Pruebas basadas en riesgos: enfoque, matriz, proceso y ejemplos
Tomas Hamilton
Pruebas basadas en riesgos
Pruebas basadas en riesgos (RBT) Es un tipo de prueba de software que se basa en la probabilidad de riesgo. Implica evaluar el riesgo en funciรณn de la complejidad del software, la criticidad del negocio, la frecuencia de uso, las posibles รกreas con riesgo. Defecto etc. Las pruebas basadas en riesgos priorizan las pruebas de caracterรญsticas y funciones de la aplicaciรณn de software que tienen mรกs impacto y probablemente tengan defectos.
El riesgo es la ocurrencia de un evento incierto con un efecto positivo o negativo en los criterios de รฉxito mensurables de un proyecto. Podrรญan ser eventos que han ocurrido en el pasado o eventos actuales o algo que podrรญa suceder en el futuro. Estos eventos inciertos pueden tener un impacto en los objetivos de costo, negocios, tรฉcnicos y de calidad de un proyecto.
Los riesgos pueden ser positivos o negativos.
- Riesgos positivos se denominan oportunidades y ayudan a la sostenibilidad empresarial. Por ejemplo, invertir en un nuevo proyecto, cambiar los procesos comerciales, desarrollar nuevos productos.
- Riesgos negativos se conocen como amenazas y se deben implementar recomendaciones para minimizarlas o eliminarlas para que el proyecto tenga รฉxito.
Cuรกndo implementar pruebas basadas en riesgos
Las pruebas basadas en riesgos se pueden implementar en
- Proyectos que tienen limitaciones de tiempo, recursos, presupuesto, etc.
- Proyectos donde el anรกlisis basado en riesgos se puede utilizar para detectar vulnerabilidades a Ataques de inyecciรณn SQL.
- Pruebas de seguridad en entornos de computaciรณn en la nube.
- Nuevos proyectos con factores de alto riesgo como falta de experiencia con las tecnologรญas utilizadas, falta de conocimiento del dominio empresarial.
- Modelos incrementales e iterativos, etc.
Proceso de gestiรณn de riesgos
Ahora comprendamos los pasos involucrados en el proceso de gestiรณn de riesgos.
Identificaciรณn de riesgo
La identificaciรณn de riesgos se puede realizar a travรฉs de talleres de riesgos, listas de verificaciรณn, lluvia de ideas, entrevistas, tรฉcnica Delphi, diagramas de causa y efecto, lecciones aprendidas de proyectos anteriores, anรกlisis de causa raรญz, contacto con expertos en el dominio y expertos en la materia.
Registro de riesgo es una hoja de cรกlculo que tiene una lista de riesgos identificados, respuestas potenciales y causas fundamentales. Se utiliza para monitorear y rastrear los riesgos (tanto amenazas como oportunidades) a lo largo de la vida del proyecto. Las estrategias de respuesta al riesgo se pueden utilizar para gestionar los riesgos positivos y negativos.
La estructura de desglose de riesgos juega un papel importante en la planificaciรณn de riesgos. La estructura de desglose de riesgos ayudarรญa a identificar las รกreas propensas a riesgos y contribuirรญa a una evaluaciรณn y seguimiento de riesgos eficaces durante el transcurso del proyecto. Ayuda a proporcionar tiempo y recursos suficientes para las actividades de gestiรณn de riesgos. Tambiรฉn ayuda a categorizar muchas fuentes de las que pueden surgir los riesgos del proyecto.
Ejemplo de estructura de desglose de riesgos
Anรกlisis de Riesgos (Incluye Anรกlisis Cuantitativo y Cualitativo)
Una vez identificada la lista de riesgos potenciales, el siguiente paso es analizarlos y filtrar el riesgo en funciรณn de su importancia. Una de las tรฉcnicas de anรกlisis de riesgos cualitativos es el uso de la Matriz de Riesgos (que se trata en la siguiente secciรณn). Esta tรฉcnica se utiliza para determinar la probabilidad y el impacto del riesgo.
Planificaciรณn de respuesta a riesgos
A partir del anรกlisis podemos decidir si los riesgos requieren una respuesta. Por ejemplo, algunos riesgos requerirรกn una respuesta en el plan del proyecto, mientras que otros requerirรกn una respuesta en el seguimiento del proyecto y otros no requerirรกn ninguna respuesta en absoluto.
El propietario del riesgo es responsable de identificar opciones para reducir la probabilidad y el impacto de los riesgos asignados.
Mitigaciรณn de riesgos Es un mรฉtodo de respuesta al riesgo que se utiliza para disminuir los impactos adversos de posibles amenazas. Esto se puede hacer eliminando los riesgos o reduciรฉndolos a un nivel aceptable.
Contingencia de Riesgo
La contingencia puede describirse como la posibilidad de un evento incierto, pero el impacto es desconocido o impredecible. Un plan de contingencia tambiรฉn se conoce como plan de acciรณn/planes de respaldo para los peores escenarios. En otras palabras, determina quรฉ medidas se podrรญan tomar cuando se materialice un evento impredecible.
Seguimiento y Control de Riesgos
El proceso de control y monitoreo de riesgos se utiliza para rastrear los riesgos identificados, monitorear los riesgos residuales, identificar nuevos riesgos, actualizar el registro de riesgos, analizar las razones del cambio, ejecutar el plan de respuesta a los riesgos y monitorear los desencadenantes de riesgos, etc. Evaluar su efectividad en la reducciรณn de riesgos. .
Esto se puede lograr mediante reevaluaciones de riesgos, auditorรญas de riesgos, anรกlisis de variaciones y tendencias, mediciรณn del desempeรฑo tรฉcnico, reuniones de actualizaciรณn de estado y reuniones retrospectivas.
La siguiente tabla proporciona informaciรณn sobre los
| Aportes al Monitoreo y Control de Riesgos | Herramientas y tรฉcnicas para el seguimiento y control de riesgos | Resultados del seguimiento y control de riesgos |
|---|---|---|
| Plan de gestiรณn de Riesgos | Auditorรญas de respuesta a los riesgos del proyecto | Planes de soluciรณn |
| Plan de respuesta a riesgos | Revisiones periรณdicas de riesgos del proyecto | Acciรณn correctiva |
| Plan de comunicaciรณn del proyecto | Anรกlisis del valor ganado | Solicitudes de cambio de proyecto |
| Identificaciรณn y anรกlisis de riesgos adicionales | Mediciรณn del desempeรฑo tรฉcnico | Actualizaciones del plan de respuesta al riesgo y la lista de verificaciรณn de identificaciรณn de riesgos |
| Cambios de alcance | Planificaciรณn de respuesta a riesgos adicionales | Base de datos de riesgos |
Necesitamos recordar que el riesgo aumenta con los cambios en la tecnologรญa, el tamaรฑo del proyecto, la duraciรณn del proyecto (plazo de tiempo mรกs largo), el nรบmero de agencias patrocinadoras, las estimaciones del proyecto, los esfuerzos y la escasez de habilidades apropiadas.
Enfoque de prueba basado en riesgos
- Analizar los requisitos.
- Se revisan los documentos (SRS, FRS, casos de uso). Esta actividad se realiza para encontrar y eliminar errores y ambigรผedades.
- La aprobaciรณn de requisitos es una de las tรฉcnicas de reducciรณn de riesgos para evitar la introducciรณn de cambios tardรญos en los proyectos. Cualquier cambio en los requisitos una vez establecido el documento implicarรญa un proceso de control de cambios y aprobaciones posteriores.
- Evaluar los riesgos calculando la probabilidad y el impacto que cada requisito podrรญa tener en el proyecto, teniendo en cuenta los criterios definidos como costo, cronograma, recursos, alcance, desempeรฑo tรฉcnico, seguridad, confiabilidad, complejidad, etc.
- Identificar la probabilidad de falla y las รกreas de alto riesgo. Esto se puede hacer utilizando la matriz de evaluaciรณn de riesgos.
- Utilice un registro de riesgos para enumerar el conjunto de riesgos identificados. Actualizar, monitorear y rastrear los riesgos periรณdicamente a intervalos regulares.
- Es necesario realizar un perfil de riesgo en esta etapa para comprender la capacidad de riesgo y los niveles de tolerancia al riesgo.
- Priorizar los requisitos en funciรณn de la calificaciรณn.
- Se define el proceso de prueba basado en riesgos
- Se pueden considerar riesgos altamente crรญticos y medianos para la planificaciรณn de la mitigaciรณn, la implementaciรณn y el seguimiento del progreso. Los riesgos bajos se pueden considerar en una lista de vigilancia.
- La evaluaciรณn de la calidad de los datos de riesgo se realiza para analizar la calidad de los datos.
- Planificar y definir pruebas segรบn la calificaciรณn.
- Aplique un enfoque de prueba apropiado y tรฉcnicas de diseรฑo de pruebas para diseรฑar los casos de prueba de manera que los elementos de mayor riesgo se prueben primero. Los elementos de alto riesgo pueden ser probados por un recurso con buena experiencia en conocimientos del dominio.
- Se pueden utilizar diferentes tรฉcnicas de diseรฑo de pruebas, por ejemplo. utilizando la tรฉcnica de la tabla de decisiones en elementos de prueba de alto riesgo y utilizando la particiรณn de equivalencia "sรณlo" para elementos de prueba de bajo riesgo.
- Los casos de prueba tambiรฉn estรกn diseรฑados para cubrir mรบltiples funcionalidades y escenarios comerciales de un extremo a otro.
- Prepare los datos de prueba y las condiciones de prueba y el banco de pruebas.
- RevVer los planes de prueba, la estrategia de prueba, los casos de prueba, los informes de prueba o cualquier otro documento creado por el equipo de pruebas.
- La revisiรณn por pares es un paso importante en la identificaciรณn de defectos y la reducciรณn de riesgos.
- Realizar simulacros y controles de calidad de los resultados.
- Los casos de prueba se ejecutan segรบn la prioridad del elemento de riesgo.
- Mantener la trazabilidad entre los elementos de riesgo, las pruebas que los cubren, los resultados de esas pruebas y los defectos encontrados durante las pruebas. Todas las estrategias de prueba ejecutadas correctamente reducirรกn los riesgos de calidad.
- Las pruebas basadas en riesgos se pueden utilizar en todos los niveles de prueba, p. Pruebas de componentes, integraciรณn, sistemas y aceptaciรณn.
- A nivel del sistema, debemos centrarnos en lo que es mรกs importante en la aplicaciรณn. Esto se puede determinar observando la visibilidad de las funciones, la frecuencia de uso y el posible costo de una falla.
- Evaluaciรณn de criterios de salida. Todas las รกreas de alto riesgo se probaron completamente y solo quedaron pendientes los riesgos residuales menores.
- Informes de resultados de pruebas basados โโen riesgos y anรกlisis de mรฉtricas.
- Reevaluar los eventos de riesgo existentes y los nuevos eventos de riesgo en funciรณn de los indicadores clave de riesgo.
- Actualizaciรณn del registro de riesgos.
- Planes de contingencia: funciona como un plan alternativo/planes de emergencia para los riesgos de alta exposiciรณn.
- Anรกlisis de defectos y prevenciรณn de defectos para eliminar los defectos.
- Se deben cubrir mรกs intensivamente las pruebas de repeticiรณn y de regresiรณn para validar las correcciones de defectos basadas en anรกlisis de riesgo precalculados y รกreas de alto riesgo.
- Pruebas de automatizaciรณn basadas en riesgos (si es posible)
- Cรกlculo del riesgo residual
- Seguimiento y Control de Riesgos
- Los criterios de salida o criterios de finalizaciรณn se pueden utilizar para diferentes niveles de riesgo. Todos los riesgos clave se han abordado con acciones apropiadas o planes de contingencia. La exposiciรณn al riesgo es igual o inferior al nivel acordado como aceptable para el proyecto.
- Reevaluaciรณn de perfiles de riesgo y comentarios de los clientes.
Enfoque de prueba basado en riesgos para la prueba del sistema
- Prueba tรฉcnica del sistema โEsto se conoce como prueba de entorno y prueba de integraciรณn. La prueba del entorno incluye pruebas en el entorno de desarrollo, pruebas y producciรณn.
- Prueba del sistema funcionalโ Pruebas de todas las funcionalidades, caracterรญsticas, programas, mรณdulos. El propรณsito de esta prueba es evaluar si el sistema cumple con los requisitos especificados.
- Prueba del sistema no funcional-Pruebas de rendimiento de requisitos no funcionales, pruebas de carga, pruebas de estrรฉs, pruebas de configuraciรณn, pruebas de seguridad, procedimientos de respaldo y recuperaciรณn y documentaciรณn (documentaciรณn del sistema, operaciรณn e instalaciรณn).
El siguiente diagrama ofrece una descripciรณn clara del proceso mencionado anteriormente.
Las pruebas del sistema incluyen tanto pruebas funcionales como pruebas no funcionales.
Las pruebas funcionales garantizan que el producto/aplicaciรณn cumpla con los requisitos comerciales y del cliente. Por otro lado, las pruebas no funcionales se realizan para verificar si el producto cumple con las expectativas del cliente en tรฉrminos de calidad, confiabilidad, usabilidad, rendimiento, compatibilidad, etc.
Cรณmo realizar pruebas basadas en riesgos: proceso completo
Esta secciรณn cubre el proceso de prueba basado en riesgos.
- Identificaciรณn de riesgo
- Anรกlisis de riesgo
- Respuesta a los riesgos
- Alcance de la prueba
- Definiciรณn del proceso de prueba
- En este proceso, se identifican y categorizan los riesgos, se prepara un borrador de registro de riesgos y se realiza una clasificaciรณn de riesgos para identificar los riesgos importantes.
- La respuesta al riesgo implica formular los objetivos de la prueba a partir de los riesgos y seleccionar tรฉcnicas apropiadas para demostrar la actividad de prueba/tรฉcnica de prueba para cumplir con los objetivos de la prueba.
- Para calcular la puntuaciรณn de efectividad de la prueba se consideran las dependencias de los documentos, los requisitos, el costo, el tiempo requerido para las pruebas del software, etc.
- El alcance de la prueba es una actividad de revisiรณn que requiere la participaciรณn de todas las partes interesadas y del personal tรฉcnico. Es importante respetar el alcance de riesgos acordado. Estos riesgos deben abordarse mediante pruebas y todos los miembros deben estar de acuerdo con las responsabilidades que se les asignan y el presupuesto asignado para estas actividades.
- Una vez finalizado el alcance de la prueba, los objetivos, suposiciones y dependencias de la prueba para cada etapa de la prueba deben compilarse en el formato estรกndar.
Consideremos los requisitos funcionales F1, F2, F3 y los requisitos no funcionales N1 y N2.
F1-Requisito funcional, R1-Riesgo asociado a F1
- Objetivo de la prueba 1: demostrar mediante una prueba que las caracterรญsticas y funcionalidades esperadas del sistema funcionan bien y que el riesgo R1 se puede abordar mediante pruebas funcionales.
- Prueba-Las pruebas de la pรกgina del navegador se realizan para ejecutar tareas importantes del usuario y verificar que el R1 (Riesgo asociado con F1) pueda abordarse en una variedad de escenarios.
F2-Requisito funcional, R2-Riesgo asociado a F2
- Objetivo de la prueba 2- Demostrar usando un Prueba que las caracterรญsticas y funcionalidades esperadas del sistema funcionan bien y que el riesgo R2 puede abordarse mediante pruebas funcionales
- Prueba-Las pruebas de la pรกgina del navegador se realizan para ejecutar tareas importantes del usuario y verificar que el R2 pueda abordarse en una variedad de escenarios.
F3-Requisito funcional, R3-Riesgo asociado a F3
- Objetivo de la prueba 3- Demostrar usando un Prueba que las caracterรญsticas y funcionalidades esperadas del sistema funcionan bien y que el riesgo R3 puede abordarse mediante pruebas funcionales
- Prueba-Las pruebas de la pรกgina del navegador se realizan para ejecutar tareas importantes del usuario y verificar que R3 pueda abordarse en una variedad de escenarios.
N1- Requisito no funcional, NR1-Riesgo asociado a N1
- Objetivo de la prueba N1: Demostrar usando un Prueba que las caracterรญsticas operativas del sistema funcionan bien y el riesgo NR1 puede abordarse mediante pruebas no funcionales
- Prueba-La prueba de usabilidad es una tรฉcnica utilizada para evaluar quรฉ tan fรกciles son de usar las interfaces de usuario y verificar que el NR1 podrรญa abordarse mediante pruebas de usabilidad.
N2- Requisito no funcional, NR2-Riesgo asociado a N2
- Objetivo de la prueba N.2: Demostrar mediante una prueba que las caracterรญsticas operativas del sistema funcionan bien y que el riesgo NR2 puede abordarse mediante pruebas no funcionales.
- La prueba de seguridad es una tรฉcnica que se utiliza para verificar si la aplicaciรณn estรก segura o es vulnerable a ataques, si hay alguna fuga de informaciรณn y verifica que NR2 pueda abordarse mediante pruebas de seguridad.
Objetivos especรญficos de la prueba: Los riesgos y objetivos de prueba enumerados son especรญficos de los tipos de prueba.
Procedimiento para diseรฑar el proceso de prueba basado en riesgos.
- Elaborar un registro de riesgos. En รฉl se registran los riesgos derivados de la lista de riesgos genรฉrica, la lista de verificaciรณn existente y la sesiรณn de lluvia de ideas.
- Incluir los riesgos asociados con los requisitos funcionales y no funcionales del sistema (usabilidad, seguridad, rendimiento).
- A cada riesgo se le asigna un identificador รบnico
| Col No. | Encabezado de columna | Descripciรณn |
|---|---|---|
| 3 | Probabilidad | Probabilidad del sistema propenso a este modo de falla |
| 4 | Consecuencias | impacto de este modo de falla |
| 5 | Exposiciรณn | Producto de probabilidad y consecuencias (columnas 3 y 4) |
| 6 | Efectividad de la prueba | ยฟQuรฉ confianza tienen los evaluadores en que pueden abordar este riesgo? |
| 7 | Nรบmero de prioridad de prueba | Producto de Probabilidad, Consecuencias y Eficacia de la Prueba (columna 3,4 6) |
| 8 | Objetivo(s) de la prueba | ยฟQuรฉ objetivo de prueba se utilizarรก para abordar este riesgo? |
| 9 | Tรฉcnicas de prueba | ยฟQuรฉ mรฉtodo o tรฉcnica se utiliza para |
| 10 | Dependencias | ยฟQuรฉ suponen y de quรฉ dependen los evaluadores? |
| 11 | Esfuerzo | ยฟCuรกnto esfuerzo se requiere para esta prueba? |
| 12 | Escala de tiempo | ยฟCuรกnto tiempo se requiere para realizar esta prueba? |
| 13 | Etapa de prueba A-Pruebas unitariasEtapa de prueba B-Prueba de integraciรณnEtapa de prueba C-Prueba del sistema | Nombre de la persona o grupo que realiza esta actividad |
Se evalรบan la probabilidad (1 baja -5 alta) y las consecuencias (1 baja -5 alta) de cada riesgo.
- La exposiciรณn de la prueba se calcula
- El evaluador analiza cada riesgo y evalรบa si el riesgo es comprobable o no.
- Los objetivos de prueba estรกn definidos para los riesgos comprobables.
- Tester especifica la actividad de prueba que debe llevarse a cabo de forma planificada para cumplir con el objetivo de la prueba (revisiones estรกticas, inspecciones, pruebas de sistemas, pruebas de integraciรณn, pruebas de aceptaciรณn, validaciรณn html, pruebas de localizaciรณn, etc.)
- Estas actividades de prueba se pueden clasificar en etapas (Prueba de componentes/Prueba unitaria, Pruebas de integraciรณn, Pruebas de sistemas, Pruebas de aceptaciรณn)
- En ocasiones, un riesgo puede abordarse mediante una o mรกs de una etapa de prueba.
- Identificar las dependencias y supuestos (Disponibilidad de habilidades, herramientas, entornos de prueba, recursos)
- Se calcula la efectividad de la prueba. La efectividad de la prueba se relaciona con el nivel de confianza del evaluador en que el riesgo se abordarรก definitivamente mediante la prueba. La puntuaciรณn de efectividad de la prueba es un nรบmero entre uno y cinco. (5-Confianza alta, 1-Confianza baja)
- Estimaciรณn del esfuerzo, tiempo requerido, costo para preparar y ejecutar estas pruebas.
- Se calcula el nรบmero de prioridad de la prueba. Es el producto de la probabilidad, las consecuencias y las puntuaciones de efectividad de las pruebas.
- 125-Mรกximoร Un riesgo muy grave que podrรญa detectarse con pruebas
- 1-Mรญnimo ร Un riesgo muy bajo que no se detectarรญa con pruebas
- Segรบn el nรบmero de prioridad de la prueba, la importancia de la prueba se puede clasificar como Alta (Roja), Media (Amarillo) y Baja (Verde). Los artรญculos de mayor riesgo se prueban primero.
- Asignar las actividades de prueba a las etapas de prueba. Designar el grupo que realizarรก pruebas para cada objetivo en las diferentes etapas de prueba (Pruebas unitarias, Pruebas de integraciรณn, Pruebas de sistemas, Pruebas de aceptaciรณn)
- Lo que estรก dentro y fuera del alcance de las pruebas se decide en la fase de determinaciรณn del alcance de las pruebas.
- Para cada etapa se definen los objetivos de prueba, el componente bajo prueba, la responsabilidad, el entorno, los criterios de entrada, los criterios de salida, las herramientas, las tรฉcnicas y los entregables.
Objetivos de prueba genรฉricos: estos objetivos genรฉricos son aplicables a mรบltiples proyectos y aplicaciones.
- El componente cumple con los requisitos y estรก listo para su uso en subsistemas mรกs grandes.
- Se abordan los riesgos asociados con los tipos de prueba especรญficos y se logran los objetivos de la prueba.
- Los componentes integrados estรกn correctamente ensamblados. Garantizar la compatibilidad de la interfaz entre los componentes.
- El sistema cumple con los requisitos funcionales y no funcionales especificados.
- Los componentes del producto satisfacen las necesidades del usuario final en el entorno operativo previsto
- La estrategia de gestiรณn de riesgos se utiliza para identificar, analizar y mitigar riesgos.
- El sistema cumple con los requisitos reglamentarios de la industria.
- El Sistema cumple con las obligaciones contractuales
- Institucionalizaciรณn y logro de otros objetivos especรญficos establecidos como costos, cronograma y calidad.
- El sistema, los procesos y las personas cumplen con los requisitos del negocio.
Los objetivos de prueba genรฉricos se pueden definir para las diferentes etapas de la prueba.
- Prueba de componentes
- Pruebas de integraciรณn
- Pruebas del sistema
- Test de aceptaciรณn
Consideremos la etapa de prueba del sistema.
- G4 y G5 demuestran que el sistema cumple con los requisitos funcionales (F1, F2, F3) y no funcionales (N1, N2).
- Demostrar mediante pruebas que las caracterรญsticas y funcionalidades esperadas del sistema funcionan bien y que el riesgo asociado con F1, F2, F3 se puede abordar mediante pruebas funcionales.
- Demostrar mediante pruebas que las caracterรญsticas operativas del sistema funcionan bien y que el riesgo asociado con N1, N2 se puede abordar mediante pruebas no funcionales
- Segรบn el nรบmero de prioridad de la prueba, la importancia de la prueba se puede clasificar como Alta (Roja), Media (Amarillo) y Baja (Verde).
Matriz de Priorizaciรณn y Evaluaciรณn de Riesgos
La matriz de evaluaciรณn de riesgos es la matriz de probabilidad de impacto. Proporciona al equipo del proyecto una visiรณn rรกpida de los riesgos y la prioridad con la que se debe abordar cada uno de estos riesgos.
Risk rating = Probability x Severity
La probabilidad es la medida de la probabilidad de que ocurra un evento incierto. Exposiciรณn en tรฉrminos de tiempo, proximidad y repeticiรณn. Se expresa en tรฉrminos de porcentaje.
Esto se puede clasificar como Frecuente(A), Probable(B), Ocasional(C), Remoto(D), Improbable(E), Eliminado(F)
- Frecuente: se espera que ocurra varias veces en la mayorรญa de las circunstancias (91 โ 100%)
- Probable: Es probable que ocurra varias veces en la mayorรญa de las circunstancias (61 โ 90%)
- Ocasional: Puede ocurrir en algรบn momento (41 โ 60%)
- Remoto: es poco probable que ocurra/podrรญa ocurrir en algรบn momento (11 โ 40%)
- Improbable: puede ocurrir en circunstancias raras y excepcionales (0 -10%)
- Eliminar-Imposible que ocurra (0%)
La gravedad es el grado de impacto del daรฑo o pรฉrdida causada debido al evento incierto. Puntuado de 1 a 4 y puede clasificarse como Catastrรณfico=1, Crรญtico=2, Marginal=3, Insignificante=4
- Catastrรณfico โ Consecuencias duras que hacen que el proyecto sea completamente improductivo e incluso podrรญan llevar al cierre del proyecto. Esta debe ser una mรกxima prioridad durante la gestiรณn de riesgos.
- Criticalโ Grandes consecuencias que pueden provocar grandes pรฉrdidas. El proyecto estรก gravemente amenazado.
- Marginal โ Los daรฑos a corto plazo aรบn son reversibles mediante actividades de restauraciรณn.
- despreciableโ Poco o mรญnimo daรฑo o pรฉrdida. Esto puede controlarse y gestionarse mediante procedimientos de rutina.
La prioridad se clasifica en cuatro categorรญas, que se asignan a la gravedad y probabilidad del riesgo, como se muestra en la imagen a continuaciรณn.
- Grave
- Alto
- Media
- Bajo
Grave: Los riesgos que entran en esta categorรญa estรกn marcados en color รกmbar. Se debe detener la actividad y tomar medidas inmediatas para aislar el riesgo. Se deben identificar e implementar controles efectivos. Ademรกs, la actividad no debe continuar a menos que el riesgo se reduzca a un nivel bajo o medio.
Alta: Los riesgos que caen en esta categorรญa estรกn marcados en color rojo como acciones o estrategias de gestiรณn de riesgos. Se deben tomar acciones inmediatas para aislar, eliminar, sustituir el riesgo e implementar controles de riesgo efectivos. Si estos problemas no se pueden resolver de inmediato, se deben definir plazos estrictos para resolverlos.
Media: Los riesgos que entran en esta categorรญa estรกn marcados en color Amarillo. Se deben tomar medidas razonables y prรกcticas para minimizar los riesgos.
Bajo: Los riesgos que entran en esta categorรญa estรกn marcados en color verde) marcados se pueden ignorar ya que normalmente no suponen ningรบn problema importante. La revisiรณn periรณdica es imprescindible para garantizar que los controles sigan siendo eficaces.
Lista de verificaciรณn genรฉrica para pruebas basadas en riesgos
Lista completa de puntos importantes a considerar en las pruebas basadas en riesgos
- Funcionalidades importantes en el proyecto.
- Funcionalidad visible para el usuario en el proyecto.
- La funcionalidad que tiene el mayor impacto en la seguridad
- Funcionalidades que tienen mayor impacto financiero en los usuarios
- รreas de cรณdigo fuente altamente complejas y cรณdigos propensos a errores
- Caracterรญsticas o funciones que se pueden probar al principio del ciclo de desarrollo.
- Se agregaron caracterรญsticas o funcionalidades al diseรฑo del producto en el รบltimo minuto.
- Factores crรญticos de proyectos anteriores similares/relacionados que causaron problemas/problemas.
- Factores principales o problemas de proyectos similares/relacionados que tuvieron un gran impacto en los gastos de operaciรณn y mantenimiento.
- Requisitos deficientes que conducen a diseรฑos y pruebas deficientes que podrรญan tener un impacto en los objetivos y entregables del proyecto.
- En el peor de los casos, un producto puede ser tan defectuoso que no pueda reelaborarse y deba desecharse por completo, lo que causarรญa graves daรฑos a la reputaciรณn de la empresa. Identificar quรฉ tipo de problemas son cruciales para los objetivos del producto.
- Situaciones o problemas que provocarรญan quejas persistentes de servicio al cliente.
- Las pruebas de extremo a extremo podrรญan centrarse fรกcilmente en las mรบltiples funcionalidades del sistema.
- Conjunto รณptimo de pruebas que pueden maximizar la cobertura de riesgos.
- ยฟQuรฉ pruebas tendrรกn la mejor relaciรณn entre cobertura de alto riesgo y tiempo requerido?
Informes y mรฉtricas de resultados de pruebas basadas en riesgos
- Preparaciรณn del informe de pruebaInformar el estado de las pruebas consiste en comunicar eficazmente los resultados de las pruebas a las partes interesadas del proyecto. Y para brindar una comprensiรณn clara y mostrar la comparaciรณn de los resultados de la prueba con los objetivos de la prueba.
- Nรบmero de casos de prueba planificados versus ejecutados
- Nรบmero de casos de prueba aprobados/fallidos
- Nรบmero de defectos identificados y su estado y gravedad
- Nรบmero de defectos y su estado.
- Nรบmero de defectos crรญticos: aรบn abiertos
- Tiempos de inactividad del entorno, si los hubiera
- Showstoppers: si los hay, Informe resumido de prueba, Informe de cobertura de prueba
- Preparaciรณn de mรฉtricasLas mรฉtricas son una combinaciรณn de dos o mรกs medidas que se utilizan para comparar procesos, proyectos y productos de software.
- Variaciรณn de esfuerzo y horario
- Productividad en la preparaciรณn de casos de prueba
- Cobertura del diseรฑo de pruebas
- Productividad de ejecuciรณn de casos de prueba
- % de eficiencia en la identificaciรณn de riesgos
- % de eficiencia en mitigaciรณn de riesgos
- % de efectividad de la prueba
- Cobertura de ejecuciรณn de pruebas
- Productividad de ejecuciรณn de pruebas
- % de fuga de defectos
- Eficiencia en la detecciรณn de defectos
- รndice de estabilidad de requisitos
- Costo de la calidad
- Analice los riesgos en categorรญas no funcionales (rendimiento, confiabilidad y usabilidad) segรบn el estado de los defectos y una serie de estados de aprobaciรณn/falla de las pruebas, segรบn su relaciรณn con los riesgos.
- Analice los riesgos en las mรฉtricas de las categorรญas funcionales de prueba, estado de defecto y estado de aprobaciรณn/rechazo de la prueba, en funciรณn de su relaciรณn con los riesgos.
- Identificar indicadores clave de avance y retraso y crear indicadores de alerta temprana.
- Monitorear e informar sobre los indicadores de riesgo de avance y retraso (indicadores clave de riesgo) mediante el anรกlisis de los patrones, tendencias e interdependencias de los datos.
Evaluaciรณn de riesgo inherente versus evaluaciรณn de riesgo residual
La identificaciรณn y el anรกlisis de riesgos tambiรฉn deben incluir riesgos inherentes, riesgos residuales, riesgos secundarios y riesgos recurrentes.
- Riesgo inherente: Los riesgos que fueron identificados/ya presentes en el sistema antes de que se implementaran los controles y respuestas. Los riesgos inherentes tambiรฉn se conocen como riesgos brutos.
- Riesgo residual: Los riesgos que quedan despuรฉs de que se han implementado los controles y respuestas. Los riesgos residuales se conocen como riesgos netos.
- Riesgo secundario: El nuevo riesgo causado por la implementaciรณn del plan de respuesta al riesgo.
- Riesgos recurrentes: Probabilidad de que se produzcan los riesgos iniciales.
La mediciรณn de los resultados de las pruebas basada en el riesgo ayuda a la organizaciรณn a conocer el nivel residual de riesgo de calidad durante la ejecuciรณn de las pruebas y a tomar decisiones de lanzamiento inteligentes.
Perfiles de riesgo y comentarios de los clientes
El perfil de riesgo es un proceso para encontrar el nivel รณptimo de riesgo de inversiรณn para el cliente considerando el riesgo requerido, la capacidad de riesgo y la tolerancia al riesgo.
- El riesgo requerido es el nivel de riesgo que el cliente debe asumir para obtener un rendimiento satisfactorio.
- La capacidad de riesgo es el nivel de riesgo financiero que el cliente puede permitirse asumir.
- La tolerancia al riesgo es el nivel de riesgo que el cliente preferirรญa asumir.
Comentarios
Recopile comentarios y reseรฑas de los clientes para mejorar el negocio, el producto, el servicio y la experiencia.
Beneficios de las pruebas basadas en riesgos
Los beneficios de las pruebas basadas en riesgos se detallan a continuaciรณn.
- Mejora de la productividad y reducciรณn de costes.
- Oportunidad de mercado mejorada (tiempo de comercializaciรณn) y entrega a tiempo.
- Rendimiento de servicio mejorado
- Calidad mejorada a medida que se prueban todas las funciones crรญticas de la aplicaciรณn.
- Proporciona informaciรณn clara sobre la cobertura de la prueba. Utilizando este enfoque, sabemos quรฉ se ha probado y quรฉ no.
- La asignaciรณn del esfuerzo de prueba basada en la evaluaciรณn de riesgos es la forma mรกs eficiente y eficaz de minimizar el riesgo residual tras la liberaciรณn.
- La mediciรณn de los resultados de las pruebas basada en el anรกlisis de riesgos permite a la organizaciรณn identificar el nivel residual de riesgo de calidad durante la ejecuciรณn de las pruebas y tomar decisiones de lanzamiento inteligentes.
- Pruebas optimizadas con mรฉtodos de evaluaciรณn de riesgos altamente definidos.
- Mayor satisfacciรณn del cliente: debido a la participaciรณn del cliente y a buenos informes y seguimiento del progreso.
- Detecciรณn temprana de las posibles รกreas problemรกticas. Se pueden tomar medidas preventivas eficaces para superar estos problemas.
- El seguimiento y la evaluaciรณn continuos de los riesgos durante todo el ciclo de vida del proyecto ayudan a identificar y resolver los riesgos y a abordar los problemas que podrรญan poner en peligro el logro de las metas y objetivos generales del proyecto.
Resumen
En Ingenierรญa de Software, las pruebas basadas en riesgos son la forma mรกs eficiente de guiar el proyecto en funciรณn de los riesgos.
Los esfuerzos de prueba se organizan de manera efectiva y se califica el nivel de prioridad de cada elemento de riesgo. Luego, cada riesgo se asocia con las actividades de prueba apropiadas, donde una sola prueba tiene mรกs de un elemento de riesgo, entonces la prueba se asigna como la de mayor riesgo.
Las pruebas se ejecutan segรบn el orden de prioridad de riesgo. El proceso de monitoreo de riesgos ayuda a realizar un seguimiento de los riesgos identificados y a reducir los impactos de los riesgos residuales.
