SlideShare una empresa de Scribd logo

Sopra - Benchmark de calidad y seguridad de aplicaciones

Descargar como PPTX, PDF
Jose Antonio Rodriguez
Jose Antonio Rodriguez

Este documento presenta los resultados de un estudio sobre la calidad y seguridad de aplicaciones realizado por Sopra Steria en colaboración con Koukio Solutions en empresas españolas entre 2014 y 2015. El estudio evaluó diversos aspectos como la calidad del código, seguridad, procesos de pruebas y mejores prácticas. Los resultados mostraron que las empresas deben mejorar en calidad, seguridad y procesos formales para reducir costes y plazos de mantenimiento de aplicaciones.

Software
1 de 24
Benchmark sobre calidad y seguridad de aplicacionesBenchmark sobre calidad y seguridad de aplicaciones BENCHMARK Calidad y seguridad de aplicaciones 1 José Antonio Rodríguez
Benchmark sobre calidad y seguridad de aplicaciones ¿POR QUÉ UN ESTUDIO SOBRE LA CALIDAD Y LA SEGURIDAD? 2 Según estudios de mercado, los costes de mantenimiento suponen el 67% del coste total del ciclo de vida de una aplicación. Desglose del esfuerzo total del ciclo de vida Distribución del tiempo en tareas de mantenimiento (McClure) 6% 28% 19% 23% 18% 6% Estudiar Código Estudiar Documentación Estudiar Peticiones Actualizar Documentación Realizar Pruebas Implementar Cambios Componentes que afectan a la complejidad técnica (70%) Desglose del esfuerzo de mantenimiento Alrededor del 70% de esa cifra (47% del ciclo de vida de una Aplicación) se invierte en tareas cuya duración está estrechamente ligada a la complejidad técnica.
Benchmark sobre calidad y seguridad de aplicaciones ¿POR QUÉ UN ESTUDIO SOBRE LA CALIDAD Y LA SEGURIDAD? 3 El 70% de los daños producidos por fallos de seguridad se deben a ataques cuyo punto de entrada han sido las aplicaciones. Gartner Sin embargo, en general las empresas gastan en seguridad de aplicaciones del orden del 10% de su presupuesto global de seguridad informática. Protección Antivirus Encriptación (SSL) Firewalls / Advanced Routers Firewall Web Servers Databases Backend Server Application Servers Aplicaciones % ataques 70%30% % gasto en seguridad90% 10% Frecuencia ataques vs gasto en seguridad Perímetro
Benchmark sobre calidad y seguridad de aplicaciones AUTORÍA DEL BENCHMARK 4 Compañía consultora de integración de sistemas, con una alta especialización en calidad y pruebas. Compañía experta en soluciones tecnológicas aplicadas al negocio, comercializadora de la herramienta CodAudit. Industrializa la auditoría de calidad y seguridad del software, basándose en estándares de programación mundialmente reconocidos. Estudio de mercado elaborado por Sopra en colaboración con Koukio Solutions en empresas españolas, en el periodo 2014 – 2015.
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 5 Facilidad para encontrar los cambios introducidos en el sistema 0.00 0.10 0.20 0.30 0.40 0.50 Arquitectura Datos Gestión de excepciones Lógica 0.26 0.25 0.44 0.02 Desglose (número de violaciones por cada 1.000 líneas de código)
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 6 Reglas relacionadas con algoritmos, reutilización de objetos, etc. Desglose (número de violaciones por cada 1.000 líneas de código) 0.00 0.50 1.00 1.50 2.00 Memoria Buenas prácticas 0.20 1.96
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 7 Reglas relacionadas con las buenas prácticas de programación Desglose (número de violaciones por cada 1.000 líneas de código) 0.00 2.00 4.00 6.00 8.00 10.00 12.00 Legibilidad Comprensibilidad 0.05 11.47
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 8 Evaluación del uso correcto del framework y de las librerías, compatibilidad del código con las plataformas de 32 y 64 bits Desglose (número de violaciones por cada 1.000 líneas de código) 0.00 0.00 0.00 0.01 0.01 0.01 Sisema operativo 0.01
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 9 Reglas relacionadas con la robustez de la implementación, gestión de colas, complejidad esencial de McCabe, etc. 0.00 0.50 1.00 1.50 2.00 Datos Tolerancia a fallos Lógica Disponibilidad 0.23 0.07 1.62 1.11 Desglose (número de violaciones por cada 1.000 líneas de código)
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 10 Facilidad para ser probado: simplicidad para probar los cambios en el sistema Desglose (número de violaciones por cada 1.000 líneas de código) 0.00 0.20 0.40 0.60 0.80 1.00 1.20 Relacionado con el S.O. Estándares Buenas prácticas 0.10 0.23 1.04
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 11 Número de violaciones por cada 1.000 líneas de código 0.00 2.00 4.00 6.00 8.00 10.00 12.00 Mantenibilidad Fiabilidad Eficiencia Facilidad para ser probado Modificabilidad Portabilidad 11.51 3.03 2.16 1.37 0.97 0.01
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE SEGURIDAD 12 Estándares internacionales de programación segura, análisis de la estructura de datos, control de flujo, gestión de memoria y detección de vulnerabilidades 0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50 Severidad 1 (Bloqueante) Severidad 2 (Crítica) Severidad 3 (Mayor) Severidad 4 (Menor) Severidad 5 (Informativo) 2.70 0.30 3.38 0.15 1.25 Desglose (número de violaciones por cada 1.000 líneas de código)
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE SEGURIDAD 13 ¿Cuáles han sido las principales incidencias de seguridad? ¿A qué causas se han debido? ¿Qué impacto han tenido? ¿Cuáles son los principales obstáculos para el desarrollo seguro? 1 Muy bajo 2 Bajo 3 Medio 4 Alto 5 Muy alto Índice de riesgo
Benchmark sobre calidad y seguridad de aplicaciones PRINCIPALES INCIDENCIAS DE SEGURIDAD 14 Robo / Acceso a la información Modificación de información Modificación no autorizada de programas
Benchmark sobre calidad y seguridad de aplicaciones PRINCIPALES CAUSAS 15 Uso abusivo de los recursos / privilegios Vulnerabilidades en el software base / hardware
Benchmark sobre calidad y seguridad de aplicaciones IMPACTO 16 Sanciones o acciones regulatorias Pérdida de clientes Daño en la relación con empleados
Benchmark sobre calidad y seguridad de aplicaciones OBSTÁCULOS PARA LA PRÁCTICA DE DESARROLLO SEGURO 17 Cambios técnicos en los estándares de Desarrollo Falta de procesos de Desarrollo seguro Falta de cultura / formación de programadores Falta de personal especializado en seguridad del Desarrollo Restricciones de presupuesto Falta de tiempo dedicado a la Calidad y Seguridad del Desarrollo
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 18 Integración de las pruebas en el ciclo de vida del proyecto. Se valora la metodología, procedimientos, documentación, etc. 1.00 2.00 3.00 4.00 Metodología Fases de pruebas Documentación de procedimientos Comunicación y escalado de… Gestión de incidencias 2.38 2.32 2.29 2.18 2.68 De 0 (mínimo) a 4 (máximo)
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 19 Se valora si las técnicas que se usan son apropiadas, efectivas y medibles. De 0 (mínimo) a 4 (máximo) 1.00 2.00 3.00 4.00 Gestión de pruebas basada en riesgos Técnicas de pruebas estáticas Planificación y estimación de pruebas Especificaciones basadas en requisitos Metricas para la gestión y mejora… 2.00 2.24 2.56 2.74 1.82
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 20 Se valora el uso de las herramientas y el entorno de pruebas. De 0 (mínimo) a 4 (máximo) 1.00 2.00 3.00 4.00 Herramientas de automatización Entorno de pruebas Herramientas de gestión de pruebas Conocimiento de herramientas Datos de pruebas 1.85 2.50 1.91 2.12 2.88
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 21 Se valora la definición de los skills de testing y su formación, así como la composición del equipo en cuanto a las distintas disciplinas, funciones, conocimientos y requeridos. De 0 (mínimo) a 4 (máximo) 1.00 2.00 3.00 4.00 Equipo independiente de pruebas Formación Perfiles de Testing Especialización por tipos de pruebas Motivación y compromiso 2.18 1.82 1.68 1.91 1.50
Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 22 El dato de las Best Practices se ha calculado con la media de las tres compañías con los valores más altos. De 0 (mínimo) a 4 (máximo) 0.00 1.00 2.00 3.00 4.00 Ciclo de Vida Técnicas Herramientas Organización 2.37 2.27 2.25 1.82 4.00 3.73 3.87 3.93 Best Practices Media del mercado
Benchmark sobre calidad y seguridad de aplicaciones MEDIR PARA MEJORAR 23 Detectar debilidades Afrontar las causas Aseguramiento del negocio Reducción de costes Reducción de plazos ROI desde el primer año Instaurar procesos
Benchmark sobre calidad y seguridad de aplicaciones DATOS DEL PONENTE JOSE ANTONIO RODRIGUEZ 24 Forma parte del Spanish Software Testing Qualifications Board (SSTQB, organismo español perteneciente al ISTQB) ISTQB Certified Tester Advanced Level - Test Manager Especialidad en Software Quality Assurance (SQA) desde hace 15 años. Desde el año 2013 pertenece el Centro de Competencias de Testing de Sopra, participando en la puesta en marcha de servicios de pruebas complejos con un alto componente de externalización nacional e internacional. Datos de contacto jose-antonio.rodriguez@sopra.com Móvil : (+34) 615 098 037

Recomendados

Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
Cristiam Gomez Quijano
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Rocas y minerales
Rocas y mineralesRocas y minerales
Rocas y minerales
Eva Garcia
 
VLCTesting 15 - Automatización de Testing de Movilidad. ¿Utopía o realidad?
VLCTesting 15 - Automatización de Testing de Movilidad. ¿Utopía o realidad?VLCTesting 15 - Automatización de Testing de Movilidad. ¿Utopía o realidad?
VLCTesting 15 - Automatización de Testing de Movilidad. ¿Utopía o realidad?
Jose Antonio Rodriguez
 
Police
PolicePolice
Police
CoryDana
 
Cancion necesaria
Cancion necesariaCancion necesaria
Cancion necesaria
lennys2605
 
Investigación cualitativa y cuantitativa
Investigación cualitativa y cuantitativaInvestigación cualitativa y cuantitativa
Investigación cualitativa y cuantitativa
maria-betza
 
Presentación plataforma de calidad con software de bajo coste v 3.9
Presentación plataforma de calidad con software de bajo coste v 3.9Presentación plataforma de calidad con software de bajo coste v 3.9
Presentación plataforma de calidad con software de bajo coste v 3.9
Jose Antonio Rodriguez
 

Recomendados

Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
Cristiam Gomez Quijano
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
Idat
 
Rocas y minerales
Rocas y mineralesRocas y minerales
Rocas y minerales
Eva Garcia
 
VLCTesting 15 - Automatización de Testing de Movilidad. ¿Utopía o realidad?
VLCTesting 15 - Automatización de Testing de Movilidad. ¿Utopía o realidad?VLCTesting 15 - Automatización de Testing de Movilidad. ¿Utopía o realidad?
VLCTesting 15 - Automatización de Testing de Movilidad. ¿Utopía o realidad?
Jose Antonio Rodriguez
 
Police
PolicePolice
Police
CoryDana
 
Cancion necesaria
Cancion necesariaCancion necesaria
Cancion necesaria
lennys2605
 
Investigación cualitativa y cuantitativa
Investigación cualitativa y cuantitativaInvestigación cualitativa y cuantitativa
Investigación cualitativa y cuantitativa
maria-betza
 
Presentación plataforma de calidad con software de bajo coste v 3.9
Presentación plataforma de calidad con software de bajo coste v 3.9Presentación plataforma de calidad con software de bajo coste v 3.9
Presentación plataforma de calidad con software de bajo coste v 3.9
Jose Antonio Rodriguez
 
Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
Blanca Parra
 
Law powerpoint
Law powerpoint Law powerpoint
Law powerpoint
CoryDana
 
Hábito 3
Hábito 3Hábito 3
Hábito 3
Blanca Parra
 
Tórax 1 Paredes - Pulmón
Tórax 1 Paredes - PulmónTórax 1 Paredes - Pulmón
Tórax 1 Paredes - Pulmón
Liborio Escobedo
 
Used to
Used toUsed to
Used to
Luz Adriana Peralta Barrera
 
Modulación por anchura de pulsos (pmw)
Modulación por anchura de pulsos (pmw)Modulación por anchura de pulsos (pmw)
Modulación por anchura de pulsos (pmw)
Blanca Parra
 
Métodos de encriptación
Métodos de encriptaciónMétodos de encriptación
Métodos de encriptación
Blanca Parra
 
RA7920_New Electrical Eng'g Law_amended
RA7920_New Electrical Eng'g Law_amendedRA7920_New Electrical Eng'g Law_amended
RA7920_New Electrical Eng'g Law_amended
Hyundai Engineering & Construction Co.,Ltd.;Samsung C&T Engineering Constructions Joint Venture
 
Cory,the new kid on the block
Cory,the new kid on the blockCory,the new kid on the block
Cory,the new kid on the block
CoryDana
 
SoniaP_Resume
SoniaP_ResumeSoniaP_Resume
SoniaP_Resume
Sonia Pampattiwar
 
Cory,the new kid on the block
Cory,the new kid on the block Cory,the new kid on the block
Cory,the new kid on the block
CoryDana
 
Resumen patrones
Resumen patronesResumen patrones
Resumen patrones
Blanca Parra
 
Capitulo8
Capitulo8Capitulo8
Capitulo8
xavazquez
 
Norma de proyecto en calidad
Norma de proyecto en calidadNorma de proyecto en calidad
Norma de proyecto en calidad
Jack Daniel Cáceres Meza
 
Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Ingenieria de requerimientos-05
Ingenieria de requerimientos-05
Juana Rodríguez
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
Roger CARHUATOCTO
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
Sistel CONTROL
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 
16 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 200916 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 2009
Pepe
 
Curso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdfCurso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdf
BarcodeBarcode
 
Plantilla trabajo final_Ana_Jesus
Plantilla trabajo final_Ana_JesusPlantilla trabajo final_Ana_Jesus
Plantilla trabajo final_Ana_Jesus
Annie Mrtx
 
Estrategia de automatización en aplicaciones legadas
Estrategia de automatización en aplicaciones legadasEstrategia de automatización en aplicaciones legadas
Estrategia de automatización en aplicaciones legadas
Jorge Capel Planells
 

Más contenido relacionado

Destacado

Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
Blanca Parra
 

Destacado (12)

Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
Fase cuatro: Como internalizar los resultados y cerrar la brecha con la compe...
 
Law powerpoint
Law powerpoint Law powerpoint
Law powerpoint
 
Hábito 3
Hábito 3Hábito 3
Hábito 3
 
Tórax 1 Paredes - Pulmón
Tórax 1 Paredes - PulmónTórax 1 Paredes - Pulmón
Tórax 1 Paredes - Pulmón
 
Used to
Used toUsed to
Used to
 
Modulación por anchura de pulsos (pmw)
Modulación por anchura de pulsos (pmw)Modulación por anchura de pulsos (pmw)
Modulación por anchura de pulsos (pmw)
 
Métodos de encriptación
Métodos de encriptaciónMétodos de encriptación
Métodos de encriptación
 
RA7920_New Electrical Eng'g Law_amended
RA7920_New Electrical Eng'g Law_amendedRA7920_New Electrical Eng'g Law_amended
RA7920_New Electrical Eng'g Law_amended
 
Cory,the new kid on the block
Cory,the new kid on the blockCory,the new kid on the block
Cory,the new kid on the block
 
SoniaP_Resume
SoniaP_ResumeSoniaP_Resume
SoniaP_Resume
 
Cory,the new kid on the block
Cory,the new kid on the block Cory,the new kid on the block
Cory,the new kid on the block
 
Resumen patrones
Resumen patronesResumen patrones
Resumen patrones
 

Similar a Sopra - Benchmark de calidad y seguridad de aplicaciones

Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Ingenieria de requerimientos-05
Ingenieria de requerimientos-05
Juana Rodríguez
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
Sistel CONTROL
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
Facultad de Informática UCM
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
Edna Lasso
 

Similar a Sopra - Benchmark de calidad y seguridad de aplicaciones (20)

Capitulo8
Capitulo8Capitulo8
Capitulo8
 
Norma de proyecto en calidad
Norma de proyecto en calidadNorma de proyecto en calidad
Norma de proyecto en calidad
 
Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Ingenieria de requerimientos-05
Ingenieria de requerimientos-05
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
16 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 200916 Cast Software Solo Pruebas 2009
16 Cast Software Solo Pruebas 2009
 
Curso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdfCurso Basico-Testing-03r003.pdf
Curso Basico-Testing-03r003.pdf
 
Plantilla trabajo final_Ana_Jesus
Plantilla trabajo final_Ana_JesusPlantilla trabajo final_Ana_Jesus
Plantilla trabajo final_Ana_Jesus
 
Estrategia de automatización en aplicaciones legadas
Estrategia de automatización en aplicaciones legadasEstrategia de automatización en aplicaciones legadas
Estrategia de automatización en aplicaciones legadas
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
Analisis y evaluación de riesgos de las plataformas educativas
Analisis y evaluación de riesgos de las plataformas educativasAnalisis y evaluación de riesgos de las plataformas educativas
Analisis y evaluación de riesgos de las plataformas educativas
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de software
 
Mvp cluster auditoria ambientes share point (1)
Mvp cluster auditoria ambientes share point (1)Mvp cluster auditoria ambientes share point (1)
Mvp cluster auditoria ambientes share point (1)
 
COBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNCOBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓN
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén Vergara
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptx
 
Ingenieria de Software
Ingenieria de SoftwareIngenieria de Software
Ingenieria de Software
 

Sopra - Benchmark de calidad y seguridad de aplicaciones

  • 1. Benchmark sobre calidad y seguridad de aplicacionesBenchmark sobre calidad y seguridad de aplicaciones BENCHMARK Calidad y seguridad de aplicaciones 1 José Antonio Rodríguez
  • 2. Benchmark sobre calidad y seguridad de aplicaciones ¿POR QUÉ UN ESTUDIO SOBRE LA CALIDAD Y LA SEGURIDAD? 2 Según estudios de mercado, los costes de mantenimiento suponen el 67% del coste total del ciclo de vida de una aplicación. Desglose del esfuerzo total del ciclo de vida Distribución del tiempo en tareas de mantenimiento (McClure) 6% 28% 19% 23% 18% 6% Estudiar Código Estudiar Documentación Estudiar Peticiones Actualizar Documentación Realizar Pruebas Implementar Cambios Componentes que afectan a la complejidad técnica (70%) Desglose del esfuerzo de mantenimiento Alrededor del 70% de esa cifra (47% del ciclo de vida de una Aplicación) se invierte en tareas cuya duración está estrechamente ligada a la complejidad técnica.
  • 3. Benchmark sobre calidad y seguridad de aplicaciones ¿POR QUÉ UN ESTUDIO SOBRE LA CALIDAD Y LA SEGURIDAD? 3 El 70% de los daños producidos por fallos de seguridad se deben a ataques cuyo punto de entrada han sido las aplicaciones. Gartner Sin embargo, en general las empresas gastan en seguridad de aplicaciones del orden del 10% de su presupuesto global de seguridad informática. Protección Antivirus Encriptación (SSL) Firewalls / Advanced Routers Firewall Web Servers Databases Backend Server Application Servers Aplicaciones % ataques 70%30% % gasto en seguridad90% 10% Frecuencia ataques vs gasto en seguridad Perímetro
  • 4. Benchmark sobre calidad y seguridad de aplicaciones AUTORÍA DEL BENCHMARK 4 Compañía consultora de integración de sistemas, con una alta especialización en calidad y pruebas. Compañía experta en soluciones tecnológicas aplicadas al negocio, comercializadora de la herramienta CodAudit. Industrializa la auditoría de calidad y seguridad del software, basándose en estándares de programación mundialmente reconocidos. Estudio de mercado elaborado por Sopra en colaboración con Koukio Solutions en empresas españolas, en el periodo 2014 – 2015.
  • 5. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 5 Facilidad para encontrar los cambios introducidos en el sistema 0.00 0.10 0.20 0.30 0.40 0.50 Arquitectura Datos Gestión de excepciones Lógica 0.26 0.25 0.44 0.02 Desglose (número de violaciones por cada 1.000 líneas de código)
  • 6. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 6 Reglas relacionadas con algoritmos, reutilización de objetos, etc. Desglose (número de violaciones por cada 1.000 líneas de código) 0.00 0.50 1.00 1.50 2.00 Memoria Buenas prácticas 0.20 1.96
  • 7. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 7 Reglas relacionadas con las buenas prácticas de programación Desglose (número de violaciones por cada 1.000 líneas de código) 0.00 2.00 4.00 6.00 8.00 10.00 12.00 Legibilidad Comprensibilidad 0.05 11.47
  • 8. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 8 Evaluación del uso correcto del framework y de las librerías, compatibilidad del código con las plataformas de 32 y 64 bits Desglose (número de violaciones por cada 1.000 líneas de código) 0.00 0.00 0.00 0.01 0.01 0.01 Sisema operativo 0.01
  • 9. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 9 Reglas relacionadas con la robustez de la implementación, gestión de colas, complejidad esencial de McCabe, etc. 0.00 0.50 1.00 1.50 2.00 Datos Tolerancia a fallos Lógica Disponibilidad 0.23 0.07 1.62 1.11 Desglose (número de violaciones por cada 1.000 líneas de código)
  • 10. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 10 Facilidad para ser probado: simplicidad para probar los cambios en el sistema Desglose (número de violaciones por cada 1.000 líneas de código) 0.00 0.20 0.40 0.60 0.80 1.00 1.20 Relacionado con el S.O. Estándares Buenas prácticas 0.10 0.23 1.04
  • 11. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE CALIDAD 11 Número de violaciones por cada 1.000 líneas de código 0.00 2.00 4.00 6.00 8.00 10.00 12.00 Mantenibilidad Fiabilidad Eficiencia Facilidad para ser probado Modificabilidad Portabilidad 11.51 3.03 2.16 1.37 0.97 0.01
  • 12. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE SEGURIDAD 12 Estándares internacionales de programación segura, análisis de la estructura de datos, control de flujo, gestión de memoria y detección de vulnerabilidades 0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50 Severidad 1 (Bloqueante) Severidad 2 (Crítica) Severidad 3 (Mayor) Severidad 4 (Menor) Severidad 5 (Informativo) 2.70 0.30 3.38 0.15 1.25 Desglose (número de violaciones por cada 1.000 líneas de código)
  • 13. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DE SEGURIDAD 13 ¿Cuáles han sido las principales incidencias de seguridad? ¿A qué causas se han debido? ¿Qué impacto han tenido? ¿Cuáles son los principales obstáculos para el desarrollo seguro? 1 Muy bajo 2 Bajo 3 Medio 4 Alto 5 Muy alto Índice de riesgo
  • 14. Benchmark sobre calidad y seguridad de aplicaciones PRINCIPALES INCIDENCIAS DE SEGURIDAD 14 Robo / Acceso a la información Modificación de información Modificación no autorizada de programas
  • 15. Benchmark sobre calidad y seguridad de aplicaciones PRINCIPALES CAUSAS 15 Uso abusivo de los recursos / privilegios Vulnerabilidades en el software base / hardware
  • 16. Benchmark sobre calidad y seguridad de aplicaciones IMPACTO 16 Sanciones o acciones regulatorias Pérdida de clientes Daño en la relación con empleados
  • 17. Benchmark sobre calidad y seguridad de aplicaciones OBSTÁCULOS PARA LA PRÁCTICA DE DESARROLLO SEGURO 17 Cambios técnicos en los estándares de Desarrollo Falta de procesos de Desarrollo seguro Falta de cultura / formación de programadores Falta de personal especializado en seguridad del Desarrollo Restricciones de presupuesto Falta de tiempo dedicado a la Calidad y Seguridad del Desarrollo
  • 18. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 18 Integración de las pruebas en el ciclo de vida del proyecto. Se valora la metodología, procedimientos, documentación, etc. 1.00 2.00 3.00 4.00 Metodología Fases de pruebas Documentación de procedimientos Comunicación y escalado de… Gestión de incidencias 2.38 2.32 2.29 2.18 2.68 De 0 (mínimo) a 4 (máximo)
  • 19. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 19 Se valora si las técnicas que se usan son apropiadas, efectivas y medibles. De 0 (mínimo) a 4 (máximo) 1.00 2.00 3.00 4.00 Gestión de pruebas basada en riesgos Técnicas de pruebas estáticas Planificación y estimación de pruebas Especificaciones basadas en requisitos Metricas para la gestión y mejora… 2.00 2.24 2.56 2.74 1.82
  • 20. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 20 Se valora el uso de las herramientas y el entorno de pruebas. De 0 (mínimo) a 4 (máximo) 1.00 2.00 3.00 4.00 Herramientas de automatización Entorno de pruebas Herramientas de gestión de pruebas Conocimiento de herramientas Datos de pruebas 1.85 2.50 1.91 2.12 2.88
  • 21. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 21 Se valora la definición de los skills de testing y su formación, así como la composición del equipo en cuanto a las distintas disciplinas, funciones, conocimientos y requeridos. De 0 (mínimo) a 4 (máximo) 1.00 2.00 3.00 4.00 Equipo independiente de pruebas Formación Perfiles de Testing Especialización por tipos de pruebas Motivación y compromiso 2.18 1.82 1.68 1.91 1.50
  • 22. Benchmark sobre calidad y seguridad de aplicaciones EVALUACIÓN DEL PROCESO DE PRUEBAS 22 El dato de las Best Practices se ha calculado con la media de las tres compañías con los valores más altos. De 0 (mínimo) a 4 (máximo) 0.00 1.00 2.00 3.00 4.00 Ciclo de Vida Técnicas Herramientas Organización 2.37 2.27 2.25 1.82 4.00 3.73 3.87 3.93 Best Practices Media del mercado
  • 23. Benchmark sobre calidad y seguridad de aplicaciones MEDIR PARA MEJORAR 23 Detectar debilidades Afrontar las causas Aseguramiento del negocio Reducción de costes Reducción de plazos ROI desde el primer año Instaurar procesos
  • 24. Benchmark sobre calidad y seguridad de aplicaciones DATOS DEL PONENTE JOSE ANTONIO RODRIGUEZ 24 Forma parte del Spanish Software Testing Qualifications Board (SSTQB, organismo español perteneciente al ISTQB) ISTQB Certified Tester Advanced Level - Test Manager Especialidad en Software Quality Assurance (SQA) desde hace 15 años. Desde el año 2013 pertenece el Centro de Competencias de Testing de Sopra, participando en la puesta en marcha de servicios de pruebas complejos con un alto componente de externalización nacional e internacional. Datos de contacto jose-antonio.rodriguez@sopra.com Móvil : (+34) 615 098 037

Notas del editor

  1. Estudio de mercado que ha hecho Sopra y Koukio sobre calidad, seguridad y los procesos de pruebas Cerca de 30 empresas de todos los sectores NO pretende ser una presentación técnica
  2. Encuesta de seguridad a las empresas participantes Encuesta del proceso de pruebas a las empresas participantes
  3. Sólo aparecen los datos de las violaciones, no del resto
  4. Menos de 4 de cada mil consideramos que no es grave Más de 4 cada mil hay que tomar medidas
  5. La organización tiene que tener conciencia del problema, compromiso y motivación Eso deriva en la creación de un grupo que defina los requisitos de seguridad y los procesos A partir de ahí cae en cascada el resto: formación de las personas y asignación de presupuestos (tiempo y dinero)
  6. Monitorización, planificación y control Análisis de pruebas Diseño de pruebas Implementación de pruebas Ejecución de pruebas Evaluación de los criterios de salida Actividades de cierre de pruebas