La calidad del producto, junto con la calidad del proceso, es uno de los aspectos más importantes actualmente en el desarrollo de Software. Relacionada con la calidad del producto, recientemente ha aparecido la familia de normas ISO/IEC 25000, que proporciona una guía para el uso de la nueva serie de estándares internacionales llamada Requisitos y Evaluación de Calidad de Productos de Software (SQuaRE – System and Software Quality Requirements and Evaluation).

ISO/IEC 25000 constituye una serie de normas basadas en ISO/IEC 9126 y en ISO/IEC 14598 cuyo objetivo principal es guiar el desarrollo de los productos de software mediante la especificación de requisitos y evaluación de características de calidad.

Sicaman ha recibido la certificación de AENOR de conformidad con ISO/IEC 25000 – Adecuación Funcional, para MARISMA 2.0. En la evaluación de la Adecuación Funcional realizada por el laboratorio acreditado AQCLab, dicho producto ha alcanzado el máximo nivel de calidad (5).

Esta certificación se ha realizado gracias a la colaboración entre AENOR, el laboratorio AQCLab y SICAMAN-NT, siguiendo el proceso de evaluación y certificación de la calidad del producto software. Así, AQCLab ha realizado la evaluación del producto software MARISMA 2.0 y ha apoyado a SICAMAN-NT en la mejora de la calidad del mismo para lograr la certificación ISO/IEC 25000.

El proyecto Marisma estuvo presente en el acto anual sobre Política Regional y Fondos Europeos en España, dado lugar en Noviembre de 2016, en el Museo Lázaro Galdiano (Madrid).

Marisma seleccionada por las siguientes innovaciones no disponibles por otras herramientas de gestión de riesgos:

1. Entorno colaborativo, para la gestión del riego.
2. Gestión dinámica del riesgo.
3. Basada en patrones re-utilizables.
4. Gestión integral del riesgo.
5. Riesgos asociativos y jerárquicos.
6. Multi-empresa y multi-departamento.
7. 100% acceso web y con un modelo SASS.

1. Entorno Colaborativo

En cualquier proceso crítico a evaluar intervienen diferentes personas con diferentes grados de responsabilidad.

MARISMA está concebido como un entorno colaborativo en el que puedan formar parte de la gestión de riesgos todas las personas involucradas en los procesos a evaluar: Cliente, Propietario de riesgos, consultor y auditor

2. Gestión dinámica del riesgo

El riesgo de un proceso es dinámico y cambia en función de los eventos que se producen durante el mismo.

MARISMA incorpora dentro de la misma herramienta, un sistema de gestión de eventos dinámico. Mediante este mecanismo, los eventos o incidencias que afectan al riesgo, re-alimentan el sistema para determinar un plan de tratamiento y actualizar el riesgo del proceso en cada momento de forma DINÁMICA.

3. Basada en patrones re-utilizables

El análisis del riesgo y sobre todo el tratamiento de riesgos se realiza respecto a un sistema de referencia o norma.

MARISMA permite generar patrones o modelos personalizados para representar cualquier sistema de referencia o normativa así como sus controles específicos. La utilización de patrones re-utilizables, permite reducir en más de un 70% el tiempo necesario para la gestión del Análisis de Riesgos.

4. Gestión integral del riesgo

El análisis del riesgo es solo una parte de la gestión del riesgo.

MARISMA implementa no es solo una herramienta para generar el análisis del riesgo, sino que permite:

• Auditoria inicial del estado de riesgos.
• Generación automática del mapa de riesgos.
• Generación automática del plan de tratamiento de riesgos.
• Seguimiento del plan de tratamiento de riesgos.
• Gestión de incidencias sobre los riesgos.
• Monitorización y auditoria.

5. Riesgos asociativo y jerárquicos

Los activos TIC están cada vez más interrelacionados y se comparten cada vez más entre compañías, proyectos, normas…

MARISMA permite establecer dependencias asociativas y jerárquicas entre activos, con el objetivo de que si un activo compartido sufre un impacto cambia automáticamente el riesgo de todos los activos, compañías, proyectos y normas involucradas.

6. Soporte multi-proyecto y multi-departamento

La gestión del riesgo no es solo una tarea a realizar sino un proceso dentro de una organización.

MARISMA permite la gestión de múltiples proyectos dentro de una compañía y para uno o varios departamentos.

7. Acceso 100% web e implantación en modo SAAS

Tradicionalmente la evaluación de riesgos se ha realizado utilizando complejas hojas de cálculo o programas de escritorio para el cálculo del riesgo.

MARISMA se ha desarrollado utilizando las últimas tecnologías en entornos web para ofrecer un interfaz amigable y accesible 100% web desde cualquier parte del mundo.

Puedes ver la presentación completa en el siguiente vídeo:

¿Qué es Marisma?

Se ha definido el proceso completo de análisis de riesgos, definiendo las formulas y algoritmos que los componen. Para solucionar los problemas detectados en el análisis y gestión del riesgo, se ha realizado un proceso orientado a las PYMES y enfocado a reducir los costes de generación y mantenimiento del proceso de análisis y gestión del riesgo denominado eMarisma-AGR. Este proceso se ha obtenido mediante la aplicación del método de investigación en acción y se ha enmarcado dentro de una metodología (eMarisma) que acomete todos los aspectos relacionados con la gestión de la seguridad, y bajo la premisa de que cualquier sistemas de Análisis de Riesgos valido para las PYMES también será extrapolable a grandes compañías.

¿Cómo funciona?

Esta metodología asocia el análisis y la gestión del riesgo a los controles necesarios para la gestión de la seguridad y consta de tres procesos muy importantes:

• Proceso 1 – Generación de Patrones para el Análisis de Riesgos (GPAR): Se establece una estructura de relaciones entre los diferentes elementos involucrados en el análisis del riesgo y los controles necesarios para gestionar la seguridad. Estas relaciones se establecen mediante el conocimiento adquirido en las diferentes implantaciones, que es almacenado en una estructura denominada patrón para ser reutilizado con posterioridad, reduciendo los costes de generación de este proceso.
• Proceso 2 – Generación del Análisis y Gestión del Riesgo (GAGR): Mediante la selección del patrón más adecuado y la identificación de un pequeño conjunto de los principales activos se obtiene un detallado mapa de la situación actual (análisis del riesgo) y un plan de recomendaciones de cómo mejorarlo (gestión del riesgo).
• Proceso 3 – Mantenimiento Dinámico del Análisis de Riesgos (MDAR): Mediante la utilización de las matrices generadas, las cuáles interconectan los diferentes artefactos, el sistema irá recalculando el análisis de riesgos según se produzcan incidentes de seguridad, fallen las métricas definidas o los auditores detecten “no conformidades” en los controles.

Presentación herramienta “Marisma” por Luis Enrique Sánchez Crespo