NC ISO/IEC 25001:2017 SQuaRE – Planificación y Gestión

El SC7 – Ingeniería de software aprobó el proyecto de norma ISO/IEC 25001 Ingeniería de software y sistemas – Requisitos la calidad y Evaluación del software y Sistema (SQuaRE) – Planificación y gestión para su adopción en Cuba.

La norma proporciona requisitos y recomendaciones para una organización responsable de implementar y gestionar la especificación de requisitos de la calidad de productos de software y sistemas, así como las actividades de evaluación a través del suministro de tecnología, herramientas, experiencias y habilidades de gestión.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Evaluación de la Usabilidad en aplicaciones web con la presencia del usuario

RESUMEN

Junto a la creación de un laboratorio de usabilidad viene asociada esta investigación, donde se aplicarán varios tipos de pruebas utilizando herramientas dinámicas y estáticas para evaluar las características de Usabilidad, Comunicabilidad y Accesibilidad. Teniendo en cuanta una serie de indicadores en el proceso de evaluación del producto de software con la intervención del usuario a quien va dirigido el mismo. Además se tratará como esta Cuba respecto al tema de las pruebas a estas características y el impacto que podría traer a los equipos de desarrollos. También se abordará el resultado de aplicar una herramienta (Lista de Chequeo) a un conjunto de aplicaciones web en pruebas ejecutadas en el Centro Nacional de Calidad de Software de Cuba (CALISOFT). Igualmente se mostrarán un conjunto de buenas prácticas que ayuden al desarrollo de aplicaciones web para satisfacer al usuario.

Investigación publicada en Twelfth LACCEI Latin American and Caribbean Conference for Engineering and Technology (LACCEI’2014) ”Excellence in Engineering To Enhance a Country’s Productivity” July 22 – 24, 2014 Guayaquil, Ecuador.

Autores: MSc. Asnier Enrique Góngora Rodríguez e Ing. Adisleydis Rodríguez Álvarez.

URL para acceder al trabajo completo: http://www.laccei.org/LACCEI2014-Guayaquil/RefereedPapers/RP165.pdf

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

El empleo de operaciones de agregación: un instrumento para priorizar los requisitos de software

RESUMEN

La calidad del software como sistema de información está frecuentemente determinada por la habilidad para satisfacer las necesidades de los clientes y usuarios finales, obtenidas y especificadas como requisitos de software. Para satisfacer estas necesidades resulta importante la realización de una correcta ingeniería de requisitos y especialmente su priorización. La priorización de requisitos de software es un proceso complejo de toma de decisiones. Los enfoques tradicionales no realizan la agregación de los criterios con la suficiente flexibilidad y adaptabilidad a los contextos específicos de las organizaciones. En el presente trabajo se propone un método de priorización de requisitos que hace uso de los operadores de agregación para la fusión de la información y el método de jerarquía analítica para determinar la importancia de los criterios. La propuesta permite la inclusión de aspectos tales como la importancia de los criterios y nivel de compensación. Un estudio de caso muestra aplicabilidad de la propuesta se desarrolla un estudio de caso. El artículo finaliza con propuestas de trabajos futuros que contribuyan a la aplicabilidad del método.

Investigación publicada en https://www.researchgate.net/publication/301292607_EL_EMPLEO_DE_OPERACIONES_DE_AGREGACION_UN_INSTRUMENTO_PARA_PRIORIZAR_LOS_REQUISITOS_DE_SOFTWARE (Noviembre 2015)

Autores: Maikel Leyva Vázquez, Karina Pérez Teruel, Nelly Valencia Martínez, Ameirys Betancourt Vázquez

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

NC ISO/IEC 25030:2017 SQuaRE – Requisitos de la Calidad

El SC7 aprobó el proyecto de norma cubana ISO/IEC 25030 para su entrega a la Oficina Nacional de Normalización (ONN) con el propósito de adoptarla en el país. Dicha norma pertenece a la familia SQuaRE y contiene los Requisitos de la Calidad.

El capítulo 5 expone los principales conceptos para los Requisitos de la Calidad, donde se explica la relación entre sistema y software, las partes interesadas y sus requisitos, los modelos de la calidad del software como parte de un sistema mayor, las propiedades del software (ver foto 1), los modelos de medición de la calidad del software, los requisitos de la calidad del software (ver figura 2), las categorías de los requisitos (ver figura 3) y el modelo del ciclo de vida de los requisitos de la calidad del software.

Figura 1: Propiedades del software.

 Figura 2: Definición y análisis de los requisitos de la calidad del software.

Figura 3: Categorización de los requisitos del sistema.

En el capítulo 6 se explican los requisitos para los requisitos de la calidad del software.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Testing como Práctica para Evaluar la Eficiencia en Aplicaciones Web

RESUMEN

La investigación está asociada al Testing como práctica para evaluar uno de los atributos de calidad que describe la Norma ISO/IEC 9126 como característica la “Eficiencia”, que es según esta norma: La capacidad del producto de software para proporcionar una ejecución o desempeño apropiado, en relación con la cantidad de recursos utilizados usados, bajo condiciones establecidas. Para evaluar esta característica se han identificado un conjunto de tipos de Test, teniendo en cuenta las sub-características de la misma ellas son: Rendimiento, Carga y Estrés, además se propone un procedimiento que guía la gestión y ejecución de los diferentes test. Para las No Conformidades (errores) generados se ha elaborado una clasificación dependiendo de su tipo. Se propone el uso de herramientas automatizadas para la ejecución de los diferentes test, específicamente la herramienta JMETER, usada para analizar y medir el desempeño de una variedad de servicios, con énfasis en aplicaciones web. Se creó una Base de Casos de posibles soluciones que dan respuesta a errores HTTP. Todos estos elementos descritos anteriormente proveen de un marco para la evaluación final de la característica en cuestión en productos de software, proponiéndose un conjunto de métricas que arrojan resultados cuantitativos por cada sub-característica de la Norma o por tipos de test propuestos.

Investigación publicada en la REVISTA LATINOAMERICANA DE INGENIERÍA DE SOFTWARE, Vol. 2, Núm. 5 (2014)

ISSN 2314-2642

Autores: Delvis Echeverría Perez, Ariannis Abella Paumier

URL para acceder al trabajo completo: http://revistas.unla.edu.ar/software/article/view/255

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Celebración del Panel sobre la Calidad de los Sistemas Contables Financieros (SCF)

En la mañana del 23 de marzo del 2017 se celebró el primer Panel sobre la calidad de los Sistemas Contables Financieros (SCF). Sesenta y ocho participantes acudieron a la cita convocados por la Sociedad Cubana de Auditoría y el Subcomité 7 – Ingeniería de Software.

La ponencia “Estado actual del proceso de Desarrollo de los Sistemas Contables Financieros (SCF)” fue presentada por el MSc. Asnier Góngora Rodríguez. La misma es el fruto de una investigación realizada durante el año 2014, junto a la MSc. Anisbert Suárez Batista, al proceso de desarrollo de los siguientes productos ERP: ETES, XEDROS, VERSAT SARASOLA, SISCONT5, Rodas XXI y DISTRA.

La investigación demostró que 3 centros tenían certificado el Sistema de Gestión de la Calidad (SGC) y 1 tenía una evaluación del Nivel dos de CMMI. También se identificó que 2 entidades utilizaban la metodología SCRUM y 4 metodologías propias.

La exposición resumió las buenas prácticas implementadas y las oportunidades de mejora identificadas en las siguientes áreas:

  • Gestión de Requisitos.
  • Planificación de Proyectos.
  • Supervisión y Control de Proyectos.
  • Gestión de conformidad con el proveedor.
  • Medición y Análisis.
  • Aseguramiento de calidad de Procesos y Productos.
  • Gestión de configuración.

El moderador del evento, el MSc. Yoandy Lazo Alvarado realizó un resumen de los requisitos que plantea el Modelo de la Calidad para el Desarrollo de Aplicaciones Informáticas (MCDAI) en el área de Reutilización.

  • Se debe identificar el potencial de reutilización de cada dominio de aplicación Se debe identificar el potencial de reutilización de cada dominio de aplicación identificado en el modelo de negocio de la organización, a partir del análisis de proyectos realizados y de estudios de mercado.
  • Se debe diagnosticar la capacidad de la entidad para implantar un programa de gestión de reutilización de software y tomar medidas para lograrlo.
  • Se debe definir y mantener un programa de gestión de reutilización que establezca sus metas, alcance, la planificación y monitoreo de sus actividades y la gestión de sus recursos.
  • Se bebe definir una biblioteca de activos reutilizables en la entidad, donde se encuentren los activos organizados, identificados y catalogados de forma tal que se facilite su búsqueda, almacenamiento y recuperación.
  • Se deben asegurar los criterios de aceptación, certificación, discontinuidad y evaluación de los activos reutilizables, así como el registro de la información de utilización los activos reutilizables con el objetivo de establecer vínculos entre los productores y consumidores de activos reutilizables.
  • Se deben mantener notificaciones del estado de los activos reutilizables a los usuarios consumidores, para garantizar que los mismos se mantengan siempre actualizados.
  • Se debe realizar un estudio de mercado en el dominio de solución, con el objetivo de identificar funcionalidades de productos similares.
  • Se deben homologar las funcionalidades identificadas con los requisitos del cliente, para definir requisitos adicionales que podría contener el producto en función de aumentar la satisfacción del cliente.
  • Se debe definir y mantener un modelo de dominio que describa las fronteras de cada dominio con potencial de reutilización y especifique sus características, capacidades, elementos comunes y variantes, opcionales u obligatorios.
  • El modelo dominio debe ser incorporado en un repositorio de activos reutilizables, una vez que se encuentre evaluado y aprobado formalmente.
  • Se debe desarrollar aplicando la ingeniería de dominio conforme a lo establecido en el programa de gestión de reutilización desarrollado por la organización.
  • Se debe definir la arquitectura de dominio en función del modelo de dominio.
  • Los activos de dominio especificados deben ser implementados o adquiridos y mantenidos.
  • Los activos de dominio deben ser incorporados en una biblioteca de activos reutilizables, una vez que se encuentren evaluados, formalizados y aprobados según las normas de calidad establecidas.
  • Se debe evaluar las propuestas de reutilización en proyectos específicos, teniendo en cuenta los activos de dominios que se encuentran generados, en pos de determinar el esfuerzo de adaptación, creación o adquisición de un nuevo activo de dominio.

El Ministerio de las Comunicaciones (MINCOM) de la República de Cuba estuvo representado por los ingenieros Susana Fuentes Jiménez y Alain Fundora Eligio de la Puente. Ambos explicaron “Procesos de Certificación de los sistemas contable-financieros soportados sobre las tecnologías de la información (SCF) en Cuba”.

Durante la exposición actualizaron a los presentes sobre las bases legales sobre las cuales se hacen las certificaciones a los SCF:

  • Resolución Conjunta MFP-MIC, del 2004 sobre los Requisitos para los SCF.
  • Resolución No. 340 del MFP, 2004 sobre el Grado de adaptación a las Normas Contables Cubanas de los SCF.
  • Resolución No. 12 del entonces MIC, 2005 sobre los Requisitos informáticos adicionales para los SCF.
  • Resolución No. 331 del MINCOM, 2015 que constituye la Comisión Interministerial, encargada de evaluar y aprobar el dictamen de las solicitudes de certificación para los SCF.
  • Resolución No. 579 del MINCOM, 2015 que designa al Director General de Informática como autoridad facultada, para emitir la certificación y su renovación de los SCF.

Se presentó el proceso de certificación:

Se mencionaron las entidades autorizadas a emitir los dictámenes requeridos.

También se expusieron las proyecciones referentes al tema:

  • Exigir el dictamen de calidad de software.
  • Traspasar hacia la Unidad Presupuestada Técnica de Control del Espectro Radioeléctrico (UPTCER), la función de tramitar las certificaciones, entre otras.

El Lic. Diosmel Rodríguez Carbonell expuso la ponencia “Proceso de evaluación de la calidad de los Sistemas Contables Financieros según la NC ISO/IEC 25040:2016”.

 

Durante la presentación detallo las siguientes actividades que propone la norma.

El Especialista Principal de la Empresa Segurmática, Juan Carlos Moro Hernández, expuso “Sistemas Contables Financieros. Principales vulnerabilidades detectadas en las revisiones de los mismos”.

Durante la intervención hizo saber a los participantes que durante el año 2016 Segurmática realizó 42 dictámenes y 27 fueron los SCF dictaminados.

Se mencionaron los aspectos que se verifican al evaluar la seguridad de un producto SCF:

  • Cuentan con claves de acceso robustas (6 a 8 caracteres como mínimo y requisitos de complejidad).
  • No visualiza las contraseñas mientras se teclean.
  • No se almacenan las contraseñas en las BD en texto claro.
  • Las claves no se transmiten en texto claro en el proceso de autenticación.
  • El acceso a las opciones del sistema está en correspondencia con los perfiles de usuario.
  • Se alerta cuando se modifican las bases de datos por fuera del sistema, aun estando el sistema en uso.
  • Se registra las actividades de uso y acceso realizadas por los usuarios para poder contar con trazas o rastros de seguimiento que posibiliten las investigaciones más comunes.
  • Contempla mecanismos de salvas.
  • Está diseñado sobre BD robustas.
  • Trabaja en red y es multiusuario.
  • Cuenta con manual de usuario y de explotación.
  • No se puede modificar su código ejecutable o cuenta con mecanismo de alerta.
  • Cuenta con la opción de bloqueo de sesión por inactividad del sistema.
  • No permite conexiones simultáneas desde diferentes equipos con un mismo usuario.
  • Tiene en cuenta la historia de la contraseña.
  • Concibe el cambio periódico de la contraseña.
  • Obliga al cambio de la contraseña durante el primer inicio de sesión del usuario.
  • Bloquea cuenta de usuario tras varios intentos fallidos de conexión.
  • Contempla opción de restaura.
  • Están las opciones de salva y restaura restringidas solo al usuario administrador del sistema.
  • Tanto el sistema de gestión de base de datos como los sistemas operativos no han vencido su ciclo de vida y cuentan con actualizaciones de seguridad.
  • Cuando se detecta una modificación no autorizada de la Base de Datos se inhabilita el trabajo con el sistema.
  • Cuando se detecta una modificación no autorizada del Ejecutable se inhabilita el trabajo con el sistema.
  • Garantiza registro de las acciones realizadas por los usuarios por al menos un año.
  • Posee ayuda en línea.

Se expusieron las principales vulnerabilidades detectadas:

  1. Las aplicaciones se han concebido para el trabajo en sistemas operativos y aplicaciones que no tienen respaldo de actualizaciones de seguridad (Por ejemplo: Windows 2003 Server, Windows XP, Microsoft SQL server 2000 ó 2005).
  2. No contar con claves de acceso como indica el artículo 47 de la resolución 127/07:
    • Sean privadas e intransferibles.
    • Consideren frecuencia de cambio en correspondencia con el riesgo estimado para el acceso que protegen.
    • No tienen en cuenta la historia de la contraseña.
  3. No alertar cuando se modifican las bases de datos por fuera del sistema.
  4. Se puede modificar su código ejecutable.
  5. No contemple mecanismos de salvas.
  6. Se haya diseñado sobre bases de datos no robustas (Ej. .dbf o Access).

La Lic. Vivian Centeno Nodar, en representación de la empresa CANEC S.A. explicó el procedimiento de “Dictaminar sobre el grado de adaptación a las Normas Cubanas de Información Financiera de los Sistemas Contables – Financieros soportados sobre las tecnologías de la información”. Sobresalió que en dicho procedimiento se distinguen 3 etapas: Exploración, Evaluación y Verificación y Diagnóstico.

En la etapa de Exploración se documenta sobre el funcionamiento del SCF, teniendo a su disposición el Manual de Usuario y de Explotación, con el propósito de conocer las bondades y posibilidades operaciones, la forma en que se introduce la información para el procesamiento de los diferentes subsistemas contables y la forma en que exporta los resultados. También se documenta sobre los procedimientos contables en que se basa la operatividad del sistema, así como la legislación vigente en el país relacionada con la materia contable y financiera. Por último, se define el orden en que se va verificar cada módulo, en función del nivel de operatividad que demanda este trabajo.

En la etapa de Evaluación y Verificación se realizan pruebas y ejercicios de simulación, en una base de datos e información de prueba para evaluar y verificar si la forma de operación y registro contable del SCF cumple con las Normas Cubanas de Información Financiera. Si es necesario, en esta etapa se interactúa con el fabricante o el representante del sistema, mediante reportes que se realizan cada vez que se concluye la revisión total o parcial del funcionamiento de los módulos, para definir las modificaciones o adaptaciones necesarias a implementar en éstos.

En la etapa de Diagnóstico se realiza una revisión de las modificaciones o adaptaciones, que se recomendaron efectuar en los módulos. Una vez concluida la nueva revisión se elabora el Dictamen, donde se expresa si el SCF cumple con las Normas Cubanas de Información Financiera y un Informe, donde se expresa el cumplimiento de los elementos verificados, los que se entregan al productor o representante del sistema.

El MSc. Luis Felix Lima Vicente, en representación de la empresa ARTEX presentó la aplicación web “ZeusArtex”. El cual consta de una gran flexibilidad y capacidad de adaptación a los procesos de una organización. Su utilización disminuye los costos en equipamiento, servicio de mantenimiento y licencias de uso.

En la exposición se explicó la estructura del sistema cuyo núcleo lo forma la contabilidad.

Se presentaron los módulos genéricos del software.

También se presentaron los módulos destinados a la empresa ARTEX y los de administración del sistema.

 Se detallaron las características y principios del producto ZeusArtex:

  • Trabajo mínimo de los informáticos, el usuario lo tiene todo en la mano.
  • Facilita el trabajo del contador.
  • Actualización sencilla.
  • Actualización de nomencladores por servicios web. Todo se controla desde el corporativo.
  • Minimiza talleres de superación, se puede pasar de un módulo a otros con facilidad, solo hay que conocer los procedimientos de trabajo.
  • El usuario que comienza una operación no la termina.
  • No viajan saldos sino movimientos.
  • Los procedimientos son los que regulan el sistema.
  • Adaptable a cualquier nomenclador de Cuentas y Centros de costos.
  • Se garantiza el cuadre entre el mayor y los submayores.
  • Configuración de comprobantes.
  • Conciliación de entidades externas por servicios web.
  • Completa y detallada Ficha de Inventario.
  • Variados Tipos de Movimientos de Inventario.
  • Cálculo Automático del Plan a partir de planes y resultados previos
  • Gestión de Indicadores definidos por el usuario para la Planificación.
  • Informes del Plan y su Cumplimiento basado en la contabilidad.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Convocatoria al taller sobre calidad de los Sistemas Contables Financieros (SCF)

La Sociedad Cubana de Auditoría de la Asociación Nacional de Economistas de Cuba (ANEC) y el Subcomité 7 – Ingeniería de Software, convocan al panel sobre la calidad de los Sistemas Contables Financieros (SCF), a celebrarse el jueves 23 de marzo, a las 9 AM, en la sede de la ANEC Habana, Calle 15, entre 4 y 6, Plaza de la Revolución.

Los interesados en participar deben enviar sus solicitudes a las siguientes dirección de correo: agwood@transtur.cu o edelmir@infomed.sld.cu. La solicitud deben contener nombres y apellidos, Entidad y Municipio de la Entidad de cada solicitante.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Segunda Conferencia sobre Calidad, Seguridad y Gestión normalizada de los servicios y productos de las Tecnologías Informáticas

Efectuada en la mañana del 9 de marzo de 2017 la segunda Conferencia sobre Calidad, Seguridad y Gestión normalizada de los servicios y productos de las Tecnologías Informáticas.

En el encuentro Guillermo Wood Fonseca, secretario de la Sociedad Cubana de Auditoría explicó, que todos los segundos jueves de cada mes, pretende convertirse en un espacio donde se socialice el conocimiento. En los primeros encuentros ha estado invitado el Comité Técnico de Normalización No 18 Tecnologías de la Información, para que exponga a los presentes los avances en cada uno de sus tres subcomités; el SC7- Ingeniería de Software, SC27-Seguridad Informática y SC40-Gestión de Servicios y Gobernanza. Wood enfatizó que el conocimiento del trabajo normalizador de estos subcomités es necesario en la formación de los auditores.

En otro momento del encuentro el MSc. Yoandy Lazo Alvarado, Presidente del SC7 describió que trabajan en la adopción de la norma ISO/IEC 25030:2007 – Ingeniería de Software – Requisitos de la calidad y evaluación de producto de software (SQuaRE) – Requisitos de la calidad. También explicó los preparativos de un panel sobre la calidad de los Sistemas Automatizados Contables Financieros (SACF) a efectuarse el 23 de marzo, en la sede de la ANEC en La Habana (15 entre 4 y 6, Plaza de la Revolución).

 

El plato fuerte de la mañana fue la conferencia “Sistema de Gestión de Seguridad de la Información” impartida por el Especialista Superior en Ciencias Informáticas Pedro Luís Rodríguez Valdés, del Centro de gestión y desarrollo de la calidad (CGDC).

En la misma se hizo un análisis del trabajo que realiza la Organización Internacional de Normalización y los diferentes sistemas de gestión que aparecen en sus normas.

Explicó como la estructura de las normas de requisitos de estos sistemas, adoptan una estructura única “Anexo SL” que facilitará la integración de los mismos, enfocados a la prevención, teniendo como punto de partida un análisis de riesgos y oportunidades.

Al centrarse en la gestión de la información explicó que la misma incluye:

  • Acceso desde otras unidades del negocio.
  • Extranet a socios comerciales.
  • Conexiones remotas para personal que trabaja a distancia.
  • Redes Privadas Virtuales.
  • Acceso de Clientes.
  • Cadena de Proveedores.
  • Acuerdos de Nivel de Servicio, contratos, acuerdos de tercerización.
  • Accesos de tercera parte.
  • Publicaciones en la Web.
  • Derechos de propiedad intelectual.
  • Salvaguarda de registros.
  • Protección de datos y privacidad de la información personal.

Hizo énfasis que la seguridad de la información preserva la confidencialidad, la integridad y la disponibilidad de la información. Explicó que también puede involucrar otras propiedades tales como: autenticidad, responsabilidad con obligación de reportar y confiabilidad.

Esclareció la diferencia de seguridad informática y seguridad de la información. Donde la primera se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización y la segunda a la protección de las infraestructuras de las tecnologías de la información y comunicación que soportan nuestro negocio. Por tal motivo concluyó que sería muy conveniente el establecimiento de un SGSI para el empresariado cubano, sobre todo de aquellas organizaciones que gestionen recursos, considerando los cambios adoptados por nuestro Modelo Económico.

Se reflexionó como la Gestión de Riesgos está presente en todos los sistemas de gestión.

Se realizó un análisis de la estructura de la familia de normas ISO 27000.

Durante el encuentro se esclareció que un Sistema de Gestión de la Seguridad de la Información (SGSI) consiste en un conjunto de políticas, procedimientos, guías y sus recursos y actividades asociados, que son gestionados de manera colectiva por una organización.

Es un enfoque sistemático para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información de una organización para alcanzar los objetivos de negocio, basado en una apreciación del riesgo y en los niveles de aceptación del riesgo de la organización para garantizar la protección de los activos de información.

Beneficios de implementar un SGSI

  • Conocer realmente de qué activos disponemos.
  • Involucrar a la Alta Dirección en la seguridad de la información.
  • Permite demostrar el cumplimiento de las leyes y normativas legales.
  • Ofrece una metodología para llevar a cabo un Análisis y Gestión optimizada de Riesgos e identificar Oportunidades.
  • Garantiza la implantación de medidas de seguridad consistentes, eficientes y apropiadas al valor de la información protegida.
  • Contempla planes de contingencia ante cualquier tipo de incidencia (pérdidas de datos, incendio, robo, terrorismo, etc.)
  • Transmite credibilidad y confianza ante clientes, socios e inversores.
  • Mejora la concienciación del personal en todo lo que se refiere a la seguridad y a sus responsabilidades dentro de la organización.

 

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Norma Ramal – Requisitos de la Calidad para Sistemas Informáticos y Productos de Software

En el taller del subcomité 7 efectuado el 9 de febrero se aprobó el proyecto de Norma Ramal – Requisitos de la Calidad para Sistemas Informáticos y Productos de Software. Dicho proyecto fue elaborado por el Centro Nacional de Calidad de Software (CALISOFT). El proyecto se le entregará al MINCOM con un aval elaborado por el SC7 sugiriendo su aprobación.

1

La Norma Ramal establece requisitos mínimos a cumplir por los software o sistemas que se desarrollen en Cuba en las características de adecuación funcional, seguridad, usabilidad,  eficacia de desempeño y fiabilidad.

ADECUACIÓN FUNCIONAL

Completitud funcional

  • Se debe garantizar que cada botón/vínculo de la aplicación haga una función.
  • Se debe garantizar que en el producto o sistema estén desarrolladas todas las funcionalidades.

Corrección funcional

  • Se debe garantizar que cada funcionalidad arroje resultados correctos.
  • Se debe garantizar con todas las combinaciones posibles, que cada campo esté validado correctamente.

Pertinencia funcional

  • Se debe garantizar que el usuario pueda completar una funcionalidad realizando el menor número de pasos posibles.

SEGURIDAD

Confidencialidad

  • Se deben proteger las conexiones autenticadas o que involucren funciones o información relevante.
  • Se debe proteger y preservar la información relevante.
  • No se deben mostrar mensajes con información que ayude a recopilar información sobre el producto o las configuraciones del servidor.
  • No se deben mostrar referencias hacia objetos internos de la aplicación.
  • Se debe controlar el receptor de escucha de las Bases de Datos.
  • No deben contener archivos innecesarios que sean creados como consecuencia de editar archivos de la aplicación, tras crear copias de seguridad, o al dejar en el árbol de directorio archivos antiguos o sin referencias.
  • Todos los elementos de la infraestructura deben ser revisados para asegurarse de que no contienen ninguna vulnerabilidad conocida, así como las herramientas administrativas usadas para el mantenimiento de los diferentes componentes.

Integridad

  • No se deben permitir ataques XSS.
  • No se deben permitir ataques CSRF.
  • No se deben permitir inyecciones de código.
  • No se debe permitir configuraciones que afecten (a corto o largo plazo) la integridad del sistema.

Autenticidad

  • Debe existir un mecanismo de autenticación personalizado para todos los usuarios del sistema, independientemente del rol que tengan.
  • No se deben utilizar cuentas suministradas por defecto.
  • No se debe permitir que se realicen ataques para recuperar cuentas de usuarios válidas (fuerza bruta).
  • No se debe permitir la creación de contraseñas débiles.
  • Debe ofrecer la posibilidad de que el usuario pueda cambiar su contraseña.
  • Debe controlarse el historial de las contraseñas con vistas a que el usuario no repita contraseñas utilizadas con anterioridad.
  • Se debe controlar el ciclo de vida de las contraseñas.
  • Se debe cerrar automáticamente la sesión de un usuario cuando ha estado inactivo durante un cierto lapso de tiempo.
  • Se debe destruir el ID de sesión luego de salir o cerrar el sistema.
  • No se deben exponer los identificadores de sesión, los mismos deben estar cifrados independientemente del tratamiento que se le dé al transporte de los datos.
  • No se debe tener accesibilidad o control por usuarios sin autorización a los ficheros o directorios que se encuentran fuera del directorio web raíz.
  • Un usuario estándar (no administrador) no debe tener acceso a modificar sus privilegios en la aplicación o los de otro usuario con su mismo rol.
  • Se debe actualizar inmediatamente la gestión que se realice sobre los usuarios (incluyendo roles y permisos).

Disponibilidad

  • No se debe permitir ataques de DoS.
  • No se debe presentar fallos de segmentación, o que se sobrescriban direcciones de memoria adyacentes. De igual manera validar el tamaño de entrada de los campos.

USABILIDAD

Operabilidad

  • Se debe distinguir de manera evidente en los formularios los campos “requeridos” y “opcionales”.
  • Se debe establecer el tamaño de las cajas de texto para introducir información en función del tamaño del dato que se va a escribir.
  • Se debe establecer en cada página o ventana puntos de salida (cancelar, cerrar) que permitan al usuario abandonar la tarea que se encuentra realizando.
  • Se debe brindar la posibilidad de volver a pasos anteriores para modificar los datos en un proceso que lo requiera.
  • Se debe mostrar un cambio visible cuando el cursor está apuntando a un elemento de acción, excluyendo los cambios de cursor.
  • Se debe utilizar tipos y tamaños de fuente legibles.
  • Se debe definir como máximo entre 80 y 100 caracteres para la longitud de línea de los bloques de texto.
  • Se debe dividir en párrafos de un máximo de entre 5 y 8 líneas de longitud los bloques de texto de gran tamaño.
  • Se deben resaltar los enlaces del menú cuando se seleccionan.
  • Se debe dejar espacio entre los elementos de acción (enlaces, botones).
  • Se debe posicionar el cursor en el primer campo donde se introduce dato.
  • Se debe proporcionar información y pedir confirmación cuando una acción tiene consecuencias.
  • Se debe proveer retroalimentación cuando una tarea ha sido completada exitosamente.
  • Se deben señalar los campos que contienen datos inválidos y ofrecer información que ilustre el error cometido.
  • No se debe presentar enlaces internos rotos o que no lleven a ninguna ventana.
  • No se debe presentar enlaces externos que no existan.
  • Se debe implementar validaciones antes de que el usuario envíe información.
  • Se debe detallar correctamente los gráficos y tablas utilizando sus atributos.
  • Se debe garantizar que los elementos que componen la interfaz estén en el idioma seleccionado.

Productos o sistemas para la Web:

  • Se debe mostrar accesos desde la página de inicio a las partes o secciones más importantes del sitio.
  • Se debe garantizar la compatibilidad con los navegadores: Mozilla Firefox, Google Chrome, Opera e Internet Explorer en los productos o sistemas diseñados para internet.
  • Se deben identificar los enlaces para que sean distinguibles sin necesidad de pasar el mouse por encima.
  • Se debe utilizar texto para los enlaces.
  • Se debe contar con un buscador que aparezca en una zona visible y en todas las páginas.
  • Se debe ubicar un acceso a la página de inicio en una zona visible, reconocible y en todas las páginas.
  • Se debe garantizar la visualización correcta de los contenidos multimedia.
  • Se debe utilizar de manera moderada las animaciones y efectos en movimiento constantes.
  • Se debe permitir la navegación en el sitio sin necesidad del desplazamiento horizontal.
  • Se debe cumplir con estándares de código HTML y CSS, definido por el W3C.
  • Se debe utilizar un tamaño de fuente igual o superior a los 14 px para los contenidos.
  • Se deben definir metadatos como: palabras claves, título de la publicación, autor y descripción.
  • Se debe informar al usuario de los programas de software adicionales requeridos.
  • Se debe permitir visualizar las páginas de impresión del contenido sin perder información.
  • Se debe informar en los mensajes de error cuáles son las acciones correctoras.
  • Se debe garantizar una interfaz adaptable a dispositivos móviles.
  • Se debe alinear el texto a la izquierda.

Para artefactos de tipo Sistema de Gestión:

  • Se debe permitir que el usuario sepa en qué parte de la estructura se encuentra.

Para artefactos de tipo Aplicaciones de Escritorio:

  • Se debe mostrar la opción de ayuda ligada a las funciones que se ofrecen, durante la interacción con la aplicación.

Cognoscibilidad

  • Se debe ofrecer una navegación sencilla para que los usuarios sin mucha experiencia puedan hacer uso del sistema.
  • Se debe emplear nombres estandarizados para las categorías de la navegación y las funcionalidades.
  • Se debe mantener constante la distribución y ubicación de los elementos estructurales que contienen las páginas o ventanas.
  • Se debe mantener la información organizada con categorías lógicas, fácilmente memorizables por el usuario.
  • Se debe mantener similitud entre tareas, diálogos y formularios.
  • Se debe utilizar aceleradores o accesos rápidos a operaciones frecuentes.
  • Se deben utilizar nombres para los botones de los formularios relacionados con la acción que realizan.
  • Se debe mostrar los mensajes de error en texto plano entendibles para los usuarios.
  • Se debe utilizar nombres en los enlaces iguales que los títulos de las páginas a las que dirigen.

Productos o sistemas para la Web:

  • Se debe usar una URL, entendible y fácil de recordar.
  • Se deben diferenciar de manera evidente los enlaces internos de los externos.

Reconocibilidad

  • Se debe emplear un lenguaje que sea similar al utilizado por el usuario final.
  • Se debe utilizar títulos que sean descriptivos y distintivos.
  • Se debe establecer quiénes son los responsables del sistema.
  • Se debe brindar información de contacto del equipo de soporte.
  • Se debe garantizar que los contenidos publicados se ajustan al perfil temático definido.

Productos o sistemas para la Web:

  • Se debe reflejar la identidad del producto, sistema, empresa.
  • Se debe comenzar cada pantalla con un título que describa su contenido.
  • Se debe utilizar íconos que identifiquen claramente lo que representan.
  • Se debe proporcionar información sobre los autores, referencias y fecha de publicación, de las publicaciones.

Protección ante errores de usuarios

  • Se debe mostrar indicaciones para completar los campos problemáticos en los formularios.
  • Se debe emplear opciones por defecto en los formularios, siempre que sea posible.
  • Se debe brindar la posibilidad de seleccionar la información de una lista en situaciones donde se pueden producir errores de escritura.
  • Se debe informar al usuario cuando se intenta salir o cerrar una ventana en la que hay trabajo sin guardar.

Estética de interfaz de usuario

  • Se debe diferenciar un ícono seleccionado de los no seleccionados.
  • Se debe utilizar íconos que sean conceptualmente distintos pero que mantengan la armonía entre ellos.
  • Se debe mantener una tipografía coherente en toda la aplicación.
  • Se debe establecer niveles de importancia de los contenidos.
  • Se deben utilizar los estilos tipográficos con moderación.
  • Se deben mostrar los elementos del diseño correctamente alineados y agrupados.
  • Se debe mostrar el menú en un lugar destacado.
  • Se debe centrar o justificar a la izquierda los títulos del menú.
  • Se debe mantener la consistencia entre las etiquetas de los campos.
  • Se debe garantizar que los elementos no textuales presenten buena resolución.
  • No deben existir errores ortográficos.

Productos o sistemas para la Web:

  • Se debe personalizar las páginas de error.
  • Se debe mostrar el logo de la organización en el mismo lugar en todas las páginas del sitio.
  • Se debe mostrar sin problemas la presentación y composición de las páginas en los navegadores Mozilla Firefox, Google Chrome, Opera, Internet Explorer.
  • Se debe mostrar sin problemas la presentación y composición de las páginas en las diferentes resoluciones de pantalla para las que fue concebido.

Para artefactos de tipo Aplicación de Escritorio:

  • Se debe contener un símbolo distinguible en la parte derecha de los elementos de los menús que llevan a abrir un submenú.
  • Se debe mantener el tamaño de las ventanas apropiado para los elementos que agrupa.
  • Se debe garantizar que no existan errores de redacción.

Accesibilidad

  • Se debe garantizar un correcto contraste de color entre el texto y el fondo.
  • Se debe disponer sin color la información que esté transmitida a través de colores.
  • Se debe proporcionar textos aclaratorios sobre imágenes de forma que puedan ser comprendidas por cualquier persona independientemente de la discapacidad poseída.
  • Se debe identificar el cambio de idioma en los textos.
  • Se deben proporcionar texto alternativo para elementos no textuales.
  • Se deben subtitular los elementos multimedia en los sistemas diseñados para la Web siempre que sea posible.

Productos o sistemas para la Web:

  • Se debe declarar el atributo lenguaje de las páginas para mejorar la pronunciación de los lectores de pantalla.

EFICIENCIA DE DESEMPEÑO

Rendimiento

  • Se deben atender las peticiones a la aplicación en un tiempo menor a los 5 segundos.
  • Se deben atender las peticiones a la BD en un tiempo inferior a los 3 segundos.

Utilización de los recursos

  • Se debe garantizar un consumo de CPU y RAM inferior al 80%.

Capacidad

  • Se debe asegurar que la cantidad mínima de usuarios conectados concurrentemente sea, en sistemas de alta concurrencia de 4000 usuarios, y en los de baja concurrencia de 500 usuarios.

FIABILIDAD

Madurez

  • Se deben mostrar personalizados los mensajes provenientes de las excepciones y/o errores que puedan ocurrir.
  • Se debe controlar la introducción de valores inválidos.
  • Se debe informar y actuar ante la caducidad de sesiones por inactividad o por cambio de permiso.

Tolerancia ante fallos

  • Se deben contener los errores producidos en las bases de datos.
  • Se debe proteger la información del sistema ante la pérdida de alimentación eléctrica o conexión de red, durante su procesamiento.
  • Se debe detectar la completitud de la réplica de las bases de datos, en caso de que el sistema incluya la replicación de datos.
  • Se debe evitar un fallo total cuando la concurrencia de usuarios supera la capacidad de respuesta.
  • Se deben manejar los errores de manera tal que no afecten el funcionamiento general.

Recuperabilidad

Para artefactos de tipo Portal Web y Sistema de Gestión:

  • Deben existir mecanismos que posibiliten el regreso a un punto estable, después de la ocurrencia de un fallo de cualquier tipo.

Disponibilidad

Para artefactos de tipo Portal Web y Sistema de Gestión:

  • Se debe realizar respaldo automático a las bases de datos.
  • Se debe garantizar la ejecución automatizada de los servicios y aplicaciones necesarios para una ejecución satisfactoria.

2

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Primera conferencia sobre Calidad, Seguridad y Gestión normalizada de los servicios y productos de las Tecnologías Informáticas

En la mañana del día 02 de febrero se realizó la primera conferencia sobre Calidad, Seguridad y Gestión normalizada de los servicios y productos de las Tecnologías de la Información, en la sede de la ANEC. El encuentro fue propicio para que el presidente del Comité Técnico de Normalización No 18 (CTN 18), el Ing. José Manuel Santos Alonso hiciera una breve explicación del funcionamiento de comité así como de los tres subcomité que lo integran, el 7 de ingeniería de software, el 27 de seguridad informática y el 40 de gestión de servicio y gobernanza.

El presidente del SC40 Guillermo Wood Fonseca, enfatizó en la importancia que tiene vincular todos los conocimientos para formar a los directivos de los organizaciones productoras de software, así como los auditores de los sistemas de gestión.

La actividad central estuvo a cargo del MsC. Yoandy Lazo Alvarado, presidente del SC7, quien impartió una conferencia sobre la calidad de software.

 20170202

20170203

Entre los puntos tratados en la conferencia estuvo la evolución de la calidad.

1

Un análisis de los estándares utilizados en 17 organizaciones desarrolladoras de software en Cuba

2

Un análisis de las normas adoptadas por la ISO sobre la temática de Ingeniería de Software.

3

Un análisis de las normas adoptadas en Cuba sobre la temática de Ingeniería de Software y su actualidad comparadas con las aprobadas por la ISO.

4

Se expusieron los objetivos y metas del SC7, los principales resultados alcanzados y los proyectos de normas propuestos para el 2017.

Durante la conferencia también se analizaron dos normas que tributan a la calidad de los software, la primera relacionada con la calidad del producto (NC ISO/IEC 25010:2016) y la segunda una de los proyectos de normas que se trabaja durante el presente año, el Modelo de calidad para el Desarrollo de Aplicaciones Informáticas (MCDAI).

5

Al finalizar la conferencia se patentizó el compromiso de los organizadores de mantener el espacio para debatir sobre otros temas que potencien el desarrollo de las TI en Cuba.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS
1 2 3
Optimization WordPress Plugins & Solutions by W3 EDGE