Datos personales

Mi foto
Quito, Ecuador
Ingeniero en Informática / Magíster en Gestión Tecnológica / Máster en Gestión de las TIC

lunes, 4 de mayo de 2015

NOCIONES DE CIBERSEGURIDAD EN ENTORNOS INDUSTRIALES

Múltiples eventos de gran impacto en las actividades humanas marcaron un punto de ruptura entre la forma en que se consideran los riesgos y los diferentes métodos para la detección de amenazas, tras los ataques terroristas ocurridos en Nueva York, Tokio, Madrid, Londres, se empiezan a hacer referencias públicamente de la necesidad de proteger las denominadas Infraestructuras críticas (IC) y estratégicas de las distintas naciones. 

Un cambio importante en el enfoque de la seguridad nacional, es que los riesgos ya no implican daños físicos solamente, el acelerado desarrollo tecnológico y el avance el campo de la informática provoca que las vulnerabilidades se trasladen al ámbito de lo intangible provocando evidentemente un cambio de la forma en como las naciones tratan estos temas circunscritos en la llamada ciberseguridad.

En los últimos años se empieza a hablar de temas de ciberseguridad en los foros de Sistemas de Control Industrial (ICS) aunque a veces se confundan los términos o se usen de forma inadecuada. La necesidad de asegurar en un primero momento las IC se extrapolado a los sistemas de control Industrial en general. Pero antes de profundizar en próximos los artículos sobre IC e ICS necesitamos definir a que nos referimos cuando hablamos de Ciberseguridad Industrial.

Hace unos años en algunos foros en España (aún hoy en día dependiendo del foro y el país) cuando se hablaba de seguridad enfocado a los sistemas información que dan soporte a los procesos industriales, parecía como algo lejano, de poca importancia y más cerca de la ciencia ficción que de la realidad. La evolución de la tecnología, el crecimiento de la delincuencia cibernética y la inclusión de ICS en Internet demuestra que  las amenazas a las que están expuestos nuestros sistemas de control industrial son reales y desgraciadamente frecuentes.

Tradicionalmente la Seguridad Industrial trata principalmente los aspectos físicos de la seguridad de las instalaciones. Incluye disciplinas tan diversas como la seguridad ambiental enfocada a la protección del medio ambiente, la seguridad física mediante controles de vigilancia y perimetrales, y por supuesto la seguridad laboral  con medidas para proteger la salud de los trabajadores. Como podemos observar la ciberseguridad no ha sido una disciplina que estuviera contemplada en los proyectos o en el mantenimiento de las instalaciones.

Si queremos definir que es la ciberseguridad Industrial nos parece correcto usar la definición propuesta por el Centro de Ciberseguridad  Industrial (CCI) por considerarla la más completa y que se ajusta mejor a la realidad actual. Y es la siguiente:  “Conjunto de practicas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías”.

En la actualidad es cada vez más usual encontrar requisitos de ciberseguridad industrial planteados como obligatorios y exigidos a contratistas tanto en servicios, proyectos y equipamiento destinados ICS.

https://www.cci-es.org/
http://empresamastecnologia.blogspot.com/2015/04/infraestructuras-criticas-y-la-sociedad.html
https://www.ismsforum.es/noticias/entrevistas/
http://huawei.com/es/about-huawei/corporate-info/Ciberseguridad/index.htm
https://www.cci-es.org/detalle-evento/-/journal_content/56/10694/42617 http://www.oas.org/es/centro_noticias/comunicado_prensa.asp?sCodigo=C-012/15

Por:
Javier Caceres
Marcelo Guato



Publicado por en No hay comentarios:
Etiquetas:

lunes, 27 de abril de 2015

ACTUALIDAD - CIBERSEGURIDAD EN LOS OPERADORES DE INFRAESTRUCTURAS CRITICAS

En los últimos diez años de los múltiples motivos por los cuales se tiene una relación laboral o de servicios profesionales especializados, se va tomando el pulso a las diferentes empresas de sector Oil&Gas y energía de diversos países, se observaba que el interés sobre la ciberseguridad era en realidad difuso y en cierta medida mínimo respondiendo a iniciativas aisladas de los propios departamentos de TI. 

Se detectaba que en estas empresas sus directivos y en general sus colaboradores entendían que sus infraestructuras  no eran un objetivo para: los ciberdelicuentes, competencia, posibles sabotajes internos o una entidad a investigar por gobiernos externos ya fueran aliados o no. 

Esta situación está cambiado no tanto por una iniciativa propia, sino por los ataques, amenazas y noticias de actualidad asociadas a la ciberseguridad. Por ello queremos hacernos eco de una noticia de periódico el país disponible en el siguiente enlace:


Donde nos comentan  datos que se han hecho públicos del gobierno de España por el cual  Ministerio del Interior y el Ministerio de Industria gestionó durante el año 2014 casi 18.000 ciberataques. 

De estos incidentes tenemos que destacar que se han reportado 63 que están involucrados en los sectores críticos, 14 ataques al sector del transporte, 6 al sector de tecnología de la información,  3 al sector financiero, 2 a la administración pública y los más graves 34 a instalaciones energéticas y 4 a la industria nuclear. 

Como podemos observar estamos en un momento trascendental en el que los operadores de Infraestructuras Críticas deben de hacer sus tareas para proteger los servicios esenciales que ofrece a los ciudadanos. Las estadísticas muestran que están en aumento y como se observan cada día los ataques son más sofisticados y continuos. 

Esperemos que las empresas que no han tomado la iniciativa y el liderazgo en sus sectores vayan poco a poco tomando las medidas necesarias para crear entre todos una sociedad más segura para los ciudadanos.

Por:
Javier Cáceres 
Marcelo Guato

Publicado por en No hay comentarios:
Etiquetas:

martes, 14 de abril de 2015

Infraestructuras Críticas y la Sociedad del Bienestar

La sociedad del bienestar está basada en el acceso a determinados bienes y servicios esenciales para los ciudadanos que son útiles para la vida personal y profesional. Servicios como el suministro de energía y agua, son servicios públicos cuya gestión repercute en el bienestar directo de la población que accede a ellos. 

Con el acceso a Internet y la conectividad de las infraestructuras críticas a la red de redes,  en la última década ha surgido una nueva oleada de amenazas nacionales e  internacionales que ha ido concretando ataques complejos con serias consecuencias a lo largo del mundo, incluyendo zonas latinoamericanas. 

Velando por el bienestar de los ciudadanos, y como respuesta a la necesidad de ampliar el concepto de seguridad nacional, las instituciones Europeas, Norte Americanas y de otros países como Japón y Australia han afrontado este reto mediante regulaciones específicas con el propósito de proteger los servicios esenciales para los Estados.

Los beneficios económicos, que repercuten a las empresas y a la sociedad mediante la normalización de los operadores críticos a estándares de ciberseguridad, son obvios con el fortalecimiento de los servicios prestados y la capacidad de resiliencia ante desastres, fallos humanos, ataques terroristas o de amenaza externas.   

Ahora bien, los beneficios sociales y al medioambiente son incluso más importantes al permitir mantener el grado de bienestar social al evitar posibles cortes de comunicaciones, electricidad, agua, transporte.  De igual modo, los beneficios y protección al medioambiente se producen al limitar los posibles ataques a las infraestructuras críticas. Estos ataques pueden producir una multitud de desastres al medio ambiente como por ejemplo: vertidos de aguas no controlado, roturas de oleoductos y gaseoductos, roturas en redes de abastecimiento agua potable  y aguas de saneamiento.

Para concluir, si definimos una Infraestructura Crítica (IC) como instalaciones y sistemas sobre los que recaen servicios esenciales cuyo funcionamiento no permite soluciones alternativas, se concluye, que la creación de estándares que se dirijan a la protección de la ciberseguridad de los operadores críticos, repercute directamente y de modo notable sobre el medio ambiente y la sociedad.

Las Nuevas Tecnologías de la Información y las Comunicaciones, juegan un nuevo rol en la gestión de las IC, si reflexionamos en cómo los sistemas de control automatizado, datacenter, accesibilidad remota, redes de datos, entre otras tecnologías, ejercen un soporte transversal sobre los servicios esenciales para la vida moderna visualizamos la importancia que tiene la ciberseguridad, a modo de ejemplo se plantea un diagrama en los tres contextos mas visibles (podríamos incluir el transporte, el sector financiero, el sector de la salud).


Por:

Javier Cáceres Berlanga.
Marcelo Guato Burgos.


Publicado por en No hay comentarios:
Etiquetas:

miércoles, 22 de mayo de 2013

Ingeniería de Concepto, Ingeniería Básica, Ingeniería de Detalle


Después de algunos años de trabajar en proyectos multidisciplinarios, que involucran a profesionales de  ingeniería de petróleos, ingeniería civil, ingenieros eléctricos, ingenieros en electrónica entre otros, se vive siempre el tema de revisar y aprobar documentación.  En ocasiones esta documentación técnica dependiendo de las dimensiones del proyecto es abrumadora, son cantidades interminables de folios a revisar en concordancia con el alcance del proyecto en cuestión. Dentro de toda esta documentación, aparecen varios tipos de documentos sobre los cuales en lo particular no suele haber una definición formal, sin embargo se acepta entre las partes, contratante y contratado, lo que va a tener aquello que se denomina:

  • Ingeniería básica.
  • Ingeniería de detalle.

Al pasar algún tiempo, tomé el riesgo de preguntar a algunos colegas de distintas disciplinas sobre lo que debería contener cada documento, y de ese diálogo, se establece que en realidad al iniciar un gran proyecto de tecnología, deberían estar presentes los siguientes:


  1. Ingeniería de concepto.
  2. Ingeniería Básica.
  3. Ingeniería de Detalle.
  4. Ingeniería Conforme de Obra.



Toda esta documentación, se somete a revisiones por parte de la organización contratante, siendo en general las siguientes:



Revisión A: PARA APROBACIÓN. De existir mas de una revisión se emitirán como revisión B, C, D, etc.

Revisión 0: PARA CONSTRUCCIÓN. Revisión con la cual la contratista ejecuta y realiza la implementación en campo. Suele existir una sola revisión previa a la Construcción.

Revisión 1: AS-BUILT (Ingeniería Conforme de Obra).  Corresponde a la documentación conforme obra, antes de dar por terminado cualquier proyecto se debe recibir esta documentación corroborada con lo que realmente esta instalado en campo.





INGENIERÍA DE CONCEPTO

La ingeniería conceptual sirve para identificar la viabilidad técnica y económica del proyecto y marcará la pauta para el desarrollo de la ingeniería básica y de detalle. Se basa en un estudio previo (estudio de viabilidad) y en la definición de los requerimientos del proyecto.

Comprende el conjunto de documentos de ingeniería que delimita un alcance global y conceptual del proyecto incluido el tipo de tecnología y especificación de equipos a usar. La Documentación necesaria debería incluir:

  • Definición de visión y alcance del proyecto.
  • Definición de requerimientos funcionales generales del proyecto. 
  • Bases y criterios de diseño acordadas con el área usuaria (Definición de Normas y estándares aplicables, detallar requerimientos de diseño de cada funcionalidad, y sus especificaciones preliminares.
  • Diagramas de flujo de procesos principal y auxiliares y/ó Arquitectura del Proyecto.
  • Cálculos preliminares, cuantificación y dimensionamiento  de los requerimientos del proyecto.
  • Filosofía de Control y Operación.
  • Requerimientos de Bienes y Servicios Complementarios para la ejecución del Proyecto
  • Análisis de Riesgos.
  • Cronograma referencial con actividades, recursos, tiempos e hitos.
  • Factibilidad Técnica. 
  • Factibilidad Económica.
  • Arquitectura de soluciones informáticas, definición de servicios, diagramas de interacción, diagramas de bases de datos, diagrama preliminar de red y distribución de equipos.

Este documento debe contener los estudios de factibilidad, ya que los mismos permiten definir la conveniencia o rentabilidad de diferentes alternativas de diseño de un determinado proyecto.

La Ingeniería Conceptual no suele realizarse de forma rigurosa dentro de las instituciones, esta es una falencia pues de su fortaleza dependerá la generación de unos buenos términos de referencia para la contratación de proveedores que realicen la construcción, de preferencia la ingeniería conceptual debe realizarse sin enfocarse a un proveedor específico sino a la solución que se busca dar con el proyecto, en la discusión de si debe realizarse este documento al interior de la entidad contratante o mediante una consultora, resulta incierta una afirmación categórica, si ocurre en ocasiones que unos deficientes términos de referencia desencadenan el fracaso o mediocre ejecución de proyectos.



INGENIERÍA BÁSICA

El el conjunto de documentos de Ingeniería con definiciones y cálculos de los procesos principales, seguridad, medio ambiente, estudio de riegos, implantación y especificaciones definitivas para compra de equipos mayores, estos últimos son aquellos que por su especificidad, complejidad en la configuración, por ser hechos a medida o por su envergadura requieren un tiempo considerable para llegar al lugar de la instalación.  La Documentación deberá incluir:

  • Bases y Criterios de diseño (validación y verificación de la Ingeniería Conceptual).
  • Definición de requerimientos funcionales definitivos.
  • Diagramas de Flujo de Procesos Principales y Auxiliares (definición de Normas a usar).
  • Diseños definitivos incluidos cálculos (de todas las especialidades que intervienen en el proyecto).
  • Descripción del proceso y filosofía de Operación y Control definitivos.
  • Requerimientos de Servicios y Bienes Complementarios definitivos.
  • Especificaciones de equipos mayores definitivos (incluir Planos de ingeniería y de vendedor AS BUILT sistemas paquetizados en lo que aplique).
  • Diagramas de tuberías e instrumentación (P&ID) definitivos (Norma Internacional).
  • Layout de Implantación general definitivo.
  • Estudios apropiados al proyecto.
  • Plan de Trabajo (Conformación del equipo de trabajo): 
  • Establece un cronograma, designa los responsables y marca metas.  Las acciones que aparecen incluidas dentro del plan de trabajo pueden ser seguidas, controladas y evaluadas por el responsable.
  • Clasificación de áreas peligrosas.
  • Especificaciones de alcance de construcción por disciplina.
  • Hojas de especificación de instrumentos, equipos e insumos bajo norma aplicable.
  • Ruteo (Planimetría). 
  • Interconexiones.
  • Matrices Causa y Efecto.
  • Especificaciones del sistema de control.
  • Arquitectura del sistema de control.
  • Desglose estimado de costos.
  • Arquitectura de Hardware y Software de los sistemas de información requeridos.
  • Especificaciones de Hardware y Software.
  • Especificaciones Funcionales de Software.
  • Análisis de Impacto del Alcance del Proyecto dentro de la organización.

 INGENIERÍA DE DETALLE

Conjunto de Documentación generada a partir de la Ingeniería Básica que incluye todos los detalles constructivos, por disciplina (Civil, Mecánica, Procesos, Eléctrica, Telecomunicaciones, Instrumentación y Control, Sistemas Informáticos) que deberán estar aprobados para construcción.  

INGENIERÍA CONFORME A OBRA (AS BUILT) 

La Ingeniera Conforme a Obra o As Built reúne las modificaciones sobre la Ingeniería de Detalle que se llevaron a cabo durante la ejecución del proyecto,  construcción e instalación. Los Documentos As-Built se presentan con una revisión superior a la Ingeniería de Detalle, y comprende el conjunto de documentos en donde existan modificaciones al diseño especificado con anterioridad.





Publicado por en 12 comentarios:
Etiquetas:

sábado, 26 de enero de 2013

Gestión de proyectos TIC - Parte V

PARTE I | PARTE II  | PARTE III | PARTE IV | PARTE V 

 Resúmen de consideraciones para la implementación de Software, o un producto basado en las tecnologías de la información y las comunicaciones
Para completar el plan de implantación se deben considerar todos los aspectos relevantes, tomando en cuenta que se han corregido los fallos en la gestión del proyecto y se desea resultados que permitan asegurar la confianza del cliente, se deben considrear al menos las siguientes actividades:

 a.   Análisis de riesgos

 b.   Plan de contingencia, en base a los riesgos determinar respuestas a situaciones como ausencia por enfermedad de una persona del equipo, atrasos en la entrega de hardware, demoras por parte de terceros.  Esto depende del entorno del proyecto y los involucrados 

 c. Definición conjuntamente con el cliente de alternativas de implantación, considerando las siguientes opciones:

              i.  Plan piloto
             ii.  Escalado o incremental
            iii.  Simultáneo

d.  Identificar actividades preliminares
              i.  Configuraciónes que necesita el cliente
             ii.  Carga de datos
            iii.  Creación de usuarios

e.  Identificar actividades a ejecutar
             i.  Supervisar el producto en el período de despliegue
            ii.  Soporte en la transición hacia el uso del nuevo producto 
           iii.  Soporte al producto en caso de producirse fallos
           iv.  Elaborar un plan de gestión de la continuidad del servicio

f.   Determinar tiempos y personal necesario para el despliegue tanto del lado del cliente
como del proveedor

             i.  Definir roles y responsabilidades por parte del proveedor
            ii.  Definir roles y responsabilidades por parte del cliente
           iii.  Establecer con el cliente las fechas de inicio y fin de la formación
           iv.  Establecer con el cliente las fechas de inicio y fin del despliegue
           vi.  Definir los criterios de aceptación del producto

Previsiones para el mantenimiento del producto.  


Con los resultados de la implementación documentados, mas la experiencia de uso del 
producto  se puede elaborar en base a los servicios que entrega dicho producto, un plan 
de mantenimiento completo que permita al cliente un adecuado soporte en la explotación 
del mismo, esto puede ser: incrementar funcionalidades en el corto y mediano plazo, 
respaldos peródicos de los almacenes de datos, expansión por ejemplo del software o 
producto a nuevas sucursales, soporte a usuarios en el uso adecuado del producto mediante 
el centro de atención a usuarios (CAU), detección e implementación de aspectos en los 
que se puede mejorar.

Cierre práctico de proyectos


Preparación
1. Hacer una lista de verificación de cierre de proyecto.
2. Revisión de la planificación y su ejecución tanto financiera como en entregables
parciales.
3. Gestión de la comunicación orientada al cierre del proyecto.

 Un enfoque contínuo en evitar problemas al final del proyecto
1. Seguimiento diario de las tareas.
2. Corrección diaria de la planificación en caso de desviaciones.
3. Planificación de revisiones
4. Revisión de contratos de proveedores.
5. Controlar el inicio y cierre de sub contratos.

 Aterrizar acciones concretas de cierre
1. Entrega del producto y la documentación.
2. Solicitud de la aceptación del proyecto.
3. Inicio de las revisiones formales con el cliente.

 Acciones finales
4. Cierre financiero y administrativo del proyecto.
5. Documentación de conclusiones y experiencias aprendidas.



PARTE I | PARTE II  | PARTE III | PARTE IV | PARTE V 
Publicado por en No hay comentarios:
Etiquetas:

jueves, 13 de diciembre de 2012

Gestión de proyectos TIC - Parte IV

PARTE I | PARTE II  | PARTE III | PARTE IV  | PARTE V 


 IMPLANTACIÓN Y ACEPTACIÓN

La planificación esta presente a lo largo de todo el proyecto, un plan maestro de gestión, contemplará y definirá lo que se entiende por "entregables", es decir aquellos resultados del esfuerzo realizado, resultados que finalmente se requiere implantar.  Cuando se habla de entregables hay que identificar claramente lo que son y para quien tienen valor, por ejemplo en el desarrollo de software se puede tener:



Además de los diferentes planes mencionados en la Parte III, la planificación debe considerar lo que necesita conforme a la realidad del proyecto, a la cultura de la sociedad u organización donde se realiza y  las regulaciones aplicables, siendo idealmente en la etapa de implantación y aceptación lo siguiente:

  1. Los lineamientos generales para el cierre del proyecto. Por ejemplo cliente y proveedor deben documentar los términos en los cuales el producto se considera terminado, aprobado, recibido.
  2. Los contenidos de los manuales de usuario y de configuración del producto, entre otros que puedan ser considerados productos finales. En este caso se trata de documentos que entregan valor al cliente y le servirán como referencia para formaciones posteriores o la operación cotidiana.
  3. Los lineamientos del soporte a usuarios.  Acuerdos con el proveedor, o procedimientos con el Centro de Atención a Usuarios, frente a requerimientos por incidencias, por soporte de primer nivel y problemas en la operación. 
  4. Las especificaciones de los servicios relacionados al producto desarrollado.  Afectación a otros servicios, lugar dentro del catálogo de servicios de la organización, servicios que se están potenciando o mejorando, definición de indicadores para medir la calidad del servicio.
  5. Los acuerdos sobre los niveles de servicio del proveedor.  Indicadores de indisponibilidad, registros de incidencias y tiempos de resolución, determinación de condiciones críticas de operación. 
  6. Un plan de migración y carga de datos.  Si fuera necesario se debe detallar los procedimientos a seguir para las configuraciones, parametrizaciones y cargas de datos iniciales que requiere el producto para su operación. 
  7. Un plan de capacitación a usuarios.  Es indispensable centrarse en quien usará efectivamente la aplicación, en los diferentes niveles de usuarios y formarlos en sus respectivos campos de actuación en relación al producto.
  8. Un plan de capacitación al personal a cargo de la implantación.  En ocasiones el cliente interviene activamente en la implantación, por lo que hará falta determinar quiénes y qué deben saber.
  9. Un plan de pruebas de implantación.  Se debe comprobar que el producto, satisface los estándares técnicos acordados, que es estable, que gestiona los niveles de información acordados, que es seguro, en definitiva que el producto es operativo.
  10. Un plan de pruebas de aceptación del producto.  Se debe realizar una serie de pruebas con la finalidad de que el cliente pueda asegurar que el producto cumple con los requerimientos que satisfacen las necesidades por las cuales se realizó el proyecto.
  11. Un plan de mantenimiento del producto.  


Hay diferentes modelos de implantación, todo va a depender del escenario geográfico y de las características de la empresa, organización o institución donde se va ha llevar a cabo.  Por ejemplo se puede realizar una implantación completa estilo Big Bang, esto significa que se instalará todo en todos lados de forma simultánea, ejemplo:  una tienda de supermercados va a iniciar con un nuevo software de retail, y decide el 12 de diciembre abrir todas sus sucursales con la nueva aplicación operando.

Se puede realizar una implantación mediante plan piloto, es decir se instala en un lugar, se realizan ajustes si se detectan desviaciones y se procede a la implantación general tomando en cuenta las lecciones aprendidas.

Se puede implantar de forma incremental o dividida, es decir implementar en las áreas de negocio que mas lo necesiten y progresivamente en intervalos de tiempo avanzar hasta cubrir el alcance del producto que se desarrolló.  

La implantación responde a una estrategia, y conlleva riesgos, puede ser interpretada desde muchos puntos de vista, desde el punto de vista del negocio del cliente por ejemplo, promover un nuevo producto permite jugar con las expectativas, por ejemplo:  una petrolera decide renovar y automatizar su sistema de control del conteo de barriles de petróleo, y crea un proyecto que le permite conseguirlo, esto genera "inquietud" en los grupos de interés, causa que la imagen corporativa tenga mayor valor si el resultado es favorable y los sistemas nuevos funcionan correctamente.  Por el contrario este juego es peligroso si no se asegura la calidad del producto final (sistema informático, sistema de automatización, etc.), ya que puede deteriorar la marca, producto de los fallos percibidos por el cliente del cliente, por los accionistas, por los entes de regulación del gobierno, por los proveedores, por los empleados, por la sociedad.

Se debe concienciar al cliente que cambios posteriores requerirán una valoración del impacto en el proyecto y que a la vista de dicha valoración es posible que se aumente la fecha de entrega o el coste del mismo.  Para ello se debe actuar conforme a un proceso formal de gestión de cambios o bien agrupar estas cuestiones en un plan de mantenimiento.



PARTE I | PARTE II  | PARTE III | PARTE IV  | PARTE V 





Publicado por en No hay comentarios:
Etiquetas:

viernes, 30 de noviembre de 2012

Gestión de proyectos TIC - Parte III

PARTE I | PARTE II  | PARTE III | PARTE IV  | PARTE V 

DESARROLLO = PLANIFICACIÓN ANÁLISIS + DISEÑO CONTROL


 PLANIFICACIÓN

Al tratarse de un proyecto TIC, se abarca la temática del software, de los sistemas de información empresariales, de las telecomunicaciones, de dispositivos o artefactos que puedan ser considerados tecnologías de la información o de comunicaciones, por ello durante la lectura del presente documento encontrará los términos "solución TIC" o "producto" en general.

 Una vez que se ha pactado, acordado o establecido claramente las expectativas del cliente, se ha definido el modelo de relación a nivel ejecutivo, de usuarios y técnico, se han identificado y formalizado responsabilidades, canales de comunicación e interlocutores, es el momento de el inicio operativo del proyecto.  

Probablemente el contrato ya establezca un cronograma, en ese caso no hay mas que ajustarse a los tiempos establecidos, aunque se sepa a partir de los análisis de riesgos que por imprevistos o cambios de los requisitos en mitad del proyecto pudieran aparecer dilataciones de tiempos, es importante asumir lo que esta escrito en el contrato, negociar cuando sea el momento y conocer los procedimientos formales para anticiparse y lograr las aprobaciones necesarias en el caso de cambios en las fechas de entrega, esto es importante especialmente si el cliente es empresa pública y el proyecto es de gran tamaño tanto en tiempo como en precios, ya que existen normativas de control interno y causas establecidas en las leyes y reglamentos que pueden permitir aplazamientos o por el contrario aplicar multas al proveedor.

Muchos podrían cuestionarse y decir si se hace un buen cronograma, no es necesario aplazar nada, sin embargo la realidad indica que, aunque se diga lo contrario, el cliente de soluciones TIC suele percatarse de fallas en sus propias definiciones, carencias en los requisitos originales, observa que lo que esta hecho podría incorporar mas utilidades y en esta situación hay que saber la manera de gestionar los cambios mas los costes asociados.  

Por esta razón se debe tener claro que "elaborar un cronograma no es planificar" aunque es una actividad inherente a la planificación.

Planificar es, una vez conocida la línea de tiempo o los plazos del proyecto, usar la experiencia para anticiparse y definir mecanismos de acción ante situaciones que se presentarán con mayor probabilidad, con la finalidad de asegurar los recursos y actuaciones necesarias para lograr los objetivos del proyecto.  Esto implica determinar la manera en que se van a reducir riesgos, optimizar costes, corregir desviaciones.

Si se quiere una referencia para comprender la definición y el sentido de la planificación, Wikipedia (http://es.wikipedia.org/wiki/Planeamiento#cite_note-4) señala: 

"La planificación, la planeación o el planeamiento, es el proceso metódico diseñado para obtener un objetivo determinado. En el sentido más universal, implica tener uno o varios objetivos a realizar junto con las acciones requeridas para concluirse exitosamente. Otras definiciones, más precisas, incluyen "La planificación es un proceso de toma de decisiones para alcanzar un futuro deseado, teniendo en cuenta la situación actual y los factores internos y externos que pueden influir en el logro de los objetivos". Va de lo más simple a lo complejo, dependiendo el medio a aplicarse. La acción de planear en la gestión se refiere a planes y proyectos en sus diferentes ámbitos, niveles y actitudes."

El cronograma seguramente nos muestra las actividades a desarrollar, los hitos principales o puntos de revisión, los costos de cada actividad, los recursos necesarios de cada actividad, el inicio y fin de cada actividad.  Entonces ¿Qué más hay en una planificación?, pues documentos que dictan la forma de actuar, son documentos cambiantes que realmente se emplean para reflejar acciones durante todo el proyecto, y pueden ser los siguientes:

1. Un plan de comunicaciones, contiene las necesidades de información del cliente, los interlocutores y los mecanismos de comunicación, a nivel técnico, de usuarios y ejecutivo, aquí podrían definirse incluso los documentos y productos que se entregarán en el cierre del proyecto.

2. Plan de compras y contrataciones, si el proyecto requiere personal, que se monte una oficina, que se encargue partes del desarrollo a una factoría de software, que se entreguen como parte del mismo servidores y equipos, es necesario documentar como se llevarán a cabo las decisiones de compra o contratación, así como identificar quiénes son los proveedores, cuál es el presupuesto disponible, fechas de desembolso.

3. Plan de calidad, este documento refleja las normas, requisitos o exigencias que el ciente requiere formalmente que se cumplan para la aceptación del producto, y la manera en como se va a demostrar que efectivamente se cumplen.

4. Plan de gestión de riesgos, cada actividad del cronograma tiene asociado algún riesgo, cada objetivo del proyecto tiene asociado un riesgo, estos deben evaluarse de forma documentada y analizar si vale la pena preocuparse por los mismos.  Riesgo según el PMBOK versión 4 es : "Un evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en los objetivos de un proyecto".

5. Plan de contingencia, servirá como fuente documentada que permita responder de forma eficiente ante riesgos que al materializarse provoquen efectos negativos.  Por ejemplo: pérdida de energía en el data center, borrado accidental o intencionado de datos, problemas con el versionamiento del software, daños en equipos (clientes, servidores, impresoras), pérdida de las comunicaciones, daños en las instalaciones del cliente, robo de materiales o información, accidentes laborales, abandono por parte de un miembro del equipo de trabajo, cambios el alcance del proyecto.


ANÁLISIS + DISEÑO

Un proyecto relacionado a las TIC, contempla fases de análisis y la de diseño, se debe tener en cuenta que el jefe de proyecto esta obligado a revisar el trabajo de otros o asegurar las formas de revisión, dado que se encuentra frente a un compromiso contractual con el cliente y será el responsable por parte del proveedor.

 Tanto si el cliente adquiere un producto ya desarrollado, o contrata desarrollo a la medida, no se librará del "análisis" + "diseño", en el primer caso al tratarse de paquetes ya desarrollados usualmente se realizan personalizaciones, configuraciones y tratamiento de datos, en el segundo al ser a la medida queda todo por hacer.

 ¿Qué se considera análisis?

 Son todas aquellas actividades encaminadas a detectar los objetivos y necesidades del cliente, sus particularidades y requisitos específicos que desea ver reflejado en el producto final.  Estas actividades deben tener resultados tangibles, reflejados en documentos que plasmen el entendimiento de lo que desea el cliente, por ejemplo: diagramas de procesos (BPM), catálogos de servicios, casos de uso, historias de usuarios, modelos lógicos de los datos, diagramas y definición de interfaces de usuario, definición de interfaces con otros sistemas internos o externos a la organización.  Es importante que el analista no solo capte necesidades, sino además plantee soluciones eficaces, eficientes, coherentes, completas, claras y que elimine contradicciones e incompatibilidades entre requisitos.  
¿Qué se considera diseño?

Consiste en definir los subsistemas con sus respectivas interfaces y dependencias, se debe responder al ¿cómo se hace?, y esto lo hacen los programadores de sistemas informáticos, siempre que se parta de un buen análisis, se define: un modelo físico de los datos, los entornos y arquitecturas de hardware y software, los módulos del sistema, los paquetes, las librerías, los frameworks.  Todo esto se enfocará en ir construyendo las partes mas pequeñas de la solución TIC objeto del proyecto para ir uniéndolas en un todo que cumpla los objetivos establecidos en los documentos de la oferta, contrato y proyecto.


CONTROL
Iniciar el desarrollo de soluciones TIC, significa emplear metodologías, que permitan reconocer errores, detectarlos de forma temprana, establecer secuencias de pasos que permitan organizar el trabajo y responder rápidamente a cambios inesperados.  Mantener el control del desarrollo es una tarea compleja que requiere experiencia.  

Los modelos de desarrollo son tema de arduo debate, se muestra  el resumen de cuatro, partiendo del mas clásico, hasta los más dinámicos y útiles entornos con alta incertidumbre.

"El modelo en cascada"

 Llamado algunas veces ciclo de vida clásico, sugiere un enfoque sistemático, secuencial, hacia adelante, este modelo fue propuesto por Wiston Royce (http://en.wikipedia.org/wiki/Winston_W._Royce ), e incluía ciclos de retroalimentación,    la inmensa mayoría de quienes lo ponían en práctica lo hacían de forma estrictamente lineal, sin embargo y a pesar de las iteraciones,   se ha llegado a demostrar en proyectos reales que no se sigue un flujo secuencial, si se adopta estrictamente el modelo, en situaciones de cambios o modificaciones, el equipo de trabajo llegará a estados de bloqueo, donde unos miembros del equipo deben esperar a otros para terminar tareas dependientes.  Este modelo es útil en escenarios donde los requerimientos no van a ser modificados y el trabajo se realiza de forma lineal.


"Construcción de prototipos"

 Cuando los clientes definen al inicio del proyecto, e incluso en el contrato, un conjunto de objetivos generales y requisitos que no están detallados dejando de entrada dudas por la falta de definiciones, pudiera funcionar correctamente este modelo, hay que estar conscientes de que un prototipo no es el producto final, entonces el cliente puede pedir cambios y no entender por que se tarda tanto en implementarlos de forma definitiva, es decir para entrar en operaciones, se debe a que un prototipo se consigue de forma acelerada con herramientas especiales para obtener "algo que mostrar", sin embargo esta lejos de ser una solución completa, por lo que el cliente debe tener muy claro que el prototipo sirve para definir requisitos y que una vez se llega a un acuerdo, se desarrollará la solución TIC definitiva con orientación a la calidad.



"Modelo en espiral"

No hay mejores palabras que las de su creador,  Barry Boehm (http://es.wikipedia.org/wiki/Barry_Boehm), para explicarlo:
   
"El modelo de desarrollo en espiral es un generador del modelo de proceso guiado por el riesgo que se emplea para conducir sistemas intensivos de ingeniería del software concurrente y con  múltiples usuarios. Tiene dos características distintivas principales. Una de ellas es el enfoque cíclico para el crecimiento incremental del grado de definición e implementación de un sistema, mientras disminuye el grado de riesgo.  La otra es un conjunto de puntos de fijación para asegurar el compromiso del usuario con soluciones de sistema que sean factibles y mutuamente satisfactorios".
Se trata de un modelo evolutivo, que en cada iteración consigue tener un sistema cada vez mas completo, el riesgo se reduce conforme se avanza.  Incluso este camino en espiral podría permitir generar nuevos productos a partir de otros conseguidos en iteraciones anteriores.  

 Se considera un modelo útil para desarrollo de sistemas a gran escala, puede emplear también la elaboración de prototipos, sin embargo su finalidad principal se dirige a adaptarse mas a lo que ocurre en el mundo real, evitar que los riesgos se materialicen, lograr una participación mas activa del usuario en el proceso de desarrollo  y conseguir un producto cada vez mas completo.


"SCRUM"
Este método prueba su eficacia en proyectos con tiempos de entrega muy reducidos, requisitos cambiantes y condiciones críticas en los negocios.

En este caso los "retrasos" o "acumulados", es una lista que contiene los requisitos que son prioridad para el cliente, son las características de la solución TIC que le dan valor al negocio, en cualquier momento se pueden agregar elementos a esta lista y el ejecutivo que dirige el desarrollo del producto evalúa y re-asigna prioridades.
   
El "SPRINT" o ciclo, es la unidad de trabajo requerida para satisfacer un conjunto o paquete de requisitos (retrasos, acumulados) en un período de tiempo determinado, usualmente 30 días (entre 2 a 4 semanas), una vez iniciado el SPRINT, no puede introducirse mas requisitos ni cambios, esto proporciona al equipo de trabajo un ambiente estable y le da velocidad al desarrollo ya que al final de cada ciclo se tiene un resultado funcional.

Una vez lanzado el SPRINT, se lleva a cabo una reunión cada 24 horas, generalmente de 15 minutos, con la finalidad de descubrir y resolver problemas, el líder evalúa el avance y procura mantener al equipo como una unidad auto-organizada.  En esta reunión cada individuo responde a las tres preguntas siguientes:

¿Qué hiciste desde la última reunión ?
¿Cuáles obstáculos encontraste?
¿Qué esperas lograr para la siguiente reunión del equipo?
PARTE I | PARTE II  | PARTE III | PARTE IV  | PARTE V 
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)