30/04/2013

ASIGNATURA GESTION DE PROYECTOS INFORMATICOS

Departamento de Informtica y Computacin Facultad de Ingeniera 2012-II INGENIERA CIVIL EN COMPUTACIN m/ INFORMTICA
Oscar Magna V.
Civil Engineering on Computer Science & MBA Dr (c) in Business Management and Administration Technological Metropolitan University Santiago of Chile omagna@utem.cl, osemav@gmail.com http://omagna.tripod.com (56-2) 787.7211 C H I L E.

GESTION DE PROYECTOS INFORMATICOS

INF 75500 / 411

DEPTO. DE INFORMTICA Y COMPUTACIN UNIVERSIDAD TECNOLGICA METROPOLITANA

SLIDES 5
-2-

OMV GPI / INF 7500 / 411- UTEM

GESTIN DE RIESGOS DE PROYECTOS:

GESTIN DE RIESGOS DE PROYECTOS:

OMV GPI / INF 7500 / 411- UTEM

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

RIESGO

La probable frecuencia y probable magnitud de prdidas futuras.

RIESGO

El riesgo es un potencial de problemas Se debe evitar que una amenaza explote una vulnerabilidad existente Conocidos los riesgos, se deben mitigar

RIESGO para la ISO 27002

Administracin del Riesgo

Todo proyecto tiene riesgos, Por qu se dejan de lado?
Cuestan ms de lo presupuestado! Abrieron un par de aos ms tarde! No cumplen con los objetivos esperados! Resultados negativos!

Los requerimientos de seguridad se identifican mediante una evaluacin metdica de los riesgos de seguridad. El proceso de evaluacin de riesgo debe identificar, cuantificar y priorizar los riesgos en comparacin con el nivel de riesgo aceptable y los objetivos relevantes para la organizacin. El gasto en controles debiera ser equilibrado con el dao probable. Los resultados de la evaluacin del riesgo ayudarn a:

Guiar y determinar las prioridades de las acciones para manejar los riesgos, Implementar los controles seleccionados para protegerse contra esos riesgos.

La evaluacin del riesgo se debiera repetir peridicamente.

Consecuencias del fracaso

Aversin al riesgo

Aversin a participar en este tipo de proyectos

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

Conceptos Bsicos
Incertidumbre de ocurrencia del evento. se conoce la probabilidad Riesgo de ocurrencia del evento.
Impacto del Riesgo Se busca establecer el impacto que el evento riesgoso ocasionar sobre el proyecto =>
NO se conoce la probabilidad

Valor Esperado
Se calcula el valor esperado en funcin de los distintos escenarios posibles de un riesgo. Valor esperado = Prob. de ocurrencia x Impacto

Ventajas del mtodo del valor esperado

TI EM PO S

No existe ambigedad en el anlisis (clculos aritmticos). El modelo ser confiable dado la fiabilidad de las variables de entrada del modelo.

ST CO OS

CALIDAD

ALCANCE

Actitud frente al Riesgo

Perfil de Riesgo
Amantes al Riesgo Adversos al Riesgo

Metodologas de evaluacin de riesgos

Metodologa de Evaluacin de Riesgo Seleccin de mbitos e identificacin de activos Asociacin de amenazas y vulnerabilidades a activos Ejecucin de la evaluacin de riesgos Plan de tratamiento de riesgos

El individuo aceptar juegos justos y otros en los que las chances de ganar sean menores a las de un juego justo.

Preferencia por jugar seguro, Se elige un proyecto seguro ante otro ms inseguro.

No todos reaccionamos igual frente a un mismo riesgo

Juego Justo: Deja al jugador en un valor de beneficio

esperado igual a CERO.

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

Marco Referencial

Estrategias frente al Riesgo

Reactivas
Mtodo Evaluar las consecuencias del riesgo cuando este ya se ha producido (ya no es un riesgo) Actuar en consecuencia. Consecuencias Se pone en peligro el proyecto.

Nacional

CAIGG NCh-ISO27005.Of2009

Gestin del riesgo de seguridad de la informacin

Internacional

ISO 31000:2009

Principles and Guidelines on Implementation Risk Management - Risk Assessment Techniques Risk Management - Vocabulary

ISO/IEC 31010:2009

ISO Guide 73:2009

Proactivas
Mtodo Evaluacin previa y sistemtica de riesgos. Evaluacin de consecuencias. Plan de evitacin y minimizacin de consecuencias. Plan de contingencias. Consecuencias Evasin del riesgo. Menor tiempo de reaccin.

Riesgos en Ingeniera del Software

Incertidumbre.

Prdidas. Producto Proceso de produccin

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

Riesgos del proyecto.

Identificacin de los Riesgos

Grupos de riesgos.

Categoras
Relacionados con el tamao del producto. Con el impacto en la organizacin. Con el tiempo del cliente. Con la estrategia de produccin. Con el entorno de desarrollo. Con la tecnologa. Con la experiencia del equipo.

Genricos. Comunes en todos los proyectos. Especficos. Implican un conocimiento profundo del proyecto.

Riesgos Tcnicos Riesgos del Negocio.

Riesgo de los Stakeholders

Stakeholder
Clientes Proveedores Inversores Bancos Administrador Equipo de trabajo Ciudadanos Gobierno

Riesgos del Propietario

Riesgos asociados
No les guste el producto final

Rol
Comprar producto final

Riesgo

Consecuencia

Entregar bs. intermedios No entregar en tiempo y forma Financiar el proyecto Financiar el proyecto Coordinacin general Implementacin Evitar daos ecolgicos Fijar las reglas de juego No desembolsar los recursos Quiebra el Banco Falta de liderazgo Falta de comunicacin Demandar a la empresa Cambiar las normativas legales

Falta de Especializacin

Mayor Tiempo, costos adicionales (duplicacin). No cumple la mnima calidad aceptable. Deficiente labor de los trabajadores al no ser controlados, esto significa mayor costo, tiempo y problemas de calidad.

Falta de Conocimientos Tcnicos Falta de Tiempo

Se evaluarn los riesgos del proyecto Riesgos del proyecto pueden ser oportunidades para otros

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

Riesgos del Contratista Asociados con el tamao del producto.

Riesgo Consecuencia

Subvaluar los costos reales

Pedir fondos adicionales, para finalizar las tareas pendientes. Problemas al propietario. Conocimiento externo de la informacin privada de la empresa.

Abandono de tareas No respetar las clusulas de confidencialidad

Tamao estimado del proyecto. Confianza en la estimacin. Nmero de programas, archivos y transacciones. Tamao relativo al resto del proyecto. Tamao de la base de datos. Nmero de usuarios. Nmero de cambios en los requerimientos. Cantidad de software reutilizado.

Impacto en la organizacin

Relacionados con el cliente

Efecto del producto en la cifra de ventas. Fecha lmite de entrega razonable. Nmero de clientes que usarn el producto. Nmero de productos con los que deber interaccionar. Sofisticacin del usuario final. Cantidad y calidad de la documentacin a entregar al cliente. Lmites legales y gubernamentales. Costes asociados al retraso en la entrega. Costes asociados

Tiene una idea clara de lo que precisa. Est dispuesto a dedicar tiempo en la especificacin formal de requerimientos. Est dispuesto a participar en las revisiones. Es un usuario experto. Dejar trabajar al equipo de desarrollo sin dar consejos de experto informtico. Entiende el ciclo de vida de una aplicacin.

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

Riesgos del proceso de produccin

Riesgos del proceso de produccin (cont)

Hay una poltica clara de normalizacin y seguimiento de una metodologa. Existe una metodologa escrita para el proyecto. Se ha utilizado en otros proyectos. Estn los gestores y desarrolladores formados. Todos conocen los estndares. Existen plantillas y modelos para todos los documentos resultado del proceso. Se aplican revisiones tcnicas de la especificacin de requerimientos, diseo y codificacin. Se aplican revisiones tcnicas de los procedimientos de revisin y prueba. Se documenta suficientemente cada subcontrato.

Se dispone de tcnicas de especificacin de aplicaciones para facilitar la comunicacin con el cliente. Se usan mtodos especficos para anlisis de software. Se utiliza un mtodo especfico para el diseo arquitectnico y de datos. Se disponen mtricas de calidad para todos los proyectos de software. Se disponen de mtricas de productividad.

Riesgos tecnolgicos

Identificacin de riesgos
Respecto al entorno de desarrollo: Hay herramientas de gestor de proyectos Hay herramientas de gestin del proceso de desarrollo Hay herramientas de anlisis y diseo Hay generadores de cdigo apropiados para la aplicacin Hay herramientas de pruebas apropiadas Hay herramientas de gestin de configuracin apropiadas Se hace uso de una base de datos o repositorio centralizado Estn todas las herramientas de desarrollo integradas Se ha proporcionado formacin a todos los miembros del equipo de desarrollo Hay expertos a los cuales solicitar ayuda acerca de las herramientas Hay ayuda en lnea y documentacin disponible

Se trata de una tecnologa nueva en la organizacin. Se requieren nueva tecnologa de E/S. Se debe interactuar con software que no ha sido probado. Es requerida una interface de usuario especializada. Se necesitan componentes de programa radicalmente diferentes a los hasta ahora desarrollados. Se aplican requisitos de rendimiento especialmente estrictos. Existen dudas de que el proyecto des realizable.

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

Identificacin de riesgos
Asociados al equipo y la experiencia: Es el mejor personal disponible Tienen los miembros las tcnicas apropiadas Hay suficiente gente disponible Est el personal comprometido con toda la duracin del proyecto Habr parte del personal dedicado solamente a parte del proyecto Tiene el personal las expectativas correctas del trabajo Tiene el personal la necesaria formacin Puede la rotacin del personal perjudicar el proceso de desarrollo

Componentes del riesgo

Se identifican 4 componentes de riesgo en un proyecto de por ejemplo, software: Rendimiento Costo Mantenibilidad Planificacin Tras identificar los factores de riesgo, es necesario averiguar a qu componentes del riesgo afectan y en qu medida: Despreciable Marginal Crtica Catastrfica

Modelo de Clculo de Riesgo

Estimacin de la Probabilidad

Porcentual

0% a 100% Alta Media Baja

Cualitativa

RIESGO

Probabilidad

Impacto

CAIGG

Combinacin de la probabilidad de un evento y su ocurrencia (ISO/IEC Gua 73:2002)

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

Estimacin del Impacto

Modelo de Clculo de Riesgo

Porcentual Segn valor del activo

( 0% a 100% ) x Valor del Activo Alta Media Baja

Cualitativa

CAIGG

RIESGO

Amenaza

Vulnerabilidad

Impacto

Modelo ICSA.net

Modelo Pragmtico de Riesgo

Riesgo = Amenaza * Vulnerabilidad * Impacto

Modelo Pragmtico de Riesgo

Riesgo = Amenaza * Vulnerabilidad * Impacto

SI

Amenaza Alta, Media, Baja 3,2,1 Vulnerabilidad Alta, Media, Baja 3,2,1 Impacto Alto, Medio, Bajo 3,2,1 Riesgo (3x3x3) ... (1x1x1) 27 ... 1

La probabilidad de ocurrencia del impacto est dado por la contemporaneidad entre una determinada amenaza y la existencia de una vulnerabilidad explotable.

ENTONCES

Riesgo = probabilidad * Impacto

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

30/04/2013

Modelo de Clculo de Riesgo

Factores del Riesgo Frecuencia de la Prdida
Frecuencia de la amenaza
Tiempo de Contacto Accin del atacante

Riesgo Aceptable
Impacto
Impacto Secundario

Vulnerabilidad

Impacto Primario

Fortaleza de los controles

Capacidad de la Amenaza

Segn Activo

Segn Amenaza

Segn Organizacin

Factores Externos

Deteccin Legal y Regulatorio Competidores

Competencia

No Programada Programada

Sensitividad

Reputacin Competitivida d Compliance

Modelo FAIR: Factor Analysis of Information Risk

Recuperacin

Remediacin

Uso indebido

Modificacin

Divulgacin

Contencin

nica vez

Peridica

General

Acceso

DoS

Accionistas

Tiempo Debido Cuidado Respuesta

Deteccin

Esfuerzo Sancin / Pena

Criticidad

Accin Interna / Externa

Beneficio

Costo

Medio

Evaluacin y Gestin de Riesgo TI

P09 Planear y Organizar

Ciclo de Mitigacin de Riesgos

Agente de la amenaza
Activa Puede explotar

Crear y Mantener un marco de trabajo en la Gestin de Riesgos, para:

Documentar las estrategias consensuadas Documentar un nivel de riesgos TI comn y acordado, estrategias de mitigacin as como riesgos residuales. Identificar, analizar y evaluar cualquier impacto potencial sobre las metas de la organizacin, causado por un acontecimiento imprevisto. Estrategias de mitigacin de riesgos para reducir el riesgo residual a un nivel aceptable. El resultado de la evaluacin debe ser comprensible para las partes interesadas y se expresa en trminos financieros, para permitirles alinear el riesgo a un nivel aceptable de tolerancia.

Amenaza
Interviene directamente Evidencia

Vulnerabilidad RIESGO
Puede ser contrarrestado

Proteccin

Activo Exposicin
Representa una

Puede Daar

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

10

30/04/2013

Gestin de Riesgos (ISO 31000)

Gestin de Riesgos

http://www.iso27000.es/sgsi.html#section2d

Objetivo de Evaluacin de Riesgo Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organizacin.

Control
Normativa, proceso o tecnologa que permite contrarrestar el riesgo de la organizacin mejorando la prevencin, deteccin o respuesta frente a determinada amenaza, vulnerabilidad o impacto.

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

11

30/04/2013

Gestin, Monitorizacin y Mitigacin de Riesgos (RMMM)

Evitacin del riesgo

Objetivo: Marcar las estrategias y formas de actuar del equipo de trabajo frente a los riesgos:

Cmo evitarlos Cmo monitorizarlos Cmo gestionarlos y plan de contingencia

Definir las estrategias necesarias para evitar que el riesgo Tomar las medidas encaminadas para que, an cuando se produzca, se minimicen sus efectos

Gestin del riesgo y plan de contingencia

Monitorizacin del riesgo

Definir los indicadores que influyen en la probabilidad de que el riesgo se produzca Monitorizar peridicamente dichos factores Monitorizar la efectividad real de las acciones encaminadas a evitar el riesgo

Se asume la prevencin y monitorizacin han fallado Se definen las estrategias y acciones a tomar para evitar que los efectos se minimicen Nunca ser posible reducir a cero el coste del plan de contingencia

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

12

30/04/2013

Plan de Mitigacin

Plan RMMM

Conjunto jerarquizado de controles de mitigacin, indexado a los procesos de negocio y al riesgo que mitigan y agrupados como Productos o Proyectos Especficos. Muchas veces es el principal aporte al Plan de Seguridad. Conforma la P, del ciclo PDCA de Mejora continua.
Plan Plan

Introduccin

mbito y propsito del documento Descripcin de los riegos principales Responsabilidades

Do Do Act Act

Tabla de evaluacin de riesgos

Descripcin de los riesgos considerados Factores que influyen en la probabilidad

Check Check

RMMM

Riesgo X

Evitacin

Estrategias, pasos para mitigar riesgo Factores y modo Plan de contingencia

Fuentes:

Monitorizacin

1. Gestin de Riesgo. Unidad de Modernizacin y Gobierno Electrnico Ministerio Secretara General de la Presidencia. Gobierno de Chile

Gestin

Planificacin

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

13

30/04/2013

GESTIN DE RIESGOS DE PROYECTOS:

La Gestin de los Riesgos del Proyecto incluye los procesos relacionados con llevar a cabo la planificacin de la gestin, la identificacin, el anlisis, la planificacin de respuesta a los riesgos, as como su monitoreo y control en un proyecto. Los objetivos de la Gestin de los Riesgos del Proyecto son aumentar la probabilidad y el impacto de eventos positivos, y disminuir la probabilidad y el impacto de eventos negativos para el proyecto. El Grfico 11-1 brinda una descripcin general de los procesos de Gestin de los Riesgos del Proyecto, a saber: 11.1 Planificar la Gestin de RiesgosEs el proceso por el cual se define cmo realizar las actividades de gestin de los riesgos para un proyecto. 11.2 Identificar los RiesgosEs el proceso por el cual se determinan los riesgos que pueden afectar el proyecto y se documentan sus caractersticas. 11.3 Realizar el Anlisis Cualitativo de RiesgosEs el proceso que consiste en priorizar los riesgos para realizar otros anlisis o acciones posteriores, evaluando y combinando la probabilidad de ocurrencia y el impacto de dichos riesgos. 11.4 Realizar el Anlisis Cuantitativo de RiesgosEs el proceso que consiste en analizar numricamente el efecto de los riesgos identificados sobre los objetivos generales del proyecto. 11.5 Planificar la Respuesta a los RiesgosEs el proceso por el cual se desarrollan opciones y acciones para mejorar las oportunidades y reducir las amenazas a los objetivos del proyecto. 11.6 Monitorear y Controlar los RiesgosEs el proceso por el cual se implementan planes de respuesta a los riesgos, se rastrean los riesgos identificados, se monitorean los riesgos residuales, se identifican nuevos riesgos y se evala la efectividad del proceso contra riesgos a travs del proyecto.
OMV GPI / INF 7500 / 411- UTEM

GESTIN DE RIESGOS DE PROYECTOS:

53

OMV GPI / INF 7500 / 411- UTEM

54

GESTIN DE RIESGOS DE PROYECTOS:

OMV GPI / INF 7500 / 411- UTEM

55

OMV- GPI. UTEM 2012-I - Dept. Comp. e Inf.

14