Análisis y Gestión de Riesgo en Proyectos Software. Un nuevo modelo integrando la metodología SEI y Magerit3. Caso de estudio Servicio Médico Asistencial de la Universidad Nacional de Misiones

Abstract

Los activos tecnológicos de las organizaciones corren riesgos, estos representan un problema para que los activos se desempeñen con normalidad. El riesgo es la posibilidad de que ocurra una incidencia y este quede inoperativo o no se ejecute de forma óptima, es esencial, analizar los activos y buscar una manera de afrontar los riesgos que corren, gestionarlos para poder actuar, teniendo un plan, restablecer su funcionamiento de una manera rápida y económica. Para tratar esta problemática, existen metodologías de análisis y gestión de riesgos, las cuales poseen procesos, técnicas y herramientas para su tratamiento. Las metodologías mayormente utilizadas están orientadas a organizaciones que puedan cumplir con las actividades solicitadas por estás metodologías, por lo que se denota, no están orientadas a una organización pequeña, con poco o nulo personal. Si la organización es grande o pequeña, el problema persiste, no divisar, gestionar y afrontar los riesgos, puede llevar a cualquier tipo de empresas a tomar gastos imprevistos o no generar ganancias establecidas. Afrontar, controlar y gestionar los riesgos en medianas y pequeñas organizaciones utilizando los recursos adecuados es el foco de este trabajo final de maestría, para lo cual, generar un método desarrollado con el objetivo de brindar simpleza y agilidad, sin perder la formalidad en las tareas de análisis y gestión de riesgo, creando un marco intuitivo, que agiliza el reconocimiento de los riesgos, es el desafío que propone el trabajo de investigación aplicada. Se creó el método RIC que toma y combina prácticas de dos de las metodologías más utilizadas y conocidas en la actualidad, genera actividades para el control de las tareas detallando acciones preventivas para cuidar los activos, como así también gestiona las incidencias de la totalidad de los activos tecnológicos informáticos estén o no gestionados por el método, y por último determina la manera de comunicar la información sobre los riesgos, gestión, acciones preventivas e incidencias implicadas. Para lograr agilizar el reconocimiento, tratamiento y seguimiento de los riesgos, además de facilitar el uso del método, se desarrolló una herramienta asistente denominada SCRisk y se generó un caso de estudio real.

The technological assets of organizations are at risk, these represent a problem for the assets to perform normally, the risk is the possibility that an incident occurs and this is inoperative or is not executed optimally, it is essential to analyze the assets and find a way to face the risks they run, manage them in order to act, having a plan, to restore their operation quickly and economically. To deal with this problem, there are risk analysis and management methodologies, which have processes, techniques and tools for their treatment. The most commonly used methodologies are aimed at organizations that can comply with the activities requested by these methodologies, so it is denoted, they are not aimed at a small organization, with little or no staff. If the organization is large or small, the problem persists, not identifying, managing and facing risks, can lead any type of ompanies to take unforeseen expenses or not generate established profits. Facing, controlling and managing risks in medium and small organizations using the appropriate resources is the focus of this final master's work, for which, to generate a method developed with the aim of providing simplicity and agility, without losing formality in the tasks analysis and risk management, creating an intuitive framework, which streamlines the recognition of risks, is the challenge posed by applied research work. The RIC method was created that takes and combines practices from two of the most widely used and known methodologies today, generates activities to control tasks, detailing preventive actions to take care of the asset, as well as managing the incidents of all the IT technology assets are managed or not by the method, and finally determines the way to communicate the information on the risks, management, preventive actions and incidents involved. In order to speed up the recognition, treatment and monitoring of risks, in addition to facilitating the use of the method, an assistant tool called SCRisk was developed and a real case study was generated.