Identificación de riesgos de proyectos de software en base a taxonomías

Transcripción

1 Identificación de riesgos de proyectos de software en base a taxonomías ANTEPROYECTO DE TESIS ITBA UPM MAGISTER EN INGENIERIA DE SOFTWARE Maestrando: Lic. Sebastián D. Maniasi Directora: M. Ing. Paola Britos Introducción El SEI (Software Engineering Institute) define al riesgo como la posibilidad de sufrir una pérdida [SEI, 2004] y a la Administración de Riesgos como el proceso formal en el que los factores de riesgos son sistemáticamente identificados, evaluados y mitigados [SEI, 2004]; esta actividad se inicia en la primera etapa de un proyecto de software (durante la exploración de conceptos) y se desarrolla a lo largo de todo su ciclo de vida (hasta la aceptación del producto del proyecto). Al realizar Administración de Riesgos, es fundamental lograr una clara descripción del riesgo de forma tal de que el mismo pueda ser comprendido y manejado adecuadamente; cuando se lo enuncia, no solo debe considerarse el síntoma sino también sus consecuencias. Existen varios modelos de Administración de Riesgos pero el más aceptado consta de cinco pasos (Identificación, Análisis, Planificación, Seguimiento y Control) los que comparten como actividades comunes las de documentación y comunicación (véase Figura 1). El siguiente gráfico representa el modelo antes descrito: Identificación Control Documentación & Comunicación Análisis Seguimiento Planificación Figura 1 - Modelo de Administración de Riesgos Lic. Sebastián D. Maniasi Versión 1.3 Página 1/10

2 La Identificación de Riesgos en proyectos de software consiste en la determinación de elementos de riesgos potenciales mediante la utilización de algún método consistente y estructurado; este es, probablemente, el paso más importante entre todos aquellos que componen las actividades de Administración de Riesgos, ya que sin la correcta determinación de los mismos, no es posible desarrollar e implementar anticipadamente respuestas apropiadas a los problemas que puedan surgir en el proyecto [Futrell, et al., 2002]. El resultado de la identificación de riesgos es una lista conteniendo los riesgos que se han identificados y su categoría correspondiente. La Administración de Riesgos en base a Taxonomías implica el utilizar una estructura agrupadora de los mismos de acuerdo a su diferentes clases como una lista de consulta durante la actividad de Identificación de los Riesgos (esta lista estructurada puede obtenerse tanto de la misma organización como de cualquier otra fuente disponible, tales como: [Marvin J. Carr et al., 1993] o [Microsoft, 2002]). Adicionalmente, CMMI (Capability Maturity Model Integrated) [CMMI, 2002] se ha convertido en el nuevo estándar a nivel mundial para la medición de la calidad de los procesos de desarrollo de software y presenta como una de sus PA (Process Area) fundamentales de Nivel 3 la Administración de Riesgos. Dentro del antes mencionado contexto las Taxonomías de fuentes de riesgos y la Identificación de Riesgos juegan un papel fundamental entre los objetivos planteados para el área de proceso asociada al manejo de riegos debido a que las tareas antes indicadas son consideradas como Actividades en el referido PA (véase Figura 2). El siguiente gráfico [Williams Ray, 2003] resume el PA de Administración de Riesgos y destaca la importancia de los componentes estudiados: Objetivo 1: Preparación para la Administración de Riesgos Determinar fuentes de riesgos y categorías Definir parametros de riesgos Establecer y mantener una estrategia de administración de riesgos Objetivo 2: Indentificar y Analizar Riesgos Identificar riesgos Repositorio de Riesgos De: Planificación de Proyectos y Monitoreo y Control de Proyectos Evaluar, categorizar y priorizar riesgos Implementar planes de mitigación de riesgos Desarrollar planes de mitigación de riesgos Objetivo 3: Mitigación de Riesgos Figura 2 - PA de Administración de Riesgos en CMMI Lic. Sebastián D. Maniasi Versión 1.3 Página 2/10

3 De lo antes expuesto, puede derivarse la enorme importancia que los aspectos mencionados tienen en el marco de las actividades de Administración de Proyectos (y por tanto en el área de Ingeniería de Software) considerando dentro de este contexto el continuo esfuerzo realizado y la permanente y creciente necesidad presentada por las compañías de software con relación a herramientas que permitan automatizar y estandarizar sus procesos de gestión en busca de una mayor madurez organizacional. Lic. Sebastián D. Maniasi Versión 1.3 Página 3/10

4 Estado de la Tecnología Actualmente, se encuentra disponible una gran cantidad de material bibliográfico, herramientas y software que sirven como colaboradores en las actividades de un administrador de proyecto y, entre ellas y particularmente, en las tareas relacionadas con la Administración de Riesgos. Dentro de este contexto, las actividades de Identificación de Riesgos han sido ampliamente estudiadas y documentadas, constituyendo de este modo uno de los principales aspectos de análisis dentro de la teoría general. Específicamente, la Identificación de Riesgos en base a Taxonomías ha sido motivo de interés creciente en la industria de software y tiene su referencia fundamental en el trabajo presentado por el SEI en el año 1993 y titulado Taxonomy-Based Risk Identification [Marvin J. Carr et al., 1993]; el mismo propone una metodología basada en un cuestionario desarrollado por el SEI cuyo objetivo es colaborar en la identificación de riesgos según categorías típicas, dicho cuestionario posibilita a los equipos de proyecto explorar riesgos potenciales que podrían no haber sido considerados de otro modo. Derivados de esta idea se han desarrollado una serie de categorizaciones en diferentes organizaciones tanto privadas como gubernamentales entre las cuales se destacan: DoD (Department of Defense, Estados Unidos), TBS (Treasury Board Secretariat, Canadá), XEROX (Estados Unidos), Microsoft (Estados Unidos) y Motorola (Global Software Group, India). Adicionalmente, existen una gran cantidad de herramientas de software provistas en el mercado y relacionadas con las actividades de Administración de Riesgos, específicamente, algunas de ellas orientan su funcionalidad al soporte de la Identificación de Riesgos y, parcialmente, algunas pocas lo hacen empleando Taxonomías (véase Tabla 1). El siguiente cuadro resume las características principales de las herramientas de software que se encuentran disponibles actualmente y que están relacionadas con la Identificación de Riesgos en proyectos: Producto Proveedor Descripción Plataforma Active Risk Strategic Herramienta integrada de Web Based Manager (ARM) Thought Administración de Riesgos que brinda una solución para la Identificación de Riesgos mediante la utilización de la información contenida en la WBS de proyecto. Technical Risk Best Herramienta integrada de Win32 Identification and Manufacturing Administración de Riesgos que Mitigation System Practices emplea ingeniería de (TRIMS) conocimientos y que se enfocada en la identificación y medición de riesgos técnicos de proyectos. RiskTrak Risk Services & Technology Herramienta integrada de Administración de Riesgos que brinda una solución para la Identificación de Riesgos mediante el empleo de base de datos. WelcomRisk Welcom Herramienta integrada de Administración de Riesgos que brinda una solución para la Identificación Sistemática de Riesgos mediante la utilización de bibliotecas configurables de categorías de riesgos. Tabla 1 - Herramientas para la Identificación de Riesgos Win32 Win32 Lic. Sebastián D. Maniasi Versión 1.3 Página 4/10

5 Finalmente, de lo antes expuesto, es posible determinar que existe una región no soportada completamente por las herramientas existentes; la misma esta caracterizada por las necesidades de colaboración que poseen los administradores de proyectos respecto a la posibilidad de realizar una Identificación de Riesgos asistida y basada en una gran cantidad de categorías estándar de riesgos (véase Tabla 2). Lic. Sebastián D. Maniasi Versión 1.3 Página 5/10

6 Identificación del problema La Administración de Riesgos es un proceso que debería llevarse a cabo como parte de las actividades habituales de proyecto de toda organización dedicada a la generación y/o mantenimiento de software [Futrell, et al., 2002]; esta afirmación se hace aún mas evidente en las compañías que han adoptado o que pretenden adoptar un modelo de calidad de software tal como CMM o CMMI. Adicionalmente, es posible identificar una tendencia creciente hacia el logro de la estandarización de procesos en las organizaciones; el empleo de Taxonomías alienta dicho objetivo durante las actividades de Identificación de Riesgos debido a que posibilitan organizar la diversidad de conocimientos en forma de clasificaciones que pueden emplearse de manera consistente a lo largo de todos los proyectos de una organización. Actualmente, no existen herramientas que brinden un soporte adecuado y estandarizado a los administradores de proyectos específicamente durante la fase de Identificación de Riesgos en organizaciones que comienzan con la implementación formal de las tareas de Administración de Riesgos; las herramientas existentes o bien se enfocan solo en una categoría de riesgos [TRIMS, 2004], o bien están orientadas a compañías que poseen una amplia base de datos organizacional que les permite generar información de categorías propias de riesgos [RiskTrak, 2004; WelcomRisk, 2004], o bien emplean un mecanismo que no se orienta al uso de Taxonomías [Active Risk Manager, 2004] (véase Tabla 2). El objetivo principal del trabajo de tesis será el de desarrollar una herramienta que brinde la posibilidad de efectuar tareas de Identificación de Riesgos en base a Taxonomías estándar en organizaciones de software de cualquier tipo. La siguiente lista enumera las principales características previstas para la herramienta: Soporte de internacionalización, es decir, que el sistema será fácilmente portable a diferentes idiomas. Soporte multiplataforma, es decir, que el sistema tendrá la capacidad de ejecutarse en diferentes equipos con distintos sistemas operativos. Determinación automática de los riesgos que pueden presentarse en un proyecto de software. Generación de un reporte final de los riesgos identificados para un proyecto. El alcance del sistema se limita exclusivamente al soporte de las tareas de Identificación de Riesgos dentro del modelo de Administración de Riesgos. Se ha seleccionado esta alternativa debido a que: Este constituye el más importante de los pasos del modelo [Futrell, et al., 2002]. Las Taxonomías brindan la posibilidad de lograr una apropiada estandarización durante esta etapa del proceso. Las restantes fases del modelo están fuertemente caracterizadas e influenciadas por las políticas, enfoques, costumbres y realidades de las diferentes organizaciones debido a que son dichos componentes los determinantes de: las posibles acciones a tomar, el modo de implementarlas, la manera de controlar su cumplimiento y la forma de aplicar las posibles mejoras sugeridas a las mismas. El siguiente cuadro permite realizar una comparación entre las principales características de las herramientas analizadas y el asistente propuesto como producto de la tesis: ARM TRIMS RiskTrak WelcomRisk Asistente Taxonomías estándar No Si No No Si Riesgos de todo tipo Si No Si Si Si Multiplataforma Si No No No Si Internacionalización No No No No Si Modelo completo Si Si Si Si No Interfaz gráfica Si Si Si Si Si Reportes Si Si Si Si Si Tabla 2 - Comparación de Herramientas de soporte de Identificación de Riesgos Lic. Sebastián D. Maniasi Versión 1.3 Página 6/10

7 Las fuentes de información principal del presente proyecto serán los estudios existentes sobre la utilización de Taxonomías en la actividad de Identificación de Riesgos [Capers Jones, 2000; Futrell, et al., 2002; Marvin J. Carr et al., 1993; Microsoft, 2002]. La herramienta que constituirá el producto final del proyecto de Tesis será un prototipo que se desarrollará empleando tecnologías Java del tipo J2SE (Java 2 Standard Edition), computadoras personales con sistemas operativos Win32, compiladores, bibliotecas y entornos de desarrollo del tipo OpenSource. Finalmente, es uno de los objetivos secundarios del presente trabajo constituir la base sobre la cual será implementado el PA de Administración de Riesgos en Motorola Argentina SA por lo cual se contará con el apoyo de la compañía en lo que refiere tanto a la participación de expertos como en la colaboración con recursos. Considerando lo antes mencionado, se pretende obtener, además del sistema descrito, una serie de datos que permitan comenzar a definir un conjunto de guías en base a la realidad organizacional para la aplicación completa, integrada y estandarizada del modelo clásico de Administración de Riesgos. Lic. Sebastián D. Maniasi Versión 1.3 Página 7/10

8 Esbozo de la solución La herramienta a desarrollar constituirá una aplicación del tipo standalone, ejecutable en cualquier sistema operativo con soporte para Java, con una interfaz gráfica de navegación orientada a facilitar su empleo a los usuarios finales y con conexión a un repositorio de datos donde serán almacenadas las Taxonomías a consultar y el resto la información que permitirá el correcto funcionamiento del sistema (véase Figura 3). El siguiente gráfico muestra la arquitectura de alto nivel planteada para el sistema: J2SE IDEs Bibliotecas Win32 Aplicación Gráfica Standalone Desarrollo Explotación Taxonomías UNIX MAC Win32 Figura 3 Arquitectura de Alto Nivel Para la determinación de los riesgos, el asistente preguntará al usuario la información necesaria y producirá como resultado final un reporte conteniendo los riesgos identificados para un determinado proyecto. Lic. Sebastián D. Maniasi Versión 1.3 Página 8/10

9 Planificación tentativa Con el propósito de llevar a cabo el desarrollo de la herramienta durante el proyecto de Tesis de Magíster se utilizará la Metodología MÉTRICA Versión 3 [Métrica V3, 2000]. El siguiente cuadro detalla, por cada uno de los procesos que componen la metodología, el esfuerzo inicialmente estimado para su completitud considerando tanto actividades de desarrollo, como de revisión y retrabajo: Procesos Proceso Esfuerzo Estimado (Hs.) Planificación de Sistemas de Información (PSI) Desarrollo de Sistemas de Información Estudio de Viabilidad del 38.5 Sistema (EVS) Desarrollo de Sistemas de Información Análisis del Sistema de 144 Información (ASI) Desarrollo de Sistemas de Información Diseño del Sistema de 144 Información (DSI) Desarrollo de Sistemas de Información Construcción del Sistema 192 de Información (CSI) Desarrollo de Sistemas de Información Implantación y Aceptación 48 del Sistema (IAS) Mantenimiento de Sistemas de Información (MSI) Subtotal Interfaces Interfaz Esfuerzo Estimado (Hs.) Gestión de Proyectos 57 Seguridad 28 Gestión de la Configuración 28 Aseguramiento de la Calidad 142 Subtotal 255 TOTAL Se estima además una dedicación semanal de 20 horas/hombre empleadas en el desarrollo del sistema, motivo por el cual el tiempo total estimado para la completitud de la tesis es de 41 semanas o 10 meses. Es importante remarcar que los valores referidos en la estimación antes presentada constituyen una aproximación de alto grado de magnitud y que en el cálculo final de tiempo total estimado no se ha considerado la posibilidad de contar con recursos humanos extra que colaboren con el desarrollo del proyecto. Finalmente, es preciso indicar que en la estimación realizada no han sido incluidos los procesos PSI y MSI debido a que: El sistema propuesto es independiente de un ámbito organizativo determinado motivo por el cual no es necesario llevar a cabo el desarrollo de un Plan de Sistemas de Información específico, sino de una herramienta que pueda ser empleada en organizaciones de software de cualquier tipo. El alcance del proyecto esta fijado hasta la obtención de la primera versión del asistente por lo que no se contemplan actividades relacionadas al mantenimiento del mismo. Lic. Sebastián D. Maniasi Versión 1.3 Página 9/10

10 Referencias [Active Risk Manager, 2004]. Active Risk Manager. Disponible en EC8CB.nsf/h_Toc/d84e8c26d5c18c deb006ef979/?OpenDocument. Página vigente al 04-Sep [Capers Jones, 2000]. Software Assessments, Benchmarks, and Best Practices. Editorial Addison Wesley. ISBN [CMMI, 2002]. Capability Maturity Model Integrated. Software Engineering Institute. Disponible en Página vigente al 03- Sep [Futrell, Shafer & Shafer, 2002]. Quality Software Project Management. Editorial Prentice Hall. ISBN [Hobbs Peter, 2000]. Project Management The essential guiede to thinking and working smarter. Editorial American Management Association. ISBN X. [Marvin J. Carr, Suresh L. Konda, Ira Monarch, F. Carol Ulrich y Clay F. Walker, 1993]. Taxonomy-Based Risk Identification. 90 páginas. Disponible en Página vigente al 03-Sep [Métrica V3, 2000]. Metodología de Planificación, Desarrollo y Mantenimiento de sistemas de información. Ministerio de Administraciones Públicas Español. Disponible en Página vigente al 03-Sep [Microsoft, 2002]. MSF Risk Management Discipline v Páginas. Disponible en 448c-a d &DisplayLang=en. Página vigente al 07-Sep [Motorola, 2003]. Project Management: Risk Management. Editorial Motorola University. [Project Management Institute (PMI), 2001]. A Guide to the Project Management Body of Knowledge: 2000 Edition. Editorial PMI. ISBN [RiskTrak, 2004]. RiskTrak. Disponible en Página vigente al 04-Sep [SEI, 2004]. Software Engineering Institute. Disponible en Página vigente al 07-Sep [TRIMS, 2004]. Technical Risk Identification and Mitigation System. Disponible en Página vigente al 04-Sep [Ward J. LeRoy, 2000]. Project Management Terms: A working glossary. Editorial ESI International. ISBN [WelcomRisk, 2004]. WelcomRisk. Disponible en Página vigente al 04-Sep [Williams Ray, 2003]. New directions in Risk Management at SEI. NASA RMC IV. Disponible en Página vigente al 03-Sep Lic. Sebastián D. Maniasi Versión 1.3 Página 10/10