Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Presentado a:
2020
1
Contenido
INGENIERÍA DE SOFTWARE............................................................................................................................. 1
Introducción......................................................................................................................................................... 3
1. Análisis......................................................................................................................................................... 3
1.1. Contenido.................................................................................................................................................. 3
1.2. Hacer cronogramas muy optimistas.......................................................................................................... 3
1.3. Poca retroalimentación del usuario final....................................................................................................3
1.4. Usuarios finales que insisten en nuevos requerimientos a lo largo de todo el proyecto............................4
1.5. Riesgos en Desarrollo............................................................................................................................... 5
2. Técnicas apropiadas para la gestión de riesgos...........................................................................................6
2.1. Brainstorming o tormenta de ideas:........................................................................................................... 6
2.2. Juicio Experto: Técnica Delphi.................................................................................................................. 7
2.3. DAFO:....................................................................................................................................................... 9
2.4. Entrevistas:............................................................................................................................................. 10
2.5. Taxonomías de riesgos........................................................................................................................... 10
2.6. Técnica de diagramación causa y efecto................................................................................................10
3. Matriz de riegos a los que puede estar sometida su aplicación..................................................................11
4. Cree un plan de acción que le permita brindar seguridad a su aplicación..................................................11
5. Recomendaciones pertinentes frente a la ciberseguridad del producto......................................................13
Conclusión......................................................................................................................................................... 14
Referencia......................................................................................................................................................... 15
Introducción
En este documento, cubrimos algunos de los objetivos de la gestión de riesgos, que a su vez nos
permiten identificar, controlar y eliminar las fuentes de riesgo antes de que los riesgos comiencen
a afectar la realización de los objetivos del proyecto. Todos estos se centran en el análisis de la
gestión de riesgos, que pueden ayudar al equipo a comprender y gestionar la incertidumbre de
las fallas que pueden ocurrir durante el proyecto a través de varios pasos. Los peligros son
problemas potenciales que pueden ocurrir o no.
1. Análisis.
1.1. Contenido.
El equipo no determinó realmente el contenido del plan y la propuesta, sino que solo escribió los
requisitos del cliente. Un proyecto consta de múltiples fases, las cuales intervienen directa o
indirectamente, obligándonos a determinar desde el principio la forma en que debemos organizar
correctamente todas las actividades involucradas y su nivel de importancia.
El plan correcto puede ayudarnos a determinar la prioridad de cada actividad y controlar mejor la
calidad y el tiempo esperados para ejecutar con éxito el proyecto. Por tanto, cuando hablamos de
planificación, se puede decir que se trata de un conjunto de acciones para establecer cada
actividad a realizar para lograr las metas marcadas para reducir el riesgo de no proceder con el
plan del proyecto. En la estrategia propuesta, debe estar en línea con el profesional. El equipo,
los clientes y los usuarios finales discuten ideas y gestionan conjuntamente las ideas principales
para no hacer que el equipo realice cambios improvisados que puedan dañar el desarrollo del
software, lo que significa sobrecostos.
En algunos casos la definición del alcance (no cumple con lo solicitado por el usuario), no cumple
con el tiempo establecido (esto a su vez impacta sobre el costo del desarrollo el cual se eleva), en
el aplicativo existen incongruencias que luego pasa a un estado de mantenimiento constante, el
equipo de desarrollo no trabaja como debe de ser, se realizan modificaciones que no son
informadas a todos los interesados y provoco molestias, existen factores internos y/o externos
que provocan demora y no son tomados en cuenta, y la adquisición de productos y/o servicios
adicionales debe de seguir un seguimiento.
Este es uno de los mayores inconveniente o riesgos al desarrollar un software, la estimación de
los tiempos por cada fase, se deben definir los cronogramas de acuerdo a las definiciones de
alcance del mismo, mayor disponibilidad de tiempo para que en ello se logre la revisión y
mantenimiento de fallas, logrando obtener la calidad que se le promete al cliente. Se debe llegar a
un mutuo acuerdo con el cliente sobre los tiempos de desarrollo y entrega, dando claridad sobre
cada fase del mismo.
1.3. Poca retroalimentación del usuario final.
Para mitigar este riesgo es necesario que se logre tener una comunicación clara y fluida con el
usuario final a fin de que se le pueda dar a conocer su evaluación el software y se logre conocer
interfaces y mecánicas.
Para ello recomienda realizar conclusiones específicas cuya finalidad sea la realización de
acciones que permitan darnos una perspectiva del usuario.
Refiriéndose a las características de una retroalimentación eficaz, se recomienda que sea
oportuna, esto es proporcionada tan pronto como sea posible; equilibrada, es decir, que incluya
refuerzos positivos y sugerencias de cómo mejorar específica y dando ejemplos objetivos.
Eliminación de datos
Bloqueo de datos
Modificación de datos
Copia de datos
Estos programas realizan ataques DoS (denegación de servicio) contra una dirección web
específica. Mediante el envío de una gran cantidad de solicitudes (desde tu ordenador y otros
ordenadores infectados), el ataque puede saturar la dirección de destino y originar una
denegación de servicio.
Puerta trasera (Backdoor)
Un troyano backdoor (de puerta trasera) proporciona el control remoto del ordenador infectado a
los ciberdelincuentes. Estos troyanos permiten al ciberdelincuente hacer todo lo que desee en el
ordenador infectado, como enviar, recibir, iniciar y eliminar archivos, mostrar datos y reiniciar el
ordenador. Los troyanos backdoor (de puerta trasera) a menudo se utilizan para unir un conjunto
de ordenadores infectados para formar un botnet o una red zombi que se puede utilizar con
objetivos delictivos.
Exploit.
Los exploits son programas que contienen datos o código que se aprovechan de una
vulnerabilidad del software de aplicaciones que se ejecuta en el ordenador.
Phishing.
El phishing es un método usado por los atacantes para suplantar la identidad de un usuario o de
una empresa mediante una comunicación electrónica (correo, mensajería instantánea, etc.), con
la finalidad de obtener datos personales y bancarios. Si bien el phishing no es un ataque directo
contra una web o sus servidores, este método busca desviar el flujo de clientes, ingresos o
búsquedas hacia un portal falso. Aunque focaliza sus ataques a tiendas o portales de venta
online, el phishing es también frecuente en sitios que ofrecen servicios financieros o en aquellas
webs que mantienen un flujo de crédito constante. Una forma persistente de forzar la confusión
del usuario es que se anuncia la aparición del sitio falso en la red e, incluso, se paga por aparecer
primero en los buscadores.
Para evitar caer en este tipo de ataques, es importante verificar que el remitente de cualquier
correo electrónico se corresponda con la entidad a la cual dice pertenecer y que no contenga
letras o caracteres extraños. Otra forma de identificar estos sitios falsos es observar que en la
barra de direcciones aparezca la etiqueta de “sitio seguro” y desconfiar de enlaces insertos en
nuestros e-mails.
En algunos casos la definición del alcance (no cumple con lo solicitado por el usuario), no cumple
con el tiempo establecido (esto a su vez impacta sobre el costo del desarrollo el cual se eleva), en
el aplicativo existen incongruencias que luego pasa a un estado de mantenimiento constante, el
equipo de desarrollo no trabaja como debe de ser, se realizan modificaciones que no son
informadas a todos los interesados y provoco molestias, existen factores internos y/o externos
que provocan demora y no son tomados en cuenta, y la adquisición de productos y/o servicios
adicionales debe de seguir un seguimiento.
Este es uno de los mayores inconveniente o riesgos al desarrollar un software, la estimación de
los tiempos por cada fase, se deben definir los cronogramas de acuerdo a las definiciones de
alcance del mismo, mayor disponibilidad de tiempo para que en ello se logre la revisión y
mantenimiento de fallas, logrando obtener la calidad que se le promete al cliente. Se debe llegar a
un mutuo acuerdo con el cliente sobre los tiempos de desarrollo y entrega, dando claridad sobre
cada fase del mismo.
¿Cuándo se utiliza?
El ejercicio termina cuando ya no existen nuevas ideas. Se analizan, evalúan y organizan las
mismas, para valorar su utilidad en función del objetivo que pretendía lograr con el empleo de
esta técnica.
Modo de uso.
La técnica, “Brainstorming”, puede ser empleada a través de 3 diferentes maneras:
Una técnica prospectiva que se usa para con el propósito de realizar pronósticos y predicciones.
La información obtenida es principalmente de tipo cualitativa.
La técnica se basa en la consulta a un grupo de especialistas sobre su visión futura de un tema
determinado, de manera sistemática y anónima. Las diversas opiniones calificadas se analizan y
se replantean a los expertos en una segunda vuelta con información de lo aportado por los
demás, sin revelar los nombres de los autores. Esto permite orientar la creación de ideas hacia la
obtención de un consenso. Si es necesario se reitera el proceso varias veces.
En el siguiente diagrama de flujo se esquematiza el ciclo del proceso:
El resultado es un agregado consensual de las opiniones y juicios individuales en
referencia al futuro que se pretende visualizar...
Existen diferentes versiones de esta técnica; la forma más utilizada, organizada en
cuatro pasos, es la que se describe a continuación.
Los expertos deben tener un amplio dominio del tema sobre el que se realiza el
estudio y capacidad para elucubrar sobre el futuro. No importan sus credenciales
académicas o su jerarquía en la organización a la que pertenezca; en cambio es
relevante su amplitud ante la pluralidad de planteamientos que se presentarán durante
el proceso.
Los expertos deben ser independientes para evitar posibles sesgos en sus opiniones.
Es bueno conformar una selección de alrededor de 50 o más porque siempre hay
bajas durante el tiempo de duración del estudio. Es necesario aclararles que no se
conocerán entre s y garantizar su anonimato.
2.4.Entrevistas:
El director del proyecto se reúne los stakeholders, usuarios, o con diferentes personas
con experiencia y conocimientos relevantes para el proyecto en cuestión, para recabar
información sobre los riesgos potenciales que prevén para el proyecto.
2.5.Taxonomías de riesgos.
¿PARA QUÉ...?
Metodología.
Política personal.
Solicitudes técnicas (Software, hardware o comunicaciones).
Seguridad física.
Lo que componen la ISO/IEC 27002:2005 son:
Política de seguridad
Organización de la seguridad de la información
Gestión de activos
Seguridad de los recursos humanos
Gestión de comunicaciones y operaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de sistemas de información
Gestión de incidentes
Gestión de continuidad de negocio
Cumplimiento
Como principales puntos a destacar por parte de la política de seguridad, esta debería:
Gestión de activos:
La gestión de activos no obtiene buenos resultados a nivel general, por tanto, la
organización ha de intentar enfocar sus esfuerzos en realizar una gestión de los
activos más importante de manera que se intenten alcanzar niveles aceptables.
Controles de acceso:
La responsabilidad de los usuarios y compromiso de estos ante el buen mantenimiento
y eficacia de las medidas de control y donde no existe ningún procedimiento ni
documentación formal, actualizado y revisado periódicamente al respecto, por tanto es
otro punto a implementar. Este procedimiento debería documentar pautas de los
empleados como mantener el escritorio limpio, no permitir el acceso no autorizado a
su zona de trabajo, una política de contraseñas robusta, no acceder a redes o sitios
maliciosos que puedan comprometer los activos o información sensible.
Conclusión