Gestión de riesgos y aseguramiento de calidad en CMMI: activos, amenazas y control de configuración

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 5,14 KB

Activos de Información

S1:

Hacer levantamiento de activos de información. Los activos de información pueden ser hardware, software, documentos y recursos humanos. Ejemplos: sistemas, bases de datos, data center, UPS, ERP, personal experto e información de clientes.

Riesgos

Riesgos tecnológicos

Riesgos tecnológicos: pérdidas producidas como consecuencia de daños o interrupciones en el funcionamiento de equipos, hardware, software, redes y canales de distribución de información.

Riesgos operacionales

Riesgos operacionales: pérdidas originadas por fallas en los procesos internos (1), en la interacción de personas (recursos humanos) (2), por eventos externos (3) y por la tecnología de información (4).

Amenazas y vulnerabilidades

Amenazas

Amenazas: situaciones que pueden desencadenar un incidente y causar daño o pérdida material. Pueden ser:

  • No humanas: incendios, terremotos, explosiones, etc.
  • Humanas involuntarias: errores de diseño o errores humanos durante el desarrollo o la operación del software.
  • Humanas intencionales: alteración, robo o reducción de la información.

Vulnerabilidad

Vulnerabilidad: posibilidad de que el riesgo se materialice; es la debilidad por donde puede introducirse el riesgo en el activo (por ejemplo, contraseñas poco fiables).

Factores que influyen en el riesgo

Factores que influyen en el riesgo: se pidió que, para riesgos operacionales, se incluyeran situaciones negativas como falta de recursos, poco orden, falla de supervisión o no destinar recursos a TI. Estas corresponden a las cuatro categorías que indica la definición.

Mitigación y aseguramientos

Para los mitigadores de riesgos indicar los aseguramientos (riesgos tecnológicos): medidas a tomar respecto a los ámbitos físico, lógico y RRHH:

  • Físico: control de acceso físico y de equipos, uso de tokens, gestión segura de medios de almacenamiento.
  • Lógico: medidas de software como control de acceso por roles/perfiles, gestión de redes Wi‑Fi, protección contra malware y protocolos seguros de intercambio de información entre usuarios.
  • RRHH: regulación interna, políticas, contratación adecuada de personal y programas de capacitación.

CMMI: Monitorización y Control de Proyecto (PMC)

CMMI: se pidió el proceso PMC (project monitoring and control). Monitorización y control de proyecto (nivel de madurez 2). Su propósito es proporcionar una comprensión del progreso del proyecto para que se puedan tomar las acciones correctivas apropiadas cuando el rendimiento del proyecto se desvíe significativamente del plan.

  1. Mapeo CMMI-MDD: realizar un relevamiento del estado actual de los proyectos frente al plan inicial, verificando si todo se cumple según lo acordado o si existe algún desvío.
  2. Establecer la periodicidad de los seguimientos.
  3. Tomar acciones correctivas, en caso de ser necesario, lo antes posible.
  4. Definir quién realiza el seguimiento de todos los proyectos que se están ejecutando.

Gestión de configuración (CM)

Gestión de configuración (Configuration Management): establecer y mantener la integridad de los productos de trabajo utilizando la identificación de configuración, el control de configuración, el registro del estado de configuración y las auditorías de configuración.

  1. Mapeo CMMI-MDD: un elemento de configuración es una entidad designada para la gestión de configuración, la cual puede consistir en múltiples productos de trabajo relacionados que forman una línea base.
  2. Los elementos sobre los cuales queremos mantener una configuración pueden tomarse de la siguiente lista:
  • Documentos y modelos de análisis de requerimientos
  • Documentos y modelos de diseño del sistema
  • PIM
  • PSM

Aseguramiento de la Calidad de Proceso y de Producto (PPQA)

PPQA: proporcionar al personal y a la gerencia una visión objetiva de los procesos y de los productos de trabajo asociados.

  1. Responsabilidad general de la organización.
  2. Es imprescindible contar con algún mecanismo en la organización para gestionar las no conformidades (por ejemplo, cómo se reportan los bugs de una aplicación).

Validación (VAL)

Validación (VAL): demostrar que un producto o componente de producto se ajusta a su uso previsto cuando se sitúa en su entorno previsto.

La validación de la transformación puede incluir propiedades como la corrección sintáctica de la transformación con respecto a su lenguaje de especificación y la corrección sintáctica de los modelos producidos por la transformación.

Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
control de proyectos PMC amenazas validación PPQA vulnerabilidades activos de información CMMI riesgos operacionales activos TI gestión de configuración aseguramiento de calidad mitigación gestión de riesgos riesgos tecnológicos