Madurez del mercado español

Transcripción

1 Madurez del mercado español Calidad y seguridad de aplicaciones Ponente Luisa Morales Gómez-Tejedor Directora del Centro de Competencias de Sopra

2 Por qué un estudio sobre la calidad y la seguridad?! Según estudios de mercado, los costes de mantenimiento suponen el 67% del coste total del ciclo de vida de una aplicación. Desglose del esfuerzo total del ciclo de vida Componentes que afectan a la complejidad técnica (70%) Desglose del esfuerzo de mantenimiento Realizar Pruebas Implementar Cambios 28% 19% Actualizar Documentación 6% 23% 18% 6% Estudiar Peticiones Estudiar Código Estudiar Documentación! Alrededor del 70% de esa cifra (47% del ciclo de vida de una Aplicación) se invierte en tareas cuya duración está estrechamente ligada a la complejidad técnica. 2 Distribución del tiempo en tareas de mantenimiento (McClure)

3 Por qué un estudio sobre la calidad y la seguridad?! El 70% de los daños producidos por fallos de seguridad se deben a ataques cuyo punto de entrada han sido las aplicaciones. Gartner Frecuencia ataques vs gasto en seguridad 30% Perímetro % ataques 70% Aplicaciones Protección Antivirus Encriptación (SSL) Firewalls / Advanced Routers Web Servers! Sin embargo, en general las empresas gastan en seguridad de aplicaciones del orden del 10% de su presupuesto global de seguridad informática. Firewall Application Servers % gasto en seguridad 90% 10% Databases Backend Server 3

4 Autoría del Benchmark Estudio de mercado elaborado por Sopra en colaboración con Koukio Solutions en empresas españolas, en el periodo ! Compañía consultora de integración de sistemas, con una alta especialización en calidad y pruebas.! Compañía experta en soluciones tecnológicas aplicadas al negocio, comercializadora de la herramienta CodAudit. Industrializa la auditoría de calidad y seguridad del software, basándose en estándares de programación mundialmente reconocidos. 4

5 Evaluación de Calidad! Facilidad para encontrar los cambios introducidos en el sistema Desglose (número de violaciones por cada líneas de código) Lógica 0,02 Gestión de excepciones 0,44 Datos Arquitectura 0,25 0,26 0,00 0,05 0,10 0,15 0,20 0,25 0,30 0,35 0,40 0,45 5

6 Evaluación de Calidad! Reglas relacionadas con algoritmos, reutilización de objetos, etc. Desglose (número de violaciones por cada líneas de código) Buenas prácticas 1,96 Memoria 0,20 0,00 0,50 1,00 1,50 2,00 6

7 Evaluación de Calidad! Reglas relacionadas con las buenas prácticas de programación Desglose (número de violaciones por cada líneas de código) Comprensibilidad 11,47 Legibilidad 0,05 0,00 2,00 4,00 6,00 8,00 10,00 12,00 7

8 Evaluación de Calidad! Evaluación del uso correcto del framework y de las librerías, compatibilad del código con las plataformas de 32 y 64 bits Desglose (número de violaciones por cada líneas de código) Sistema operativo 0,01 0,00 0,00 0,00 0,01 0,01 0,01 8

9 Evaluación de Calidad! Reglas relacionadas con la robustez de la implementación, gestión de colas, complejidad esencial de McCabe, etc. Desglose (número de violaciones por cada líneas de código) Disponibilidad 1,11 Lógica 1,62 Tolerancia a fallos 0,07 Datos 0,23 0,00 0,20 0,40 0,60 0,80 1,00 1,20 1,40 1,60 1,80 9

10 Evaluación de Calidad! Facilidad para ser probado: simplicidad para probar los cambios en el sistema Desglose (número de violaciones por cada líneas de código) Pruebas unitarias 1,04 Nivel unitario 0,23 Relacionado con el S.O. 0,10 0,00 0,20 0,40 0,60 0,80 1,00 1,20 10

11 Evaluación de Calidad Número de violaciones por cada líneas de código Portabilidad Modificabilidad Facilidad para ser probado Eficiencia Fiabilidad 0,01 0,97 1,37 2,16 3,03 Mantenibilidad 11,51 0,00 2,00 4,00 6,00 8,00 10,00 12,00 11

12 Evaluación de Seguridad! Estándares internacionales de programación segura, análisis de la estructura de datos, control de flujo, gestión de memoria y detección de vulnerabilidades Desglose (número de violaciones por cada líneas de código) Severidad 5 (Informativo) Severidad 4 (Menor) Severidad 3 (Mayor) Severidad 2 (Crítica) Severidad 1 (Bloqueante) 0,15 0,30 1,25 2,70 3,38 0,00 0,50 1,00 1,50 2,00 2,50 3,00 3,50 12

13 Evaluación de Seguridad Índice de riesgo 1 Muy bajo 2 Bajo 3 Medio 4 Alto 5 Muy alto Cuáles han sido las principales incidencias de seguridad? A qué causas se han debido? Qué impacto han tenido? Cuáles son los principales obstáculos para el desarrollo seguro? 13

14 Principales incidencias de seguridad! Robo / Acceso a la información! Modificación de información! Modificación no autorizada de 14 programas

15 Principales causas 15! Uso abusivo de los recursos / privilegios! Vulnerabilidades en el SW base / HW

16 Impacto! Sanciones o acciones regulatorias! Pérdida de clientes! Daño en la relación con empleados 16

17 obstáculos para la práctica de desarrollo seguro! Falta de personal especializado en seguridad del Desarrollo! Restricciones de presupuesto! Falta de tiempo dedicado a la Calidad y Seguridad del Desarrollo! Complejidad de los productos de Medición del Software! Cambios técnicos en los estándares de Desarrollo! Falta de procesos de Desarrollo seguro! Falta de cultura / formación de programadores 17

18 Evaluación del proceso de pruebas! Integración de las pruebas en el ciclo de vida del proyecto. Se valora la metodología, procedimientos, documentación. Gestión de incidencias 2,68 Comunicación y escalado de Documentación de procedimientos Fases de pruebas Metodología 2,18 2,29 2,32 2,38 1,00 2,00 3,00 4,00 18

19 Evaluación del proceso de pruebas! Se valora si las técnicas que se usan son apropiadas, efectivas y medibles. Metricas para la gestión y mejora 1,82 Especificaciones basadas en Planificación y estimación de pruebas 2,56 2,74 Técnicas de pruebas estáticas Gestión de pruebas basada en 2,00 2,24 1,00 2,00 3,00 4,00 19

20 Evaluación del proceso de! Se valora el uso de las herramientas y el entorno de pruebas. pruebas Datos de pruebas 2,88 Conocimiento de herramientas Herramientas de gestión de 1,91 2,12 Entorno de pruebas 2,50 Herramientas de automatización 1,85 1,00 2,00 3,00 4,0020

21 Evaluación del proceso de pruebas! Se valora la definición de los skills de testing y su formación, así como la composición del equipo. Motivación y compromiso 1,50 Especialización por tipos de Perfiles de Testing Formación Equipo independiente de pruebas 1,91 1,68 1,82 2,18 1,00 2,00 3,00 4,0021

22 Evaluación del proceso de pruebas El dato de las Best Practices se ha calculado con la media de las tres compañías con los valores más altos. Organización 1,82 3,93 Herramientas Técnicas 2,25 2,27 3,87 3,73 Best Practices Media del mercado Ciclo de Vida 2,37 4,00 0,00 1,00 2,00 3,00 4,00 De 0 (mínimo) a 4 (máximo) 22

23 Medir para mejorar Aseguramiento del negocio Reducción de costes Reducción de plazos ROI desde el primer año Instaurar procesos Afrontar las causas Detectar debilidades 23

24 Datos de la ponente Luisa Morales Gómez-Tejedor Inicia su profesión en Desde el año 2005 dirige el Centro de Pruebas de Sopra, donde lidera la puesta en marcha de servicios de pruebas complejos con un alto componente de externalización nacional e internacional. Forma parte de la dirección ejecutiva del Spanish Software Testing Qualifications Board (SSTQB, organismo español perteneciente al ISTQB). Datos de contacto Luisa.morales@sopra.com Teléfono :