Académique Documents
Professionnel Documents
Culture Documents
La produccin de software contina siendo una actividad con alta participacin de recursos humanos, cien por cien intelectual y en cierto sentido, sin insumos ni materias primas.
Hoy en da, el concepto moderno de calidad en software, requiere de una congruencia total entre los requerimientos y caractersticas del producto, para lograr una plena satisfaccin del usuario.
Ahora surgen componentes de la calidad tales como: Confiabilidad, soporte logstico, agilidad de respuesta, flexibilidad, facilidad de implementacin, integridad, consistencia, congruencia de diseo y producto, sencillez y dems.
El nmero de veces que se pierde la comunicacin en un da o el tiempo que se requiere para levantar una base de datos.
Por ejemplo, el total de defectos sobre el nmero de lneas de cdigo es una mtrica de la calidad de programacin. Nmero de funciones de un programa sobre el tiempo promedio que toma a usuarios inexpertos el dominio del mismo. Asimilacin
Que es ISO?
Normas emitidas por Organizacin Internacional para la Estandarizacin.
ISO estandariza los requerimientos especficos para productos, servicios, procesos, materiales y sistemas, y para una adecuada evaluacin gerencial y practica organizacional.
Los estndares ISO son diseados para ser implementados en todo el mundo
CALIDAD
METODOLOGA PARA LA EVALUACIN Y EL ANLISIS DE LOS ATRIBUTOS DE CALIDAD EN LOS PRODUCTOS DE SOFTWARE
CALIDAD: Satisfacer las necesidades de los clientes.
La importancia de medir la calidad de los sistemas radica en que todas las organizaciones requieren datos OBJETIVOS
Existen hoy en da muy pocas Industrias de Software que utilicen procesos evaluacin y anlisis.
de
La gran mayora de estudios estn enfocados a las actividades de administracin de los proyectos de desarrollo de software.
La evaluacin de la calidad del software ha evolucionado hacia modelos formales estadsticos que se basan en mtricas como fundamento para el aseguramiento, control y evaluacin de la calidad de un producto o proceso de software.
Grandes compaas como IBM, Hewlett Packard, Motorola y Siemens, entre otras, fundamentan su marco de produccin de software con un enfoque estadstico, lo cual las ha convertido en pioneras.
Lograr un alto nivel de calidad de un producto o servicio es el objetivo de la mayora de las organizaciones que desarrollan software.
La administracin de la calidad del software utiliza procedimientos y estndares durante el desarrollo del software, adems del correspondiente proceso que verifica que todo el personal siga estos estndares.
Algunos autores argumentan que un atributo de calidad puede contribuir a la obtencin de mejoras en el funcionamiento y operacin del software.
De acuerdo a la terminologa de la IEEE (Institute of electrical and electronics enginers), la calidad de un sistema, componente o proceso de desarrollo de software, se obtiene en funcin del cumplimiento de los requerimientos iniciales especificados por el cliente o usuario final.
IEEE: Instituto de Ingenieros Elctricos y Electrnicos. Organizacin para la estandarizacin de nuevas tecnologas.
Modelo de McCall Este modelo establece tres reas principales que intervienen en la calidad del software: 1. Calidad en la operacin del producto. Requiere que el software pueda ser entendido fcilmente, que opere eficientemente y que los resultados obtenidos sean los requeridos inicialmente por el usuario. 2. Revisin de la calidad del producto de software. Tiene como objetivo realizar revisiones durante el proceso de desarrollo para detectar los errores que afecten a la operacin del producto. 3. Calidad en el proceso. Requiere de la definicin de estndares y procedimientos que sirvan como base para el desarrollo del software.
Otro modelo que es importante es el de Boehm El modelo es de naturaleza jerrquica y los criterios de calidad se presentan en tres grandes divisiones. La primer divisin es hecha acorde a los servicios que el sistema ofrece (Portabilidad). La segunda se hace de acuerdo a la operacin del producto (Usabilidad). La tercera divisin se hace de acuerdo a la Mantenibilidad del producto de software.
Modelo de Boehm
La confiabilidad de un sistema de computo es una propiedad que implica el grado de confianza esperado por parte del usuario en la operacin adecuada del sistema al utilizarlo. La Confiabilidad se ve afectada por cuatro aspectos fundamentales.
Disponibilidad. Define la probabilidad de que el sistema este funcionando en un tiempo determinado. Fiabilidad. Es la probabilidad de que el sistema funcione correctamente durante un intervalo de tiempo.
Modelo de Seguridad de la Informacin Un Modelo de Seguridad de la Informacin es un diseo formal que promueve consistentes y efectivos mecanismos para la definicin e implementacin de controles.
Los componentes deben estar dirigidos a identificar los niveles de riesgo presentes y las acciones que se deben implementar para reducirlos.
OBJETIVO
Definir un marco conceptual apoyado en Polticas, Estndares y Procedimientos de Seguridad de la informacin que se adapten a la tecnologa utilizada para apoyar la actividad productiva, permitiendo otorgar flexibilidad y fluidez al negocio.
PERSONAS
Procedimientos
TECNOLOGIA
Estndares
CULTURA
Polticas
Estndares de Calidad
Soporte Gerencial Divulgacin Capacitacin.
Herramientas de proteccin: ltima Tecnologa Permanentemente Actualizadas Funcionando 7 X 24 X 365 Alta Capacidad de Respuesta
Es necesario conocer muy bien los factores de riesgo, mediante un Anlisis de Riesgos.
Las polticas deben ser desarrolladas tomando como base la norma de debido cuidado profesional en Seguridad de la Informacion. Las polticas deben estar soportadas en mejores prcticas internacionales (ISO)
El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.
ISO 17799:2005 0 Introduccin 0.1 Qu es seguridad de la informacin? 0.2 Por qu es necesaria la seguridad de la informacin? 0.3 Cmo establecer los requerimientos de seguridad de la informacin. 0.4 Evaluando los riesgos de seguridad 0.5 Seleccionando Controles 0.6 Punto de partida en seguridad de la informacin 0.7 Factores crticos de xito 0.8 Desarrollo de lineamientos propios 1 Alcance 2 Trminos y Definiciones
ISO 17799:2005 4 Evaluacin y Tratamiento de Riesgos 4.1 Evaluacin de riesgos de seguridad 4.2 Tratamiento de riesgos de seguridad 5 Poltica de seguridad 5.1 Poltica de seguridad de la informacin 6 Organizacin de la seguridad de la informacin 6.1 Organizacin Interna 6.2 Terceras partes 7 Administracin de activos 7.1 Responsabilidades para activos 7.2 Clasificacin de la Informacin 8 Seguridad del Recurso Humano 8.1 Prioridad para Empleados 8.2 Durante el empleo 8.3 Terminacin o cambio de empleo
ISO 17799:2005
9 Seguridad Fsica y Ambiental 9.1 reas seguras 9.2 Seguridad de los equipos 10 Administracin de comunicaciones y operaciones 10.1 Procedimientos y responsabilidades operacionales 10.2 Administracin de servicios a terceras partes 10.3 Planeamiento y aceptacin de sistemas 10.4 Proteccin contra cdigo malicioso 10.5 Copias de respaldo 10.6 Administracin de seguridad de la red 10.7 Administracin de medios 10.8 Intercambio de informacin 10.9 Servicios de comercio electrnico 10.10 Monitoreo
ISO 17799:2005
11 Control de accesos 11.1 Requerimientos del negocio para control de accesos 11.2 Administracin de accesos de usuarios 11.3 Responsabilidades del Usuario 11.4 Control de accesos a la red 11.5 Control de accesos a sistema operacional 11.6 Control de accesos a aplicaciones e informacin 11.7 Computacin mvil y tele-trabajo 12 Adquisicin, desarrollo y mantenimiento de sistemas de informacin 12.1 Requerimientos de seguridad de los sistemas de informacin 12.2 Procesamiento adecuado en aplicaciones 12.3 Controles criptogrficos 12.4 Seguridad de los sistemas de archivos 12.5 Seguridad en los procesos de desarrollo y soporte 12.6 Administracin de vulnerabilidades tcnicas
ISO 17799:2005 13 Administracin de incidentes de seguridad 13.1 Reporte de eventos y debilidades en seguridad de la informacin 13.2 Administracin de mejoras e incidentes en seguridad de la informacin 14 Administracin de Continuidad del Negocio 14.1 Aspectos de seguridad de la informacin para la continuidad del negocio 15 Cumplimiento 15.1 Cumplimiento con requerimientos legales 15.2 Cumplimiento con polticas y estndares de seguridad y requerimientos tcnicos 15.3 Consideraciones de auditoria en los sistemas de informacin
Polticas de Seguridad de la Informacin Importancia de las Polticas de seguridad de la informacin Muestran a la gerencia los verdaderos requerimientos de seguridad; Cultura organizacional. Enfocar la atencin del trabajador en lo esencial. Evitar disputas internas. Coordinar las actividades para mantener la seguridad de manera continua. Definir los lmites de las acciones que se pueden permitir. Controlar con anticipacin los eventos relativos a la seguridad. Aumenta la probabilidad de que las cosas se harn de manera correcta la primera vez. Coordinar actividades de grupos internos y externos (Otras organizaciones). Costos ms bajos mediante la normalizacin de los controles. Cumplir con las obligaciones contractuales y responsabilidades legales.
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. El sistema se integra con otros sistemas de gestin (ISO). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Proporciona confianza y reglas claras a las personas de la organizacin. Reduce costes y mejora los procesos y servicio. Aumenta la motivacin y satisfaccin del personal. Seguridad garantizada en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.
Cubrimiento de riesgos relacionados con requerimientos legales, sabotaje, terrorismo, fraude, estafa, y extorsin, espionaje industrial, errores y omisiones, interrupciones del servicio, robo de equipos y violacin de la privacidad.
Cubrimiento de riesgos relacionados con interrupciones de los negocios, decisiones gerenciales, imagen de la organizacin, desventajas competitivas, prdida o destruccin de activos, mantenimiento impropio de registros y sanciones. Implementar el Principio de Autocontrol, en toda la organizacin.
Polticas de Seguridad de la Informacin Objetivos Operacionales Cubrimiento de riesgos relacionados con procesos clave del negocio. Familiarizar a los trabajadores con los riesgos en seguridad de la informacin. Descripcin de las responsabilidades y deberes del trabajador. Facilitar la toma de decisiones en materia de seguridad de la informacin. Proporcionar directrices efectivas, controles adecuados y lineamientos de verificacin continua de estos controles. Proporcionar direccin y apoyo gerencial demostrando su compromiso con respecto a la seguridad de la informacin. Coordinar esfuerzos de los distintos grupos de trabajo para proteger de forma consistente los recursos informticos, sin importar su ubicacin o forma. Proporcionar orientacin al proceso de auditora de la seguridad.
Polticas de Seguridad de la Informacin Factores Crticos del xito: Gestin de Riesgos cubriendo todos los componentes internos y externos, la naturaleza de los sistemas, las actividades empresariales y las leyes locales. Identificar todos los terceros involucrados (Clientes / Usuarios / Proveedores / Socios de negocio / Otras Organizaciones / Gobierno). Identificar todos los activos informticos.
Casos
Plan de Concientizacin: Informar y recordar regularmente las obligaciones con respecto a la seguridad de la informacin a empleados y dems personal vinculado.
La caracterstica principal del proceso de concientizacin es la difusin del Modelo de Seguridad por diferentes medios de comunicacin al interior de la empresa, partiendo de un conocimiento bsico de Seguridad Informtica hasta lograr la adopcin y asimilacin de componentes del modelo de seguridad (polticas, estndares y procedimientos).
3. Publicacin
Indicadores de Cumplimiento
Evaluaciones de Riesgos.
Requerimientos legales. Historial de perdidas. Polticas actuales.
Matriz de cobertura
Audiencia Gerencia Computadores xxx Comunic. xxx Gestin Riesgo Seg Fsica. xxx xxx
Clientes
xxx
xxx
xxx
xxx
Socios de Neg.
xxx
xxx
xxx
xxx
Pasos para el Desarrollo de Polticas: Estructuracin de los procesos de creacin, revisin, aprobacin y cumplimiento. Descripcin Estructuracin de Equipos de Trabajo. Metodologa de Colaboracin (Redaccin y Revisin) Formas de Aprobacin SI NO
Pre - Requisitos 1.- Responsable de emitir y hacer cumplir las polticas. 2.- Reconocimiento de la informacin como un ACTIVO. 3.- Evaluacin de gran alcance de riesgos en seguridad inf.
SI
NO
Pasos para el Desarrollo de Polticas: Cronograma de desarrollo. Pasos 1.- Determinacin de la cantidad adecuada de polticas. 2.- Determinacin de la longitud de cada poltica. 3.- Definicin del proceso iterativo de desarrollo. 4.- Definicin de la tabla de contenido. 5.- Cuales temas atender primero. SI NO
Polticas de Seguridad de la Informacin Pasos para el Desarrollo de Polticas: Definicin de objetivos y alcance.
SI
NO
Polticas de Seguridad de la Informacin Pasos para el desarrollo de Polticas: Adquisicin, desarrollo y mantenimiento de sistemas.
SI
NO
Frecuencia de acceso.
Tipo de Control de acceso.