conoce el verdadero peligro averígüelo.

Elimine el origen del riesgo Si el diseño de una parte del sistema es demasiado arriesgado, cambie la parte del sistema a un proyecto de investigación y elimínelo de la versión que se está desarrollando.

Asuma el riesgo Acepte que el riesgo puede ocurrir pero no piense demasiado en ello.

Comunique el riesgo Haga saber a la dirección al personal y a los clientes la presencia del riesgo y sus consecuencias por si llega a ocurrir no sea sorpresa.

Controle el riesgo Acepte que el riesgo puede ocurrir busque recursos extra prepare un tiempo adicional planifique.

Recuerde el riesgo Cree una recolección de planes de gestión de riesgo que pueda utilizar en proyectos futuros. MONITORIZACION DE RIESGOS Se necesita realizar monitorización para llevar un registro sobre los riesgos para comprobar si nuestro proyecto avanza o comprobar la aparición de nuevos riesgos. Para este monitoreo se realiza una lista de los 10 principales riesgos también contiene la posición del riesgo su posición anterior el número de veces que ha aparecido y como se ha tratado antes. Cabe aclarar que no es necesario tener en la lista 10 riesgos puedes colocar en ella los riesgos que se crea pueden ser 6, 4,8 o inclusive más de 10 la finalidad es tener el monitoreo de cada cosa que se pueda realizar. Así tener una base de las posibles amenazas y soluciones de los posibles riesgos.

6

COMPROBACIONES INTERMEDIAS Estas comprobaciones en muchos casos se los efectúan al final, porque puede favorecer para el próximo proyecto, pero lo más aconsejable es aplicarlo en el desarrollo del proyecto. Mientras el proyecto esté en marcha podemos anotar cada situación cada aspecto negativo o positivo para la implementación de estos aspectos en otro proyecto. ENCARGADO DE RIESGOS Es el trabajo de una sola persona, debe estar alerta sobre los riesgos del proyecto y evitar que sea ignorado en la planificación, en proyectos grandes el encargado puede ocupar todo su tiempo, la persona a cargo no deberá ser el administrador del proyecto. La persona encargada de esta labor tiene que estar concentrada en su puesto de trabajo ya que no se puede desobligar de él. RIESGO, ALTO RIESGO Y AZAR Algunos proyectos son arriesgados otros son muy arriesgados y otros son impensados es complicado hallar algún proyecto que no involucre riesgo alguno todo proyecto tiene su riesgo de fracasar pero si los riesgos son mínimos podemos trabajar en el con mucha rapidez hasta solucionar todos en un periodo de tiempo corto. El riesgo alto y el desarrollo rápido forman una combinación poco compatible ya que para los riesgos altos necesitamos más tiempo para su desarrollo pero hay veces que los proyectos son muy ambiciosos debido a la empresa y estos se ejecutan no importando la cantidad de riesgos que se presenten. Si se llega a estar a cargo de proyectos ambiciosos de altos riesgos habrá que informarse de la naturaleza de los mismos y poner al tanto a las personas que tengas a tu cargo que estas dispuesto a tomar el riesgo pero que tal vez no entregues a tiempo los resultados que se esperan una gestión de riesgos podrá ayudar a resolver mejor la situación con la que te has comprometido. Algunos proyectos se planifican tan agresivamente que caen en el azar.

7

REFERENCIAS BIBLIOGRAFICAS

Libro. Ingeniería de Software Autor: PH.D. Roger S. Pressman. Sexta edición Año de publicación: 2006 http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico http://www.monografias.com/trabajos14/riesgosinfor/riesgosinfor.shtml http://www.emagister.com/cursos-gratis/curso-gratis-analisis-riesgos-kwes-66.htm http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp

8

9

10