Factores de Calidad en Software

Sistemas de Informacin Administrativos

Aseguramiento de Calidad del Software

Conjunto de actividades y medios necesarios para definir e implantar un sistema de la calidad, por una parte, y responsabilizarse de su control, aseguramiento y mejora continua.

La produccin de software contina siendo una actividad con alta participacin de recursos humanos, cien por cien intelectual y en cierto sentido, sin insumos ni materias primas.

Existen criterios para evaluar la calidad del software?

Originalmente, la calidad de un programa o sistema se evaluaba de acuerdo al nmero de defectos por cada mil lneas de cdigo.

Hoy en da, el concepto moderno de calidad en software, requiere de una congruencia total entre los requerimientos y caractersticas del producto, para lograr una plena satisfaccin del usuario.
Ahora surgen componentes de la calidad tales como: Confiabilidad, soporte logstico, agilidad de respuesta, flexibilidad, facilidad de implementacin, integridad, consistencia, congruencia de diseo y producto, sencillez y dems.

Estas unidades son de relevancia a la actividad del usuario de informtica.

Ejemplos de stas son: El nmero de veces que no se pudo lograr una venta porque sus sistemas fallaron o la prdida de oportunidades de negocio por no contar con la informacin pertinente.

El nmero de veces que se pierde la comunicacin en un da o el tiempo que se requiere para levantar una base de datos.

Medida: Es la evaluacin de una variable de control.

Por ejemplo, una medida de un programa es el nmero de lneas de cdigo o el tiempo que tarda un usuario en manejar bien el programa.

Mtrica: Es la combinacin de dos medidas, las cuales conducen a la

evaluacin de una unidad de control.

Por ejemplo, el total de defectos sobre el nmero de lneas de cdigo es una mtrica de la calidad de programacin. Nmero de funciones de un programa sobre el tiempo promedio que toma a usuarios inexpertos el dominio del mismo. Asimilacin

 Que es ISO?
Normas emitidas por Organizacin Internacional para la Estandarizacin.

ISO estandariza los requerimientos especficos para productos, servicios, procesos, materiales y sistemas, y para una adecuada evaluacin gerencial y practica organizacional.
Los estndares ISO son diseados para ser implementados en todo el mundo

Un ciclo continuo de un programa de calidad son: El control de la calidad y la garanta de la calidad.

CALIDAD

METODOLOGA PARA LA EVALUACIN Y EL ANLISIS DE LOS ATRIBUTOS DE CALIDAD EN LOS PRODUCTOS DE SOFTWARE
CALIDAD: Satisfacer las necesidades de los clientes.

La importancia de medir la calidad de los sistemas radica en que todas las organizaciones requieren datos OBJETIVOS

Existen hoy en da muy pocas Industrias de Software que utilicen procesos evaluacin y anlisis.

de

La gran mayora de estudios estn enfocados a las actividades de administracin de los proyectos de desarrollo de software.

La evaluacin de la calidad del software ha evolucionado hacia modelos formales estadsticos que se basan en mtricas como fundamento para el aseguramiento, control y evaluacin de la calidad de un producto o proceso de software.

Grandes compaas como IBM, Hewlett Packard, Motorola y Siemens, entre otras, fundamentan su marco de produccin de software con un enfoque estadstico, lo cual las ha convertido en pioneras.

Lograr un alto nivel de calidad de un producto o servicio es el objetivo de la mayora de las organizaciones que desarrollan software.

La administracin de la calidad del software utiliza procedimientos y estndares durante el desarrollo del software, adems del correspondiente proceso que verifica que todo el personal siga estos estndares.

Algunos autores argumentan que un atributo de calidad puede contribuir a la obtencin de mejoras en el funcionamiento y operacin del software.

De acuerdo a la terminologa de la IEEE (Institute of electrical and electronics enginers), la calidad de un sistema, componente o proceso de desarrollo de software, se obtiene en funcin del cumplimiento de los requerimientos iniciales especificados por el cliente o usuario final.

IEEE: Instituto de Ingenieros Elctricos y Electrnicos. Organizacin para la estandarizacin de nuevas tecnologas.

Modelo de McCall Este modelo establece tres reas principales que intervienen en la calidad del software: 1. Calidad en la operacin del producto. Requiere que el software pueda ser entendido fcilmente, que opere eficientemente y que los resultados obtenidos sean los requeridos inicialmente por el usuario. 2. Revisin de la calidad del producto de software. Tiene como objetivo realizar revisiones durante el proceso de desarrollo para detectar los errores que afecten a la operacin del producto. 3. Calidad en el proceso. Requiere de la definicin de estndares y procedimientos que sirvan como base para el desarrollo del software.

Otro modelo que es importante es el de Boehm El modelo es de naturaleza jerrquica y los criterios de calidad se presentan en tres grandes divisiones. La primer divisin es hecha acorde a los servicios que el sistema ofrece (Portabilidad). La segunda se hace de acuerdo a la operacin del producto (Usabilidad). La tercera divisin se hace de acuerdo a la Mantenibilidad del producto de software.

Modelo de Boehm

Relacin Directa se benefician entre si

La confiabilidad de un sistema de computo es una propiedad que implica el grado de confianza esperado por parte del usuario en la operacin adecuada del sistema al utilizarlo. La Confiabilidad se ve afectada por cuatro aspectos fundamentales.
Disponibilidad. Define la probabilidad de que el sistema este funcionando en un tiempo determinado. Fiabilidad. Es la probabilidad de que el sistema funcione correctamente durante un intervalo de tiempo.

Seguridad. Representa la capacidad de que el sistema no afecte su entorno y el de quien lo utiliza.

Proteccin. Representa la capacidad del sistema para protegerse a si mismo de intrusiones accidentales o programadas.

Fiabilidad Seguridad Disponibilidad

Polticas de Seguridad Informtica: Mejores Practicas

La seguridad es tan vulnerable como el ms dbil de sus elementos. Annimo.

Modelo de Seguridad de la Informacin Un Modelo de Seguridad de la Informacin es un diseo formal que promueve consistentes y efectivos mecanismos para la definicin e implementacin de controles.

Los componentes deben estar dirigidos a identificar los niveles de riesgo presentes y las acciones que se deben implementar para reducirlos.

Modelo de Seguridad de la Informacin

OBJETIVO
Definir un marco conceptual apoyado en Polticas, Estndares y Procedimientos de Seguridad de la informacin que se adapten a la tecnologa utilizada para apoyar la actividad productiva, permitiendo otorgar flexibilidad y fluidez al negocio.

Modelo de Seguridad de la Informacin

PERSONAS

Procedimientos

TECNOLOGIA

Estndares

No se enfoca a tecnologas o infraestructura, sino aspectos organizativos, organizando la seguridad de la informacin.

CULTURA

Polticas

Modelo de Seguridad de la Informacin

Modelo de Seguridad de la Informacin

La seguridad de la informacin est compuesta por mas que tecnologa utilizada para solucionar problemas especficos o puntuales. Una adecuado modelo de seguridad debe incluir polticas, procedimientos y estndares definidos de acuerdo con las caractersticas del negocio. Se debe contar con un plan de concientizacin adecuadamente estructurado para la creacin de la cultura de seguridad en la organizacin. La seguridad de la informacin es tan buena como el nivel de entendimiento y capacitacin que el personal tengan de los riesgos reales y las formas de proteccin. Utilizar los recursos tecnolgicos necesarios como soporte para un adecuado respaldo de las polticas. Las mejores herramientas de seguridad son vulnerables si no existen polticas adecuadas que definan claramente su utilizacin.

Modelo de Seguridad de la Informacin

Un adecuado modelo de Seguridad Informtica esta basado en:

Polticas Slidas de Seguridad de la Informacin:

Mejores prcticas internacionales (BS ISO/ IEC 17799 - 27001)

Estndares de Calidad
Soporte Gerencial Divulgacin Capacitacin.

Modelo de Seguridad de la Informacin

Un adecuado modelo de Seguridad Informtica esta basado en:

Herramientas de proteccin: ltima Tecnologa Permanentemente Actualizadas Funcionando 7 X 24 X 365 Alta Capacidad de Respuesta

Modelo de Seguridad de la Informacin

Una adecuado modelo de Seguridad Informtica esta basado en:
Equipo de Trabajo: Altamente Calificado Certificado Disponible 7 X 24 X 365 Actualizado Permanentemente (Capacitacin) Enfoque nico y total en Seguridad y Administracin del riesgo

Polticas de Seguridad de la Informacin

No se trata de tener un libro

Se trata de contar con una metodologa

Polticas de Seguridad de la Informacin

Las polticas, proporcionan la fuente de instrucciones ms importante y ms frecuentemente referenciada que detalla cmo los trabajadores pueden proteger tanto la informacin como los sistemas que la contienen. Las polticas deben estar adecuadas a las circunstancias particulares de la organizacin (objetivos comerciales, requisitos legales, diseo organizacional, tica y buenas costumbres, nivel educativo del trabajador, tecnologa utilizada, etc.).

Es necesario conocer muy bien los factores de riesgo, mediante un Anlisis de Riesgos.

Polticas de Seguridad de la Informacin

Las polticas deben ser desarrolladas tomando como base la norma de debido cuidado profesional en Seguridad de la Informacion. Las polticas deben estar soportadas en mejores prcticas internacionales (ISO)

Polticas de Seguridad de la Informacin

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada.

El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.

Polticas de Seguridad de la Informacin

ISO 17799:2005 0 Introduccin 0.1 Qu es seguridad de la informacin? 0.2 Por qu es necesaria la seguridad de la informacin? 0.3 Cmo establecer los requerimientos de seguridad de la informacin. 0.4 Evaluando los riesgos de seguridad 0.5 Seleccionando Controles 0.6 Punto de partida en seguridad de la informacin 0.7 Factores crticos de xito 0.8 Desarrollo de lineamientos propios 1 Alcance 2 Trminos y Definiciones

3 Estructura del estndar 3.1 Clusulas 3.2 Principales categoras de seguridad

Polticas de Seguridad de la Informacin

ISO 17799:2005 4 Evaluacin y Tratamiento de Riesgos 4.1 Evaluacin de riesgos de seguridad 4.2 Tratamiento de riesgos de seguridad 5 Poltica de seguridad 5.1 Poltica de seguridad de la informacin 6 Organizacin de la seguridad de la informacin 6.1 Organizacin Interna 6.2 Terceras partes 7 Administracin de activos 7.1 Responsabilidades para activos 7.2 Clasificacin de la Informacin 8 Seguridad del Recurso Humano 8.1 Prioridad para Empleados 8.2 Durante el empleo 8.3 Terminacin o cambio de empleo

Polticas de Seguridad de la Informacin

ISO 17799:2005
9 Seguridad Fsica y Ambiental 9.1 reas seguras 9.2 Seguridad de los equipos 10 Administracin de comunicaciones y operaciones 10.1 Procedimientos y responsabilidades operacionales 10.2 Administracin de servicios a terceras partes 10.3 Planeamiento y aceptacin de sistemas 10.4 Proteccin contra cdigo malicioso 10.5 Copias de respaldo 10.6 Administracin de seguridad de la red 10.7 Administracin de medios 10.8 Intercambio de informacin 10.9 Servicios de comercio electrnico 10.10 Monitoreo

Polticas de Seguridad de la Informacin

ISO 17799:2005
11 Control de accesos 11.1 Requerimientos del negocio para control de accesos 11.2 Administracin de accesos de usuarios 11.3 Responsabilidades del Usuario 11.4 Control de accesos a la red 11.5 Control de accesos a sistema operacional 11.6 Control de accesos a aplicaciones e informacin 11.7 Computacin mvil y tele-trabajo 12 Adquisicin, desarrollo y mantenimiento de sistemas de informacin 12.1 Requerimientos de seguridad de los sistemas de informacin 12.2 Procesamiento adecuado en aplicaciones 12.3 Controles criptogrficos 12.4 Seguridad de los sistemas de archivos 12.5 Seguridad en los procesos de desarrollo y soporte 12.6 Administracin de vulnerabilidades tcnicas

Polticas de Seguridad de la Informacin

ISO 17799:2005 13 Administracin de incidentes de seguridad 13.1 Reporte de eventos y debilidades en seguridad de la informacin 13.2 Administracin de mejoras e incidentes en seguridad de la informacin 14 Administracin de Continuidad del Negocio 14.1 Aspectos de seguridad de la informacin para la continuidad del negocio 15 Cumplimiento 15.1 Cumplimiento con requerimientos legales 15.2 Cumplimiento con polticas y estndares de seguridad y requerimientos tcnicos 15.3 Consideraciones de auditoria en los sistemas de informacin

Polticas de Seguridad de la Informacin

Qu se busca con la Seguridad de la Informacin ?

La seguridad de la informacin se define como la preservacin de: Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a ella. Integridad: se salvaguarda la exactitud y totalidad de la informacin (confiabilidad) y los mtodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados cada vez que se requiera. Por su propia naturaleza, la seguridad de la informacin es multidisciplinaria, multi-departamental y crecientemente multi-organizacional.

Polticas de Seguridad de la Informacin

Que son las Polticas de Seguridad de la Informacin:

Las polticas son instrucciones gerenciales que trazan una direccin predeterminada o describen la manera de administrar o dar solucin a un problema o situacin. Las polticas son planteamientos de alto nivel que transmiten a los trabajadores la orientacin que necesitan para tomar decisiones presentes y futuras. Las polticas tambin pueden considerarse como reglas de negocio de obligatorio cumplimiento debido a que son el equivalente de una ley propia de la organizacin. Las polticas proporcionan objetivos amplios que slo se pueden cumplir si existen los controles adecuados.

Polticas de Seguridad de la Informacin Importancia de las Polticas de seguridad de la informacin Muestran a la gerencia los verdaderos requerimientos de seguridad; Cultura organizacional. Enfocar la atencin del trabajador en lo esencial. Evitar disputas internas. Coordinar las actividades para mantener la seguridad de manera continua. Definir los lmites de las acciones que se pueden permitir. Controlar con anticipacin los eventos relativos a la seguridad. Aumenta la probabilidad de que las cosas se harn de manera correcta la primera vez. Coordinar actividades de grupos internos y externos (Otras organizaciones). Costos ms bajos mediante la normalizacin de los controles. Cumplir con las obligaciones contractuales y responsabilidades legales.

Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. El sistema se integra con otros sistemas de gestin (ISO). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Proporciona confianza y reglas claras a las personas de la organizacin. Reduce costes y mejora los procesos y servicio. Aumenta la motivacin y satisfaccin del personal. Seguridad garantizada en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

Polticas de Seguridad de la Informacin Objetivos Motivacionales de las Polticas de Seguridad de la Informacin

Responsabilidad de la gerencia para la proteccin y conservacin de los activos de la organizacin.

Cubrimiento de riesgos relacionados con requerimientos legales, sabotaje, terrorismo, fraude, estafa, y extorsin, espionaje industrial, errores y omisiones, interrupciones del servicio, robo de equipos y violacin de la privacidad.
Cubrimiento de riesgos relacionados con interrupciones de los negocios, decisiones gerenciales, imagen de la organizacin, desventajas competitivas, prdida o destruccin de activos, mantenimiento impropio de registros y sanciones. Implementar el Principio de Autocontrol, en toda la organizacin.

Polticas de Seguridad de la Informacin Objetivos Operacionales Cubrimiento de riesgos relacionados con procesos clave del negocio. Familiarizar a los trabajadores con los riesgos en seguridad de la informacin. Descripcin de las responsabilidades y deberes del trabajador. Facilitar la toma de decisiones en materia de seguridad de la informacin. Proporcionar directrices efectivas, controles adecuados y lineamientos de verificacin continua de estos controles. Proporcionar direccin y apoyo gerencial demostrando su compromiso con respecto a la seguridad de la informacin. Coordinar esfuerzos de los distintos grupos de trabajo para proteger de forma consistente los recursos informticos, sin importar su ubicacin o forma. Proporcionar orientacin al proceso de auditora de la seguridad.

Polticas de Seguridad de la Informacin Factores Crticos del xito: Gestin de Riesgos cubriendo todos los componentes internos y externos, la naturaleza de los sistemas, las actividades empresariales y las leyes locales. Identificar todos los terceros involucrados (Clientes / Usuarios / Proveedores / Socios de negocio / Otras Organizaciones / Gobierno). Identificar todos los activos informticos.

Polticas desarrolladas segn los objetivos de negocio y segn la cultura organizacional.

Apoyo y compromiso manifiestos por parte de la gerencia.

Participacin integral a travs de equipos multidisciplinarios.

Casos

Polticas de Seguridad de la Informacin

Plan de Concientizacin: Informar y recordar regularmente las obligaciones con respecto a la seguridad de la informacin a empleados y dems personal vinculado.

La caracterstica principal del proceso de concientizacin es la difusin del Modelo de Seguridad por diferentes medios de comunicacin al interior de la empresa, partiendo de un conocimiento bsico de Seguridad Informtica hasta lograr la adopcin y asimilacin de componentes del modelo de seguridad (polticas, estndares y procedimientos).

Polticas de Seguridad de la Informacin

Ciclo de Administracin de las Polticas:

2. Desarrollo: Equipos de trabajo

3. Publicacin

4. Educacin: Aceptacin de Polticas 1. Creacin: Soporte en Mejores Practicas 5. Cumplimiento:

Indicadores de Cumplimiento

Polticas de Seguridad de la Informacin

Factores Crticos del xito:

Un claro entendimiento de los requerimientos de seguridad.

Sistema de medicin para evaluar el desempeo de la gestin de la seguridad. Disponibilidad de recursos.

Polticas de Seguridad de la Informacin

Pasos para el Desarrollo de Polticas:

Recopilacin de material de referencia

Descripcin Direccionamiento Estratgico de la Organizacin. Arquitectura de los sistemas de informacin. Naturaleza de la informacin (Confidencial, Valiosa, critica). SI NO

Evaluaciones de Riesgos.
Requerimientos legales. Historial de perdidas. Polticas actuales.

Polticas de Seguridad de la Informacin

Pasos para el Desarrollo de Polticas:

Definicin de un marco de referencia

Descripcin SI NO

Lista de tpicos a cubrir (ISO). Forma de documentacin.

Metodologa de divulgacin (Cultura en la organizacin) Lenguaje a utilizar. Definicin del nivel de detalle.

Polticas de Seguridad de la Informacin

Pasos para el Desarrollo de Polticas:

Matriz de cobertura
Audiencia Gerencia Computadores xxx Comunic. xxx Gestin Riesgo Seg Fsica. xxx xxx

Clientes

xxx

xxx

xxx

xxx

Socios de Neg.

xxx

xxx

xxx

xxx

Polticas de Seguridad de la Informacin

Pasos para el Desarrollo de Polticas: Estructuracin de los procesos de creacin, revisin, aprobacin y cumplimiento. Descripcin Estructuracin de Equipos de Trabajo. Metodologa de Colaboracin (Redaccin y Revisin) Formas de Aprobacin SI NO

Mecanismos para asegurar el cumplimiento

Polticas de Seguridad de la Informacin

Pasos para el Desarrollo de Polticas: Cronograma de desarrollo.

Pre - Requisitos 1.- Responsable de emitir y hacer cumplir las polticas. 2.- Reconocimiento de la informacin como un ACTIVO. 3.- Evaluacin de gran alcance de riesgos en seguridad inf.

SI

NO

Polticas de Seguridad de la Informacin

Pasos para el Desarrollo de Polticas: Cronograma de desarrollo. Pasos 1.- Determinacin de la cantidad adecuada de polticas. 2.- Determinacin de la longitud de cada poltica. 3.- Definicin del proceso iterativo de desarrollo. 4.- Definicin de la tabla de contenido. 5.- Cuales temas atender primero. SI NO

Polticas de Seguridad de la Informacin Pasos para el Desarrollo de Polticas: Definicin de objetivos y alcance.

Descripcin Objetivos Motivacionales Objetivos operacionales Alcance

SI

NO

Polticas de Seguridad de la Informacin Pasos para el desarrollo de Polticas: Adquisicin, desarrollo y mantenimiento de sistemas.

Descripcin Grupos de Usuarios y Niveles de acceso

SI

NO

Frecuencia de acceso.
Tipo de Control de acceso.

Actividades a ser monitoreadas.