Trabajo Final

MANUAL DE RIESGOS Y CONTROLES PARA LA SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A.
- VIPSA 2004
ELABORADO POR: NORBERTO CASTAO URBINA JAIR PAUTH PALACIOS JORGE ELIECER DE LA HOZ EN EL AREA DE: DEONTOLOGA DE LA AUDITORIA DE SISTEMAS DOCENTE: ING. ALFONSO LPEZ FLREZ
ESPECIALIZACION EN AUDITORIA DE SISTEMAS CORPORACION UNVERSITARIA DE LA COSTA CUC BARRANQUILLA, OCTUBRE DE 2010
EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

2004 Procesos identificados de VIPSA 2004
1. Desarrollo de tecnologas
2. Soporte Tcnico 3. Centro de Gestin y monitoreo transito 4. Mesa de ayuda tecnolgica 5. Administracin de bodegas de almacenamiento de equipos 6. Administracin de laboratorio de pruebas de equipos de control de transito 7. Distribucin de versiones de software y hardware 8. Administracin de base de datos 9. Outsorcing en Telecomunicaciones 10. Administracin de red.
ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:
Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol
FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

2004 Procesos identificados en VIPSA 2004 Procesos seleccionados para la evaluacin de Riesgos y Controles: 1. 2. 3. 4. 5. 6. 7. 8. 9. Desarrollo de tecnologas Soporte Tcnico Centro de Gestin y monitoreo transito Mesa de ayuda tecnolgica Administracin de bodegas de almacenamiento de equipos Administracin de laboratorio de pruebas de equipos de control de transito Distribucin de versiones de software y hardware Administracin de base de datos Outsorcing en Telecomunicaciones Administracin de red.
10.
2004 Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1.) Desarrollo de tecnologas 1.1 1.2 1.3 1.4 1.5 1.6 Desarrollo de Software Diseo y mantenimiento de pagina web Diseo de equipos de control de transito Diseo de tarjetas electrnicas TIE Pruebas tester para hardware Pruebas tester para software

2004 Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Riesgos:
10.
11. 12. 13. 14. 15. 16. 17. 18.
19.
20. 21. 22. 23. 24. 25. 26. 27. 28.
Inadecuada recopilacin de requerimientos Falta de requisitos generales de la arquitectura de la aplicacin Incomprensin de los requisitos exigidos por el cliente Plazos muy cortos en la calendarizacin de entrega del software Desconocimiento del uso de la herramienta. Informacin incompleta de los requerimientos por parte del cliente Programas demasiados complejos Anlisis de requerimientos incorrectos Seleccin inadecuada de la plataforma Desarrollo orientado a la investigacin de nuevos algoritmos o tcnicas de procesamiento o de computacin. Falta de pruebas a prototipos Motivacin dbil por el proyecto. Insuficiente personal de desarrollo Falta de coordinacin del equipo de desarrollo Equipos de cmputos obsoletos Insatisfaccin de usuario final Falta de licencia uso Ausencia de capacitacin al personal de desarrollo Falta de participacin del usuario final Espacio inadecuado de trabajo Ausencia de manuales de usuario Ausencia de manuales del administrador Ausencia de diccionario de datos Falla del servicio energa Ausencia de equipo de respaldo Ausencia de copia de seguridad Errores en la captura de datos Interfaces poco amigables con el usuario

2004 Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Riesgos:
29. Ausencia del lder de desarrollo (Falta de un lder o promotor efectivo del proyecto que ejerza y
haga valer su autoridad para compromisos alcanzables. 30. Debilidad en la supervisin de las actividades de desarrollo 31. Inadecuado mantenimiento de los equipos 32. Cdigo mal documentado 33. Incendio en el rea de desarrollo 34. Inundacin en el rea de desarrollo 35. Falla de equipos de los equipos de respaldo. 36. Cambio inesperado de requerimientos 37. Plagio del software 38. Inadecuado dimensionamiento inicial de volumen de datos, impactando en la seleccin y adquisicin de la tecnologa de almacenamiento para su implementacin. 39. Migracin del personal tcnico durante el desarrollo. Que los programadores o analistas sean retirados de la empresa o asignados a otras reas o proyectos. 40. Nula o inadecuada capacitacin de los desarrolladores en las herramientas de ingeniera de software. Que el personal desarrollador no est capacitado en herramientas de ingeniera de software. 41. Inadecuada seleccin de profesionales informticos. Que los profesionales en informtica hallan sido seleccionados por recursos humanos, no teniendo en cuenta los criterios de conocimiento, experiencia en proyectos similares. 42. Inadecuada conformacin del equipo de desarrollo. Que en el equipo de desarrollo no est conformado por un grupo interdisciplinario de profesionales de la informtica, es decir analistas, programadores, diseadores, e ingenieros de software. 43. Inadecuada segregacin de funciones en la estructura del equipo de desarrollo. Que no se haga una buena segregacin de funciones en la estructura del equipo de desarrollo generando duplicidad de tareas y/o esfuerzos. 44. Inadecuada gestin de requerimientos y anlisis preliminar. Que se halla realizado un mal el levantamiento de requerimientos y preliminares. 45. Mdulos o aplicaciones del sistema informtico no satisfacen los requerimientos de los usuarios finales. Que las aplicaciones o mdulos del sistema no llenen las expectativas ni satisfagan las necesidades de los usuarios finales. 46. Resistencia al cambio por parte de los usuarios, produciendo debilidad en el diagnostico preliminar. La resistencia el cambio y el temor sobre las bondades del nuevo sistema, dificultan la realizacin el diagnostico preliminar y anlisis de sistema. 47 Fricciones entre desarrolladores y contrapartes usuarias. Que existan fricciones entre los desarrolladores y contrapartes usuarias, genera una defectuosa comunicacin y un pobre entendimiento de los requerimientos de los usuarios. 48. Inadecuada infraestructura fsica y tecnolgica en el rea de desarrollo. Que los profesionales integrantes del equipo de desarrollo no cuenten con las condiciones
ideales de trabajo ni la suficiente infraestructura tecnolgica para desarrollar asertivamente sus funciones. 49. Condiciones del medio ambiente de trabajo inadecuadas en el rea de desarrollo. Que el rea de desarrollo sea un sitio ruidoso o con hacinamiento de personas. 50. Inexistencia de contratos de soporte tcnico sobre la plataforma computacional de desarrollo. Que no existan contratos de soporte tcnico sobre la plataforma computacional de desarrollo y construccin del sistema. 51. Inadecuada presentacin del software. 52. Personal clave enfermo o no disponible en momentos crticos 53. No se puede construir un producto de tal envergadura en el tiempo asignado 54. El cliente no acepta el software entregado, incluso aunque cumpla todas sus especificaciones. 55. Terremoto 56. Inestabilidad en los equipos 57.Que el cliente termine con el proceso 58. Los clientes no comprenden el impacto de los cambios en los requerimientos 59. Entrega de software incompleto 60. Entrega de software con errores 61. Problemas financieros de la organizacin reducen el presupuesto del proyecto 62. Que el cliente se declare ilquido econmicamente 63. Empresa se declare en quiebra 64. Sobrepasar los lmites de los recursos asignados 65. Accidentes Laborales 66. Reubicacin geogrfica de la empresa 67. Sabotaje durante el proceso de desarrollo 68. inadecuado uso de los recursos 69. Inasistencia de la capacitacin por parte del personal de desarrollo 70. Hurto en las instalaciones en el rea de desarrollo 71. Requerimiento extras 72. Las partes del proyecto que no se han especificado claramente consumen ms tiempo del esperado. 73. El trabajo con un entorno hardware desconocido causa problemas imprevistos. 74. Los miembros del equipo no se implica en el proyecto, y por lo tanto no alcanzan el nivel de rendimiento deseado. 75. El personal necesita un tiempo extra para acostumbrarse a trabajar con herramientas o entornos nuevos. 76. La planificacin es demasiado mala para ajustarse a la velocidad de desarrollo deseada. 77. Los espacios no estn disponibles en el momento necesario. 77. Que no se de un proceso unificado en el software 78. Que tenga una inadecuada arquitectura de la informacin 79. La base de datos relacional no este bien estructurada (no constituye una base de datos, sino ms bien la forma en que est organizada) 80.
ELABORADO POR: REVISADO POR:
Norberto Castao Jair Pauth
FECHA: 22 de Octubre de 2010 FECHA:__________
SUPERVISADO POR: APROBADO POR:
Jorge De La Hoz Yuris Lozanol
FECHA:__________ FECHA:________

2004 Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Descripcin de Riesgos:
Riesgo o Vulnerabilidad 1. Inadecuada recopilacin de requerimientos Descripcin Que no se estn recopilando los requerimientos a travs de los medios o las tcnicas adecuadas, o no se est teniendo en cuenta la opinin de los diferentes stakeholders del proyecto, desde el responsable del rea a la cual se le est desarrollando el sistema hasta el usuario final para obtener los requerimientos ms completos posibles. La falta de requisitos generales en la arquitectura de la aplicacin, no permiten
2. Falta de requisitos
generales de la arquitectura de la aplicacin. 3. Incomprensin de los requisitos exigidos por el cliente
establecer un diseo de la estructura del sistema, que describa las partes que la integran, y las interacciones entre ellas.
El cliente no identifica claramente lo que quiere.
4.
Plazos muy cortos en la calendarizacin de entrega del software
Que se fijen fechas lmites irrealizables para la entrega de software, generando una inadecuada planificacin de tiempos de actividades.
5. Desconocimiento del uso de la herramienta
6.
Informacin incompleta de los requerimientos por parte del cliente
Que los integrantes del equipo de desarrollo tengan falencias en el uso de los lenguajes de programacin, DBMS y dems componentes seleccionados o idneos para el proyecto. Que el cliente no diga todo lo que quiere ni el analista sepa obtener esa informacin.
7. Programas demasiados complejos 8. Anlisis de requerimientos incorrectos 9. Seleccin inadecuada de la plataforma
Realizado el anlisis de requerimientos, el desarrollo del software implique programas demasiado complejos para el conocimiento del personal de desarrollo. Que para el anlisis y determinacin de requerimientos, no se realice Anticipacin de requerimientos, no se haga una investigacin de requerimientos, y no se especifiquen los requerimientos, por falta de habilidades y fundamentacin tcnica del personal de desarrollo. Inconveniente plataforma computacional de desarrollo y de produccin, ya sea porque no se tuvo en cuenta la plataforma existente en la empresa cliente o las nuevas tecnologas emergentes FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

2004 Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Descripcin de Riesgos:
Riesgo o Vulnerabilidad Descripcin
10. Desarrollo orientado a la investigacin de nuevos algoritmos o tcnicas de procesamiento o de computacin. 11. Falta de pruebas a prototipos 12. Motivacin dbil por el proyecto. 13. Insuficiente personal de desarrollo 14. Falta de coordinacin del equipo de desarrollo 15. Equipos de cmputos obsoletos 16. Insatisfaccin de usuario final 17. Falta de licencia de uso. 18. Ausencia de capacitacin al personal de desarrollo 19. Falta de participacin del usuario final 20. Espacio inadecuado de trabajo 21. Ausencia de manuales de usuario 22. Ausencia de manuales del administrador 23. Ausencia de diccionario de datos 24. Falla del servicio energa 25. Ausencia de equipos de respaldo 26. Ausencia de copia de seguridad
Que se deje de lado la informtica diseada por el desarrollo orientado a la investigacin o a la innovacin, puede ocasionar impredecibles resultados en la planificacin del proyecto. Que no se prueben adecuadamente los prototipos puede afectar el alcance de los resultados esperados en la evaluacin final de software. Que el personal desarrollador no tenga la suficiente motivacin, ya sea por tener salarios muy bajos o ausencia de estmulos adicionales. Que el equipo desarrollo sea muy reducido. Que el equipo de desarrollo no presenta armona entre s, y cada quien haga su trabajo por su cuenta sin llevar un orden y una gua determinada. Que los equipos de cmputo estn en mal en estado, y que tales equipos presenten averas, que su software o su hardware estn descontinuados. Que luego que el software este terminado y presentado al usuario final este considere que tal software no presenta todo lo necesario para llenar sus expectativas. Que los software utilizados no presenten las licencias necesarias para su normal funcionamiento Que las personas que trabajan en el departamento de desarrollo no son capacitados frecuentemente en las diferentes herramientas que utilizan para el desarrollo de software. Que el usuario final no participe en las pruebas del software antes de que este sea mostrado en su terminacin total. Que el lugar de trabajo donde est el equipo de desarrollo no est en las condiciones aptas para trabajar en ese sitio. Que una vez se haya terminado el software nadie del equipo de desarrollo le presente al usuario un manual que muestre como se maneja y que utilidades tiene el software. Que si el software es desarrollado tiene que ser administrado por otra persona diferente al desarrollador del software este no le d un manual para que este sepa cmo manejarlo. Que no se presente un diccionario con todo los significados de las palabras claves utilizados en el software. Que un momento determinado falte el fluido elctrico mientras se esta trabajando en desarrollo de un software Que no exista equipo de respaldo cuando haya fallo de energa con el fin de que estas copias adicionales puedan utilizarse para restaurar el original despus de una eventual prdida de datos con el fin de que estas copias adicionales puedan utilizarse para restaurar el original despus de una eventual prdida de datos Es la recoleccin de datos inexactos o ficticios, y que conlleva a la presentacin de informacin errnea. Define cmo interacta el ordenador y el usuario. Si se tienen en cuenta los factores humanos, el dilogo ser fluido y se establecer un ritmo entre el usuario y el programa. Es aquella persona encargada del debido proceso que no existe, y por lo tanto no hay coordinacin ni supervisin en los procesos en la elaboracin del software. Deficiencia en la supervisin de la calidad del trabajo por parte de las personas o entes encargados Que los encargados del rea de mantenimiento de los equipos laboren su trabajo en forma deficientes Que el programador no documente el pseudos-cdigo en forma ordenada Que por cualquier falla electrnica se propicie un incendio en el rea de desarrollo Que los equipos estn en partes vulnerables en las cuales tiendan a mojarse Por cualquier inconveniente en los equipos de trabajos se retrasa la ejecucin del trabajo, obligando al retraso en la entrega
27. Errores en la captura de datos 28. Interfaces poco amigables con el usuario 29. Ausencia del lder de desarrollo 30. Debilidad en la supervisin de las actividades de desarrollo 31. Inadecuado mantenimiento de los equipos 32. Cdigo mal documentado 33. Incendio en el rea de desarrollo 34. Inundacin en el rea de desarrollo 35. Falla de equipos de soportes
36. Cambio inesperado de requerimientos 37. Plagio del software 38. Inadecuado dimensionamiento inicial de volumen de datos. 39. Migracin del personal tcnico durante el desarrollo 40. Nula o inadecuada capacitacin de los desarrolladores en las herramientas de ingeniera de software 41. Inadecuada seleccin de profesionales informticos 42. Inadecuada conformacin del equipo de desarrollo 43. Inadecuada segregacin de funciones en la estructura del equipo de desarrollo 44. Inadecuada gestin de requerimientos y anlisis preliminar 45. Mdulos o aplicaciones del sistema informtico no satisfacen los requerimientos de los usuarios finales 46. Resistencia al cambio por parte de los usuarios, produciendo debilidad en el diagnostico preliminar 47. Fricciones entre desarrolladores y contrapartes usuarias 48. Inadecuada infraestructura fsica y tecnolgica en el rea de desarrollo 49. Condiciones del medio ambiente de trabajo inadecuadas en el rea de desarrollo. 50. Inexistencia de contratos de soporte tcnico sobre la plataforma computacional de desarrollo ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:
Que el usuario final ordene un servicio y a ltima hora, cambia la decisin, y ordena un nuevo servicio el cual no estaba presupuestado Robar los derecho de autora del producto El Inadecuado dimensionamiento inicial del volumen de datos impacta en la seleccin y adquisicin de la tecnologa de almacenamiento para su implementacin. Que los programadores o analistas sean retirados de la empresa o asignados a otras reas o proyectos. Que el personal desarrollador no est capacitado en herramientas de ingeniera de software. Que los profesionales en informtica hallan sido seleccionados por recursos humanos, no teniendo en cuenta los criterios de conocimiento, experiencia en proyectos similares. Que en el equipo de desarrollo no est conformado por un grupo interdisciplinario de profesionales de la informtica, es decir analistas, programadores, diseadores, e ingenieros de software. Que no se haga una buena segregacin de funciones en la estructura del equipo de desarrollo generando duplicidad de tareas y/o esfuerzos. Que se halla realizado un mal el levantamiento de requerimientos y preliminares. Que las aplicaciones o mdulos del sistema no llenen las expectativas ni satisfagan las necesidades de los usuarios finales. La resistencia el cambio y el temor sobre las bondades del nuevo sistema, dificultan la realizacin el diagnostico preliminar y anlisis de sistema. Fricciones entre desarrolladores y contrapartes usuarias. Que existan fricciones entre los desarrolladores y contrapartes usuarias, genera una defectuosa comunicacin y un pobre entendimiento de los requerimientos de los usuarios. Que los profesionales integrantes del equipo de desarrollo no cuenten con las condiciones ideales de trabajo ni la suficiente infraestructura tecnolgica para desarrollar asertivamente sus funciones Que el rea de desarrollo sea un sitio ruidoso o con hacinamiento de personas Que no existan contratos de soporte tcnico sobre la plataforma computacional de desarrollo y construccin del sistema.

2004
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Riesgo o Vulnerabilidad: Tabla de valoracin del nivel de riesgo
Probabilidad Casi Certeza Casi Certeza Casi Certeza Casi Certeza Probable Probable Probable Probable Probable Posible Posible Posible Posible Posible Improbable Improbable Improbable Improbable Raro Raro Raro Raro
Impacto Catastrfico Mayor Moderado Menor o insignificante Catastrfico Mayor Moderado Menor Insignificante Catastrfico Mayor Moderado Menor Insignificante Catastrfico Mayor Moderado Menor o insignificante Catastrfico Mayor Moderado Menor o insignificante
Nivel de riesgo Extremo Extremo Extremo Alto Extremo Extremo Alto Alto Moderado Extremo Extremo Alto Moderado Bajo Extremo Alto Moderado Bajo Alto Alto Moderado Bajo

2004 Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles:
1. Desarrollo de tecnologas 1.1 Desarrollo de Software Riesgo o Vulnerabilidad: Valoracin nivel de riesgo
No Riesgo o Vulnerabilidad 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:
Probabilidad de ocurrencia Posible Posible Posible Posible Probable Posible Posible Posible Improbable Improbable Posible Probable Posible Posible Improbable Posible Probable Posible Posible Probable Probable Probable Probable Posible Posible Casi Certeza Probable Posible posible Probable Probable Posible Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol
Consecuencia costo Mayor Mayor Mayor Mayor Mayor Mayor Menor Mayor Mayor Moderado Moderado Moderado Mayor Mayor Mayor Catastrfico Mayor Mayor Moderado Menor Moderado Moderado Moderado Moderado Catastrfico Catastrfico Mayor Moderado Catastrfico Mayor Mayor Menor
Nivel de Riesgo Absoluto Extremo Extremo Extremo Extremo Extremo Extremo Moderado Extremo Alto Moderado Alto Alto Extremo Extremo Alto Extremo Extremo Extremo Alto Alto Alto Alto Alto Alto Extremo Extremo Extremo Alto Extremo Extremo Extremo Moderado
Nueva Identificacin del Riesgo o Vulnerabilidad

2004 Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles:
1. Desarrollo de tecnologas 1.1 Desarrollo de Software Riesgo o Vulnerabilidad: Valoracin nivel de riesgo
No Riesgo o Vulnerabilidad 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50
Probabilidad de ocurrencia Posible Improbable Posible Posible Posible Posible Posible Probable Posible Posible Posible Probable Posible Posible Posible Posible Posible Posible
Consecuencia costo Catastrfico Catastrfico Mayor Mayor Mayor Mayor Mayor Moderado Moderado Mayor Moderado Catastrfico Mayor Mayor Mayor Mayor Moderado Mayor
Nivel de Riesgo Absoluto Extremo Extremo Extremo Extremo Extremo Extremo Extremo Alto Alto Extremo Alto Extremo Extremo Extremo Extremo Extremo Alto Extremo
Nueva Identificacin del Riesgo o Vulnerabilidad

2004 Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Lluvia o Universo de controles:
Cdigo Control 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50
Nombre del control Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Relaciones de amistad entre compaeros. Asignacin de un supervisor en el rea de desarrollo. Manual de primeros auxilios tecnolgicos. Mantenimiento preventivo de los equipos. Definicin de perfiles, conocimientos y habilidades para los cargos que componen el equipo de desarrollo. Reporte de Incidentes Actualizar los equipos Realizacin de comits de seguimiento. Calendarizacin de las actividades y/o fases de desarrollo. Capacitacin al usuario. Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento. Suficiente personal de desarrollo Implementacin de Polticas de Backup. Asignacin de responsabilidades en el equipo de trabajo. Soporte Tcnico de las plataformas de desarrollo. rea y ambiente de trabajo adecuado. Gestin de riesgos. Controles de acceso lgico. Desarrollo de manuales de usuarios. Documentacin del proyecto. Desarrollo del estudio de factibilidad. Sistemas de respaldo Formas para captura de datos Capacitacin en Diseo de Interface Capacitacin en relaciones Interpersonales Mtricas del software Definir y organizar el equipo de trabajo Asignacin de un lder de desarrollo. Informe de supervisin de las actividades de desarrollo Documentacin de cdigo fuente. Seguridades fsicas en el rea de desarrollo. Establecer canales de comunicacin Planes de Contingencia Legalizacin de los requerimientos iniciales del proyecto. Planificacin y seguimiento del Proyecto. Lista de chequeos del software instalado en los equipos de desarrollo. Motivacin al personal de desarrollo. Establecer lneas jerrquicas Entrega de reportes de las actividades adelantadas por el grupo de desarrollo. Implementacin de pruebas a prototipos. Desarrollo de prototipos. Evaluacin del software final. Monitoreo de las actividades del grupo de desarrollo. Participacin de los usuarios. Compra de nuevos equipos con tecnologas actuales Adquisicin de licencias Manuales del administrador de la base de datos Estandarizacin del desarrollo de software Formato Electrnico de satisfaccin al usuario
ELABORADO POR:
Norberto Castao
FECHA: 22 de Octubre de 2010
REVISADO POR: SUPERVISADO POR: APROBADO POR:
Jair Pauth Jorge De La Hoz Yuris Lozanol
FECHA:__________ FECHA:__________ FECHA:________

Control
1.
Capacitacin del personal de desarrollo en tcnicas y
Descripcin Se capacitara al personal de desarrollo para que tenga los conocimientos adecuados para el desarrollo de software
2.
herramientas de Ingeniera de Software. Relaciones de amistad entre compaeros. Asignacin de un supervisor en el rea de desarrollo. Manual de primeros auxilios tecnolgicos. Mantenimiento preventivo de los equipos. Definicin de perfiles, conocimientos y habilidades para los cargos que componen el equipo de desarrollo. Reporte de Incidentes
3. 4. 5. 6.
El grupo de trabajo deber entablar una buena comunicacin entre ellos para que el ambiente de trabajo sea ms agradable Asignar un supervisor para controlar el debido proceso que se debe llevar en el desarrollo del software Creacin de un manual de primeros auxilios tecnolgicos que permita seguir un protocolo en caso de dao tecnolgico Establecer una rutina de mantenimiento preventivo para garantizar el optimo rendimiento de los equipos Definir los perfiles, conocimientos y habilidades para los cargos del personal que componen el equipo de desarrollo
7. 8. 9.
Actualizar los equipos Realizacin de comits de seguimiento. 10. Calendarizacin de las actividades y/o fases de desarrollo.
Es un reporte que se presenta en un evento anormal en una actividad laboral y que conlleva un riesgo con el fin de que se retroalimente y no se vuelva a presentar Actualizar los equipos con el fin de que soporte las plataformas actuales Programar peridicamente una reunin con los lderes de desarrollo para establecer el rumbo del proyecto Planificar en el tiempo las actividades de desarrollo del software Dar al usuario una correcta capacitacin para que este pueda familiarizarse con el funcionamiento del software Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento para el cumplimiento de los objetivos esperados.
11. Capacitacin al
usuario. 12. Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento.
13. Suficiente personal de

desarrollo 14. Implementacin de Polticas de Backup.
Suficiente personal de desarrollo para que se haga una adecuada distribucin del trabajo Realizar copias de backup para evitar el retraso en el cumplimiento de los objetivos por perdida de informacin Se hace con el fin de asegurar las actividades recomendadas
15. Asignacin de
responsabilidades en el equipo de trabajo.
16. Soporte Tcnico de las

plataformas de desarrollo.
Garantizan el optimo funcionamiento de las plataformas de desarrollo
17. rea y ambiente de

trabajo adecuado. 18. Gestin de riesgos. 19. Controles de acceso lgico. 20. Desarrollo de manuales de usuarios. 21. Documentacin del proyecto. 22. Desarrollo del estudio de factibilidad. 23. Sistemas de respaldo 24. Formas para captura de datos 25. Capacitacin en
Se realiza con el fin de que el rea tenga un ambiente optimo y no se presenten fallas en los equipos de trabajos Gestin adecuada Para mitigar el impacto de los riesgos Controles de acceso lgico para proteger el software Es el desarrollo de guas para garantizar el mayor aprovechamiento del software Se utilizan para identificar ms fcilmente los aspectos y caractersticas que forman parte de un proyecto Se realiza para mirar la viabilidad del desarrollo del proyecto Implementacin de sistemas de respaldo que brinden autonoma a los equipos satisfactoriamente cuando las redes de alimentacin elctrica fallen Se utiliza para validar que las entradas de los datos sean las correctas Garantizan de que se van hacer unos buenos diseos de entradas y salidas de
Diseo de Interface 26. Capacitacin en relaciones Interpersonales 27. Mtricas del software 28. Definir y organizar el equipo de trabajo
software Busca garantizar la fluidez de la comunicacin y la sinergia del equipo de trabajo Permiten hacer monitorizar, controlar, predecir y probar el desarrollo del software medido en el esfuerzo Que en el rea de trabajo estn definidos los planes de trabajo para cada uno de los miembros del equipo de desarrollo Se encarga de planificar adecuadamente y de controlar el desarrollo de soluciones Garantizar por medio de informe que el supervisor este funciones cumpliendo con sus
29. Asignacin de un lder

de desarrollo. 30. Informe de supervisin de las actividades de desarrollo 31. Documentacin de cdigo fuente. 32. Seguridades fsicas en el rea de desarrollo. 33. Establecer canales de comunicacin 34. Planes de Contingencia 35. Legalizacin de los requerimientos iniciales del proyecto. 36. Planificacin y seguimiento del Proyecto. 37. Lista de chequeos del software instalado en los equipos de desarrollo. 38. Motivacin al personal de desarrollo. 39. Establecer lneas jerrquicas 40. Entrega de reportes de las actividades adelantadas por el grupo de desarrollo. 41. Implementacin de pruebas a prototipos. 42. Desarrollo de prototipos. 43. Evaluacin del software final. 44. Monitoreo de las actividades del grupo de desarrollo.
Permite guiar los procedimiento de los aplicativos facilitando su legibilidad Permite Controlar los acceso fsicos no autorizados en el rea de desarrollo, asegurar los equipos y el buen uso de los recursos establecer estrategias a seguir para la buena comunicacin entre los diferentes agente que intervienen en el desarrollo del software incluyendo los usuario Implementar planes de contingencia cuando las condiciones ideales no se dan Esto garantiza de que el usuario no va a cambiar los requerimientos iniciales sobre la marcha Trazar un plan a seguir para el logro de los objetivos del proyecto asindole un seguimiento adecuado a las etapas que debe seguir el proyecto en su desarrollo Permite verificar que los programas instalados en los equipos sean los permitidos
Tener al equipo motivado brindndole una estabilidad laborar, un salario adecuado y estimulndolo en el crecimiento formal de su profesin Permite a los miembros del equipo asumir responsabilidades Permiten hacerle seguimiento a las diferentes etapas de desarrollo
Desarrollar pruebas que permitan evaluar el alcance de los requerimiento en los prototipo Ir evaluando progresivamente los avances de los diferentes aplicativos o mdulos Asegurar que el software cumpla con las necesidades e ideas requeridas por el cliente Que cada uno de los miembros de desarrollo estn cumpliendo con las actividades encomendadas en los plazos estipulados Participacin del usuario para corregir y mejorar el software Adquisicin de equipos que estn a la vanguardia del mercado con las especificaciones actualmente utilizadas para s lograr un buen desempeo y soportar las diferentes plataformas que en ello van a correr Instalacin de software legal en el rea de desarrollo Asegura la gestin adecuada de la base de datos por parte del administrador Estandarizacin de cada uno de los procesos del programas para facilitar el seguimiento y la fase de interpretacin Permite identificar el grado de alcance de los requerimientos.
45. Participacin de los

usuarios. 46. Compra de nuevos equipos con tecnologas actuales
47. Licencias de software

48. Manuales del administrador de la base de datos
49. Estandarizacin del

desarrollo de software 50. Formato Electrnico de satisfaccin al usuario.

Cdigo Control Nombre del control Prev. Det. Corr.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50
Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Relaciones de amistad entre compaeros. Asignacin de un supervisor en el rea de desarrollo. Manual de primeros auxilios tecnolgicos. Mantenimiento preventivo de los equipos. Definicin de perfiles, conocimientos y habilidades para los cargos que componen el equipo de desarrollo. Reporte de Incidentes Actualizar los equipos Realizacin de comits de seguimiento. Calendarizacin de las actividades y/o fases de desarrollo. Capacitacin al usuario. Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento. Suficiente personal de desarrollo Implementacin de Polticas de Backup. Asignacin de responsabilidades en el equipo de trabajo. Soporte Tcnico de las plataformas de desarrollo. rea y ambiente de trabajo adecuado. Gestin de riesgos. Controles de acceso lgico. Desarrollo de manuales de usuarios. Documentacin del proyecto. Desarrollo del estudio de factibilidad. Sistemas de respaldo Formas para captura de datos Capacitacin en Diseo de Interface Capacitacin en relaciones Interpersonales Mtricas del software Definir y organizar el equipo de trabajo Asignacin de un lder de desarrollo. Informe de supervisin de las actividades de desarrollo Documentacin de cdigo fuente. Seguridades fsicas en el rea de desarrollo. Establecer canales de comunicacin Planes de Contingencia Legalizacin de los requerimientos iniciales del proyecto. Planificacin y seguimiento del Proyecto. Lista de chequeos del software instalado en los equipos de desarrollo. Motivacin al personal de desarrollo. Establecer lneas jerrquicas Entrega de reportes de las actividades adelantadas por el grupo de desarrollo. Implementacin de pruebas a prototipos. Desarrollo de prototipos. Evaluacin del software final. Monitoreo de las actividades del grupo de desarrollo. Participacin de los usuarios. Compra de nuevos equipos con tecnologas actuales Adquisicin de licencias Manuales del administrador de la base de datos Estandarizacin del desarrollo de software Formato Electrnico de satisfaccin al usuario.
X X X X X X X X X
X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X
X X X X X X
X X X
X X X X X X X X X X X X
X X X X
ELABORADO POR:
Norberto Castao
FECHA: 22 de Octubre de 2010
REVISADO POR: SUPERVISADO POR: APROBADO POR:
Jair Pauth Jorge De La Hoz Yuris Lozanol
FECHA:__________ FECHA:__________ FECHA:________
EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA 2004
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 4. Plazos muy cortos en la calendarizacin de entrega del software Calificacin nivel de riesgo: Extremo
Clasificacin de controles: Mezcla apropiada de controles
Cdigo Control
1 36 10 9 13 15 18 27 28 29 30 39 40 49 44
Nombre del control

Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Planificacin y seguimiento del Proyecto. Calendarizacin de las actividades y/o fases de desarrollo. Realizacin de comits de seguimiento. Suficiente personal de desarrollo Asignacin de responsabilidades en el equipo de trabajo. Gestin de riesgos. Mtricas del software Definir y organizar el equipo de trabajo Asignacin de un lder de desarrollo. Informe de supervisin de las actividades de desarrollo Establecer lneas jerrquicas Entrega de reportes de las actividades adelantadas por el grupo de desarrollo. Estandarizacin del desarrollo de software Monitoreo de las actividades del grupo de desarrollo.
Total puntos Promedio Clase: 1( P preventivo/D detectivo/ C correctivo) 2(D discrecional / N no discrecional) 3(V voluntario / O obligatorio) 4 (M manual / A automtico/S semiautomtico) Acta: E efecto / P probabilidad
Acta
Calificacin
3 3 3 1 3 3 3 2 3 3 2 3 2 3 2 39 39/15 = 2,60
1
P P P C P P P D P P D P D P D
2
N N N N N N N N N N N N N N N
3
V V V V V V V V V V V V V V V
4
S S M S M M S S M M M M M S A
P
X X X X X X X X X X X X X X X
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 16. Insatisfaccin de usuario final Calificacin nivel de riesgo: Extremo
Cdigo Control
1 11 12
Nombre del control

Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Capacitacin al usuario. Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento. Desarrollo de manuales de usuarios. Desarrollo del estudio de factibilidad. Formas para captura de datos Capacitacin en Diseo de Interface Establecer canales de comunicacin. Legalizacin de los requerimientos iniciales del proyecto. Implementacin de pruebas a prototipos. Desarrollo de prototipos. Evaluacin del software final. Participacin de los usuarios. Estandarizacin del desarrollo de software Formato Electrnico de satisfaccin al usuario
Acta
Calificacin
3 3 3
1
P P P
2
N N N
3
V V V
4
S S S
P
X X X
20 22 24 25 33 35 41 42 43 45 49 50
P P P P D P C P C D P P
N N N N N N N N N N N N
V V V V V V V V O V V V
M M M S S M A A M M M A X
X X X X X X X X X X X
3 3 3 3 2 3 1 3 1 2 3 3 39 39/15 =2,6
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 27. Errores en la captura de datos Calificacin nivel de riesgo: Extremo

Cdigo Control
Nombre del control
Acta
Calificacin
11 20 24 25 42 41 45
Capacitacin al usuario. Desarrollo de manuales de usuarios Formas para captura de datos Capacitacin en Diseo de Interface Desarrollo de prototipos. Implementacin de pruebas a prototipos. Participacin de los usuarios.
D P P P P C D
N N N N N N N
V V V V V V V
S M M S A S M
X X X X X X X
3 3 3 3 3 1 2 18 18/7 = 2,57
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 36. Cambio inesperado de requerimientos Calificacin nivel de riesgo: Extremo

Cdigo Control
1
Nombre del control

Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software.
Acta
Calificacin
3
1
P
2
N
3
V
4
S
P
X
12
21 22 33 35 36 41 42
Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento. Documentacin del proyecto. Desarrollo del estudio de factibilidad. Establecer canales de comunicacin Legalizacin de los requerimientos iniciales del proyecto. Planificacin y seguimiento del Proyecto. Implementacin de pruebas a prototipos. Desarrollo de prototipos.
C P D P P D P
N N N N N N N
V V V V V V V
M M S M M S S X
X X X X X X
1 3 2 3 3 2 3
23 23/9 = 2,55
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 44. Inadecuada gestin de requerimientos y anlisis preliminar Calificacin nivel de riesgo: Extremo

Cdigo Control
1
Nombre del control

Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software.
Acta
Calificacin
3
1
P
2
N
3
V
4
S
P
X
10 13 29 36 44 45 9 15 26 12
Calendarizacin de las actividades y/o fases de desarrollo. Suficiente personal de desarrollo Asignacin de un lder de desarrollo. Planificacin y seguimiento del Proyecto. Monitoreo de las actividades del grupo de desarrollo. Participacin de los usuarios. Realizacin de comits de seguimiento. Asignacin de responsabilidades en el equipo de trabajo. Capacitacin en relaciones Interpersonales Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento.
P P P P D P C P P P
N N N N N N N N N N
V V V V V V V V V V
M M M S M M S M M S
X X X X X X X X X X
3 3 3 3 2 3 1 3 3 3
30 30/11 = 2,72
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 4. Plazos muy cortos en la calendarizacin de entrega del software Calificacin nivel de riesgo: Extremo Clasificacin de controles: Mezcla apropiada de controles Seleccin de controles necesarios:
Evaluacin costo beneficio: Bajo

Cdigo de control Descripcin del control Costo / beneficio
1 36 10 9 13 15 18 27 28 29 30 39 40 49 44
Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Planificacin y seguimiento del Proyecto. Calendarizacin de las actividades y/o fases de desarrollo. Realizacin de comits de seguimiento. Suficiente personal de desarrollo Asignacin de responsabilidades en el equipo de trabajo. Gestin de riesgos. Mtricas del software Definir y organizar el equipo de trabajo Asignacin de un lder de desarrollo. Informe de supervisin de las actividades de desarrollo Establecer lneas jerrquicas Entrega de reportes de las actividades adelantadas por el grupo de desarrollo. Estandarizacin del desarrollo de software Monitoreo de las actividades del grupo de desarrollo.
Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 16. Insatisfaccin de usuario final Calificacin nivel de riesgo: Extremo Clasificacin de controles: Mezcla apropiada de controles Seleccin de controles necesarios:

Cdigo Descripcin del control Costo / beneficio
de control
1 11 12 20 22 24 25 33 35 41 42 43 45 49 50
Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Capacitacin al usuario. Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento. Desarrollo de manuales de usuarios. Desarrollo del estudio de factibilidad. Formas para captura de datos Capacitacin en Diseo de Interface Establecer canales de comunicacin. Legalizacin de los requerimientos iniciales del proyecto. Implementacin de pruebas a prototipos. Desarrollo de prototipos. Evaluacin del software final. Participacin de los usuarios. Estandarizacin del desarrollo de software Formato Electrnico de satisfaccin al usuario
Bajo Bajo Bajo Bajo Bajo Bajo Bajo Medio Bajo Bajo Bajo Bajo Bajo Bajo Bajo
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 27. Errores en la captura de datos Calificacin nivel de riesgo: Extremo Clasificacin de controles: Mezcla apropiada de controles Seleccin de controles necesarios:

Cdigo de control Descripcin del control Costo / beneficio
11 20 24 25 42 41 45
Capacitacin al usuario. Desarrollo de manuales de usuarios Formas para captura de datos Capacitacin en Diseo de Interface Desarrollo de prototipos. Implementacin de pruebas a prototipos. Participacin de los usuarios.
Bajo Bajo Bajo Bajo Bajo Bajo Bajo
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 36. Cambio inesperado de requerimientos Calificacin nivel de riesgo: Extremo Clasificacin de controles: Mezcla apropiada de controles Seleccin de controles necesarios:

Cdigo de control
1 12
Descripcin del control

Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento.
Costo / beneficio
Bajo Bajo
21 22 33 35 36 41 42
Documentacin del proyecto. Desarrollo del estudio de factibilidad. Establecer canales de comunicacin Legalizacin de los requerimientos iniciales del proyecto. Planificacin y seguimiento del Proyecto. Implementacin de pruebas a prototipos. Desarrollo de prototipos.
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 44. Inadecuada gestin de requerimientos y anlisis preliminar Calificacin nivel de riesgo: Extremo Clasificacin de controles: Mezcla apropiada de controles Seleccin de controles necesarios:

Cdigo de control
1 10 13 29
Descripcin del control

Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Calendarizacin de las actividades y/o fases de desarrollo. Suficiente personal de desarrollo Asignacin de un lder de desarrollo.
Costo / beneficio
Bajo Bajo Bajo Bajo
36 44 45 9 15 26 12
Planificacin y seguimiento del Proyecto. Monitoreo de las actividades del grupo de desarrollo. Participacin de los usuarios. Realizacin de comits de seguimiento. Asignacin de responsabilidades en el equipo de trabajo. Capacitacin en relaciones Interpersonales Capacitacin del personal de desarrollo en conocimiento y uso adecuado de las tcnicas de anlisis de requerimiento.
Procesos identificados en VIPSA 2004 Procesos seleccionados para la evaluacin de Riesgos y Controles 1. Desarrollo de Tecnologas 1.1. Desarrollo de Software No de riesgo o vulnerabilidad: 27. Errores en la captura de datos Responsable de la implementacin: NORBERTO CASTAO
Control No : 11 Capacitacin al usuario Objetivo especfico del Control: Capacitar al usuario en el uso adecuado del software, para minimizar el ingreso de datos errados al sistema. Instrucciones para la implementacin:
1. 2. 3. Convocar a los usuarios del sistema para realizar la capacitacin. Poner a interactuar al usuario con las interfaces del sistema. Indicar y mostrar la forma adecuada de interactuar con el sistema a travs de los diferentes mdulos. Indicar la forma correcta en que se deben ingresar los datos.
4.
Control No : 20 Desarrollo de manuales de usuario. Objetivo especfico del Control: Entregar un documento escrito o multimedial al usuario, en donde se detalla la forma como se debe operar e interactuar correctamente con el sistema para minimizar ingresos de datos errneos. Instrucciones para la implementacin:
1. 2. El Manual es desarrollado por el equipo de trabajo una vez se tienen listas la interfaces de entrada del software. El Manual es entregado al usuario.
Control No : 24 Formas para Captura de datos. Objetivo especfico del Control: Disear y elaborar plantillas, formularios, etc para asegurar el correcto ingreso de los datos al sistema. Instrucciones para la implementacin:
1.
2.
Se Disean las formas y/o formularios por el equipo de desarrollo. Se entregan al usuario, dependiendo el modulo del aplicativo o ente que la requiere para el validar el ingreso de informacin al sistema.
Control No : 25 Capacitacin en Diseo de Interface. Objetivo especfico del Control: Capacitar a uno o varios miembros del equipo de trabajo en el diseo y desarrollo de Interface, para que adquieran los conocimientos necesarios para disear interfaces que sean fciles de operar por el usuario, minimizando el ingreso de datos errados al sistema. Instrucciones para la implementacin:
1.
2.
Se contacta por los diferentes medios, a las Instituciones de Educacin que ofrezcan el programa requerido. Se escoge a los miembros del equipo de trabajo a participar de la capacitacin.
3. 4.
Realiza la Capacitacin. Pone en prctica lo aprendido y comparte sus conocimientos con los dems miembros del equipo.
Control No : 41 Implementacin de pruebas a prototipos. Objetivo especfico del Control: Una vez desarrollado el prototipo en base a los requerimientos preliminares, se disean y se programan las pruebas, tanto para los ingenieros test del equipo de trabajo, como para los usuarios de sistema. Instrucciones para la implementacin:
1. 2. Se desarrollan los prototipos. Se prueban por los ingenieros test del equipo de trabajo.
3. 4.
Se ponen a prueba con usuarios reales del sistema. Se corrigen las fallas encontradas.
Control No : 42 Desarrollo de Prototipos. Objetivo especfico del Control: Desarrollar prototipo en base a los requerimientos para evaluara el grado de satisfaccin de usuario, y aplicar mejoras para ir afinando el producto final. Instrucciones para la implementacin:
1. Desarrollar prototipo en base a los requerimientos para evaluara el grado de satisfaccin de usuario, y
aplicar mejoras para ir afinando el producto final.
Control No : 45 Participacin de Usuarios. Objetivo especfico del Control: Propiciar la participacin de usuarios para puntualizar requerimientos. Instrucciones para la implementacin: 1. A travs de las diferentes tcnicas para levantar requerimientos , se busca la participacin de los usuarios.
Procesos identificados del ACC Procesos seleccionados para la evaluacin de Riesgos y Controles 2. control de acceso lgico Clasificacin de controles: Mezcla apropiada de controles
Seleccin de controles necesarios:

No de Riesgo 4 16 27 36 44 Nivel de riesgo Cdigo Controles Necesarios 1P+36P+10P+9C+13P+15P+18P+27D+28P+29P+30D+39P40D+49P+44D 1P+11P+12P+20P+22P+24P+25P+33D+35P+41C+42P+43C+45D+49P+50P 11D+20P+24P+25P+42P+41C+45P 1P+12P+21C+22P+33D+35P+36P+41D+42P 1P+10P+13P+29P+36P+44D+45P+9C+15P+26P+12P Confiabilidad Apropiado Apropiado Apropiado Apropiado Apropiado
Probable Posible Probable Posible Probable
Procesos identificados en VIPSA 2004 Actividades del proceso seleccionado para la evaluacin de Riesgos y Controles: 1. Desarrollo de tecnologas 1.1 Desarrollo de Software Nuevo nmero de riesgo: 4. Plazos muy cortos en la calendarizacin de entrega del software Calificacin nivel de riesgo: Extremo

Cdigo Control
1 36 10 9 13 15 18 27 28
Nombre del control

Capacitacin del personal de desarrollo en tcnicas y herramientas de Ingeniera de Software. Planificacin y seguimiento del Proyecto. Calendarizacin de las actividades y/o fases de desarrollo. Realizacin de comits de seguimiento. Suficiente personal de desarrollo Asignacin de responsabilidades en el equipo de trabajo. Gestin de riesgos. Mtricas del software Definir y organizar el equipo de trabajo
Acta
Calificacin
3 3 3 1 3 3 3 2 3
1
P P P C P P P D P
2
N N N N N N N N N
3
V V V V V V V V V
4
S S M S M M S S M
P
X X X X X X X X X
29 30 39 40 49 44
Asignacin de un lder de desarrollo. Informe de supervisin de las actividades de desarrollo Establecer lneas jerrquicas Entrega de reportes de las actividades adelantadas por el grupo de desarrollo. Estandarizacin del desarrollo de software Monitoreo de las actividades del grupo de desarrollo.
P D P D P D
N N N N N N
V V V V V V
M M M M S A
X X X X X X
3 2 3 2 3 2 39 39/15 = 2,6

Trabajo Final

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Trabajo Final

Transféré par

Droits d'auteur :

Formats disponibles

MANUAL DE RIESGOS Y CONTROLES PARA LA SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A.

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:

Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol

FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:

Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol

FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:

Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol

FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:

Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol

FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

ELABORADO POR: REVISADO POR:

Norberto Castao Jair Pauth

FECHA: 22 de Octubre de 2010 FECHA:__________

SUPERVISADO POR: APROBADO POR:

Jorge De La Hoz Yuris Lozanol

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

generales de la arquitectura de la aplicacin. 3. Incomprensin de los requisitos exigidos por el cliente

El cliente no identifica claramente lo que quiere.

Plazos muy cortos en la calendarizacin de entrega del software

5. Desconocimiento del uso de la herramienta

Informacin incompleta de los requerimientos por parte del cliente

7. Programas demasiados complejos 8. Anlisis de requerimientos incorrectos 9. Seleccin inadecuada de la plataforma

ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:

Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol

FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:

Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol

FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

Nueva Identificacin del Riesgo o Vulnerabilidad

FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

Nueva Identificacin del Riesgo o Vulnerabilidad

ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:

Norberto Castao Jair Pauth Jorge De La Hoz Yuris Lozanol

FECHA: 22 de Octubre de 2010 FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

FECHA: 22 de Octubre de 2010

REVISADO POR: SUPERVISADO POR: APROBADO POR:

Jair Pauth Jorge De La Hoz Yuris Lozanol

FECHA:__________ FECHA:__________ FECHA:________

EMPRESA: SOCIEDAD CONCESIONARIA Y OPERADORA DE VAS Y PEAJES 2004 S.A. - VIPSA

Capacitacin del personal de desarrollo en tcnicas y

13. Suficiente personal de

16. Soporte Tcnico de las

Garantizan el optimo funcionamiento de las plataformas de desarrollo

17. rea y ambiente de

29. Asignacin de un lder

45. Participacin de los

47. Licencias de software

49. Estandarizacin del

ELABORADO POR: REVISADO POR: SUPERVISADO POR: APROBADO POR:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA:

FECHA: 22 de Octubre de 2010 FECHA: FECHA: FECHA: