8 resultados para contrato de seguro
em Universidad Politécnica de Madrid
Resumo:
La vulnerabilidad de los sistemas ganaderos de pastoreo pone en evidencia la necesidad de herramientas para evaluar y mitigar los efectos de la sequía. El avance en la teledetección ha despertado el interés por explotar potenciales aplicaciones, y está dando lugar a un intenso desarrollo de innovaciones en distintos campos. Una de estas áreas es la gestión del riesgo climático, en donde la utilización de índices de vegetación permite la evaluación de la sequía. En esta investigación, se analiza el impacto de la sequía y se evalúa el potencial de nuevas tecnologías como la teledetección para la gestión del riesgo de sequía en sistemas de ganadería extensiva. Para ello, se desarrollan tres aplicaciones: (i) evaluar el impacto económico de la sequía en una explotación ganadera extensiva de la dehesa de Andalucía, (ii) elaborar mapas de vulnerabilidad a la sequía en pastos de Chile y (iii) diseñar y evaluar el potencial de un seguro indexado para sequía en pastos en la región de Coquimbo en Chile. En la primera aplicación, se diseña un modelo dinámico y estocástico que integra aspectos climáticos, ecológicos, agronómicos y socioeconómicos para evaluar el riesgo de sequía. El modelo simula una explotación ganadera tipo de la dehesa de Andalucía para el período 1999-2010. El método de Análisis Histórico y la simulación de MonteCarlo se utilizan para identificar los principales factores de riesgo de la explotación, entre los que destacan, los periodos de inicios del verano e inicios de invierno. Los resultados muestran la existencia de un desfase temporal entre el riesgo climático y riesgo económico, teniendo este último un periodo de duración más extenso en el tiempo. También, revelan que la intensidad, frecuencia y duración son tres atributos cruciales que determinan el impacto económico de la sequía. La estrategia de reducción de la carga ganadera permite aminorar el riesgo, pero conlleva una disminución en el margen bruto de la explotación. La segunda aplicación está dedicada a la elaboración de mapas de vulnerabilidad a la sequia en pastos de Chile. Para ello, se propone y desarrolla un índice de riesgo económico (IRESP) sencillo de interpretar y replicable, que integra factores de riesgo y estrategias de adaptación para obtener una medida del Valor en Riesgo, es decir, la máxima pérdida esperada en un año con un nivel de significación del 5%.La representación espacial del IRESP pone en evidencia patrones espaciales y diferencias significativas en la vulnerabilidad a la sequía a lo largo de Chile. Además, refleja que la vulnerabilidad no siempre esta correlacionada con el riesgo climático y demuestra la importancia de considerar las estrategias de adaptación. Las medidas de autocorrelación espacial revelan que el riesgo sistémico es considerablemente mayor en el sur que en el resto de zonas. Los resultados demuestran que el IRESP transmite información pertinente y, que los mapas de vulnerabilidad pueden ser una herramienta útil en el diseño de políticas y toma de decisiones para la gestión del riesgo de sequía. La tercera aplicación evalúa el potencial de un seguro indexado para sequía en pastos en la región de Coquimbo en Chile. Para lo cual, se desarrolla un modelo estocástico para estimar la prima actuarialmente justa del seguro y se proponen y evalúan pautas alternativas para mejorar el diseño del contrato. Se aborda el riesgo base, el principal problema de los seguros indexados identificado en la literatura y, que está referido a la correlación imperfecta del índice con las pérdidas de la explotación. Para ello, se sigue un enfoque bayesiano que permite evaluar el impacto en el riesgo base de las pautas de diseño propuestas: i) una zonificación por clúster que considera aspectos espacio-temporales, ii) un período de garantía acotado a los ciclos fenológicos del pasto y iii) umbral de garantía. Los resultados muestran que tanto la zonificación como el periodo de garantía reducen el riesgo base considerablemente. Sin embargo, el umbral de garantía tiene un efecto ambiguo sobre el riesgo base. Por otra parte, la zonificación por clúster contribuye a aminorar el riesgo sistémico que enfrentan las aseguradoras. Estos resultados han puesto de manifiesto que un buen diseño de contrato puede tener un doble dividendo, por un lado aumentar su utilidad y, por otro, reducir el coste del seguro. Un diseño de contrato eficiente junto con los avances en la teledetección y un adecuado marco institucional son los pilares básicos para el buen funcionamiento de un programa de seguro. Las nuevas tecnologías ofrecen un importante potencial para la innovación en la gestión del riesgo climático. Los avances en este campo pueden proporcionar importantes beneficios sociales en los países en desarrollo y regiones vulnerables, donde las herramientas para gestionar eficazmente los riesgos sistémicos como la sequía pueden ser de gran ayuda para el desarrollo. The vulnerability of grazing livestock systems highlights the need for tools to assess and mitigate the adverse impact of drought. The recent and rapid progress in remote sensing has awakened an interest for tapping into potential applications, triggering intensive efforts to develop innovations in a number of spheres. One of these areas is climate risk management, where the use of vegetation indices facilitates assessment of drought. This research analyzes drought impacts and evaluates the potential of new technologies such as remote sensing to manage drought risk in extensive livestock systems. Three essays in drought risk management are developed to: (i) assess the economic impact of drought on a livestock farm in the Andalusian Dehesa, (ii) build drought vulnerability maps in Chilean grazing lands, and (iii) design and evaluate the potential of an index insurance policy to address the risk of drought in grazing lands in Coquimbo, Chile. In the first essay, a dynamic and stochastic farm model is designed combining climate, agronomic, socio-economic and ecological aspects to assess drought risk. The model is developed to simulate a representative livestock farm in the Dehesa of Andalusia for the time period 1999-2010. Burn analysis and MonteCarlo simulation methods are used to identify the significance of various risk sources at the farm. Most notably, early summer and early winter are identified as periods of peak risk. Moreover, there is a significant time lag between climate and economic risk and this later last longer than the former. It is shown that intensity, frequency and duration of the drought are three crucial attributes that shape the economic impact of drought. Sensitivity analysis is conducted to assess the sustainability of farm management strategies and demonstrates that lowering the stocking rate reduces farmer exposure to drought risk but entails a reduction in the expected gross margin. The second essay, mapping drought vulnerability in Chilean grazing lands, proposes and builds an index of economic risk (IRESP) that is replicable and simple to interpret. This methodology integrates risk factors and adaptation strategies to deliver information on Value at Risk, maximum expected losses at 5% significance level. Mapping IRESP provides evidence about spatial patterns and significant differences in drought vulnerability across Chilean grazing lands. Spatial autocorrelation measures reveal that systemic risk is considerably larger in the South as compared to Northern or Central Regions. Furthermore, it is shown that vulnerability is not necessarily correlated with climate risk and that adaptation strategies do matter. These results show that IRESP conveys relevant information and that vulnerability maps may be useful tools to assess policy design and decision-making in drought risk management. The third essay develops a stochastic model to estimate the actuarially fair premium and evaluates the potential of an indexed insurance policy to manage drought risk in Coquimbo, a relevant livestock farming region of Chile. Basis risk refers to the imperfect correlation of the index and farmer loses and is identified in the literature as a main limitation of index insurance. A Bayesian approach is proposed to assess the impact on basis risk of alternative guidelines in contract design: i) A cluster zoning that considers space-time aspects, ii) A guarantee period bounded to fit phenological cycles, and iii) the triggering index threshold. Results show that both the proposed zoning and guarantee period considerably reduces basis risk. However, the triggering index threshold has an ambiguous effect on basis risk. On the other hand, cluster zoning contributes to ameliorate systemic risk faced by the insurer. These results highlighted that adequate contract design is important and may result in double dividend. On the one hand, increasing farmers’ utility and, secondly, reducing the cost of insurance. An efficient contract design coupled with advances in remote sensing and an appropriate institutional framework are the basis for an efficient operation of an insurance program. The new technologies offer significant potential for innovation in climate risk managements. Progress in this field is capturing increasing attention and may provide important social gains in developing countries and vulnerable regions where the tools to efficiently manage systemic risks, such as drought, may be a means to foster development.
Resumo:
En este trabajo de tesis se propone un esquema de votación telemática, de carácter paneuropeo y transnacional, que es capaz de satisfacer las más altas exigencias en materia de seguridad. Este enfoque transnacional supone una importante novedad que obliga a identificar a los ciudadanos más allá de las fronteras de su país, exigencia que se traduce en la necesidad de que todos los ciudadanos europeos dispongan de una identidad digital y en que ésta sea reconocida más allá de las fronteras de su país de origen. Bajo estas premisas, la propuesta recogida en esta tesis se aborda desde dos vertientes complementarias: por una parte, el diseño de un esquema de votación capaz de conquistar la confianza de gobiernos y ciudadanos europeos y, por otra, la búsqueda de una respuesta al problema de interoperabilidad de Sistemas de Gestión de Identidad (IDMs), en consonancia con los trabajos que actualmente realiza la UE para la integración de los servicios proporcionados por las Administraciones Públicas de los distintos países europeos. El punto de partida de este trabajo ha sido la identificación de los requisitos que determinan el adecuado funcionamiento de un sistema de votación telemática para, a partir de ellos,proponer un conjunto de elementos y criterios que permitan, por una parte, establecer comparaciones entre distintos sistemas telemáticos de votación y, por otra, evaluar la idoneidad del sistema propuesto. A continuación se han tomado las más recientes y significativas experiencias de votación telemática llevadas a cabo por diferentes países en la automatización de sus procesos electorales, analizándolas en profundidad para demostrar que, incluso en los sistemas más recientes, todavía subsisten importantes deficiencias relativas a la seguridad. Asimismo, se ha constatado que un sector importante de la población se muestra receloso y, a menudo, cuestiona la validez de los resultados publicados. Por tanto, un sistema que aspire a ganarse la confianza de ciudadanos y gobernantes no sólo debe operar correctamente, trasladando los procesos tradicionales de votación al contexto telemático, sino que debe proporcionar mecanismos adicionales que permitan superar los temores que inspira el nuevo sistema de votación. Conforme a este principio, el enfoque de esta tesis, se orienta, en primer lugar, hacia la creación de pruebas irrefutables, entendibles y auditables a lo largo de todo el proceso de votación, que permitan demostrar con certeza y ante todos los actores implicados en el proceso (gobierno, partidos políticos, votantes, Mesa Electoral, interventores, Junta Electoral,jueces, etc.) que los resultados publicados son fidedignos y que no se han violado los principios de anonimato y de “una persona, un voto”. Bajo este planteamiento, la solución recogida en esta tesis no sólo prevé mecanismos para minimizar el riesgo de compra de votos, sino que además incorpora mecanismos de seguridad robustos que permitirán no sólo detectar posibles intentos de manipulación del sistema, sino también identificar cuál ha sido el agente responsable. De forma adicional, esta tesis va más allá y traslada el escenario de votación a un ámbito paneuropeo donde aparecen nuevos problemas. En efecto, en la actualidad uno de los principales retos a los que se enfrentan las votaciones de carácter transnacional es sin duda la falta de procedimientos rigurosos y dinámicos para la actualización sincronizada de los censos de votantes de los distintos países que evite la presencia de errores que redunden en la incapacidad de controlar que una persona emita más de un voto, o que se vea impedido del todo a ejercer su derecho. Este reconocimiento de la identidad transnacional requiere la interoperabilidad entre los IDMs de los distintos países europeos. Para dar solución a este problema, esta tesis se apoya en las propuestas emergentes en el seno de la UE, que previsiblemente se consolidarán en los próximos años, tanto en materia de identidad digital (con la puesta en marcha de la Tarjeta de Ciudadano Europeo) como con el despliegue de una infraestructura de gestión de identidad que haga posible la interoperabilidad de los IDMs de los distintos estados miembros. A partir de ellas, en esta tesis se propone una infraestructura telemática que facilita la interoperabilidad de los sistemas de gestión de los censos de los distintos estados europeos en los que se lleve a cabo conjuntamente la votación. El resultado es un sistema versátil, seguro, totalmente robusto, fiable y auditable que puede ser aplicado en elecciones paneuropeas y que contempla la actualización dinámica del censo como una parte crítica del proceso de votación. ABSTRACT: This Ph. D. dissertation proposes a pan‐European and transnational system of telematic voting that is capable of meeting the strictest security standards. This transnational approach is a significant innovation that entails identifying citizens beyond the borders of their own country,thus requiring that all European citizens must have a digital identity that is recognized beyond the borders of their country of origin. Based on these premises, the proposal in this thesis is analyzed in two mutually‐reinforcing ways: first, a voting system is designed that is capable of winning the confidence of European governments and citizens and, second, a solution is conceived for the problem of interoperability of Identity Management Systems (IDMs) that is consistent with work being carried out by the EU to integrate the services provided by the public administrations of different European countries. The starting point of this paper is to identify the requirements for the adequate functioning of a telematic voting system and then to propose a set of elements and criteria that will allow for making comparisons between different such telematic voting systems for the purpose of evaluating the suitability of the proposed system. Then, this thesis provides an in‐depth analysis of most recent significant experiences in telematic voting carried out by different countries with the aim of automating electoral processes, and shows that even the most recent systems have significant shortcomings in the realm of security. Further, a significant portion of the population has shown itself to be wary,and they often question the validity of the published results. Therefore, a system that aspires to win the trust of citizens and leaders must not only operate correctly by transferring traditional voting processes into a telematic environment, but must also provide additional mechanisms that can overcome the fears aroused by the new voting system. Hence, this thesis focuses, first, on creating irrefutable, comprehensible and auditable proof throughout the voting process that can demonstrate to all actors in the process – the government, political parties, voters, polling station workers, electoral officials, judges, etc. ‐that the published results are accurate and that the principles of anonymity and one person,one vote, have not been violated. Accordingly, the solution in this thesis includes mechanisms to minimize the risk of vote buying, in addition to robust security mechanisms that can not only detect possible attempts to manipulate the system, but also identify the responsible party. Additionally, this thesis goes one step further and moves the voting scenario to a pan‐European scale, in which new problems appear. Indeed, one of the major challenges at present for transnational voting processes is the lack of rigorous and dynamic procedures for synchronized updating of different countries’ voter rolls, free from errors that may make the system unable to keep an individual from either casting more than one vote, or from losing the effective exercise of the right to vote. This recognition of transnational identity requires interoperability between the IDMs of different European countries. To solve the problem, this thesis relies on proposals emerging within the EU that are expected to take shape in the coming years, both in digital identity – with the launch of the European Citizen Card – and in the deployment of an identity management infrastructure that will enable interoperability of the IDMs of different member states. Based on these, the thesis proposes a telematic infrastructure that will achieve interoperability of the census management systems of European states in which voting processes are jointly carried out. The result is a versatile, secure, totally robust, reliable and auditable system that can be applied in pan‐European election, and that includes dynamic updating of the voter rolls as a critical part of the voting process.
Resumo:
Es por ello que proponemos esta Tesis Doctoral, que en primer lugar realice un análisis exhaustivo del Estado del Arte actual del marco de la Responsabilidad del arquitecto en Europa, estudiando de forma comparada esta realidad y su evolución en el Continente, para posteriormente proponer una regulación concreta y homogénea a todos los países de la Unión. Este estudio busca, por tanto, realizar ese análisis de la heterogeneidad profesional arquitectónica, con el fin de comprender las diferencias y las semejanzas entre Estados, y proponer después una regulación del ejercicio profesional, singular con respecto al resto de profesiones, pero adecuada y adaptada para los arquitectos de toda Europa. Por lo tanto y con base en la investigación realizada, entendemos esta respuesta legislativa como plenamente necesaria; muy solicitada por los arquitectos europeos encuestados y totalmente justificada como impulso a una labor normativa -que aún no ha iniciado la reglamentación comunitaria- y que resulta, sin embargo, de gran necesidad para el ejercicio profesional itinerante del proceso arquitectónico que requiere la época actual, basada en los principios de libertad de establecimiento y de prestación de servicios permanentemente promovidos por instancias oficiales, sin aún haber dotado a este sector constructivo del marco legal necesario para el ejercicio de su labor y su responsabilidad en el entorno de la Unión Europea. Nace así esta Tesis con la vocación de convertirse en base para una posterior Normativa europea, que recoja las singularidades necesarias, elimine las innecesarias, defina con precisión todos los aspectos de la responsabilidad profesional del arquitecto y sus diferencias con otros técnicos, y en definitiva, aúne en las diferencias el futuro de una profesión que ha sido fundamental en la historia y la cultura de Europa, y está llamada –y así debe ser, por el bien cultural del continente- a seguirlo siendo en el futuro.
Resumo:
El agua es un recurso cada vez más escaso y valioso. Por ello, los recursos hídricos disponibles deben asignarse de una forma eficiente entre los diferentes usos. El cambio climático aumentará la frecuencia y severidad de los eventos extremos, y podría incrementar la demanda de agua de los cultivos. El empleo de mecanismos flexibles de asignación de agua puede ser imprescindible para hacer frente a este aumento en la variabilidad del balance hídrico y para asegurar que los riesgos de suministro, y no solo los recursos, son compartidos de manera eficiente entre los usuarios. Los mercados de agua permiten la reasignación de los recursos hídricos, favoreciendo su transferencia desde los usos de menor a los de mayor valor. Diferentes tipos de mercados de agua se han establecido en diferentes partes del mundo, ayudando a los participantes a afrontar los problemas de escasez de agua en esas zonas. En España, los intercambios de agua están permitidos desde 1999, aunque la participación de los usuarios en el mercado ha sido limitada. Hay varios aspectos de los mercados de agua en España que deben mejorarse. Esta tesis, además de proponer una serie de cambios en el marco regulatorio, propone la introducción de contratos de opción de agua como una posible mejora. La principal ventaja de este tipo de contratos es la estabilidad legal e institucional que éstos proporcionan tanto a compradores como vendedores. Para apoyar esta propuesta, se han llevado a cabo diferentes análisis que muestran el potencial de los contratos de opción como herramienta de reducción del riesgo asociado a una oferta de agua inestable. La Cuenca del Segura (Sureste de España), la Cuenca del Tajo y el Acueducto Tajo- Segura han sido seleccionados como casos de estudio. Tres análisis distintos aplicados a dicha región se presentan en esta tesis: a) una evaluación de los contratos de opción como mecanismo para reducir los riesgos de disponibilidad de agua sufridos por los regantes en la Cuenca del Segura; b) un marco teórico para analizar las preferencias de los regantes por diferentes mecanismos de gestión del riesgo de disponibilidad de agua, su disposición a pagar por ellos y los precios aproximados de estos instrumentos (seguro de sequía y contratos de opción de agua); y c) una evaluación del papel de los contratos de opción en las decisiones de aprovisionamiento de agua de una comunidad de regantes ante una oferta de agua incierta. Los resultados muestran el potencial de reducción del riesgo de los contratos de opción para regantes en España, pero pueden ser extrapolados a otros sectores o regiones. Las principales conclusiones de esta tesis son: a) la agricultura será uno de los sectores más afectados por el cambio climático. Si los precios del agua aumentan, la rentabilidad de los cultivos puede caer hasta niveles negativos, lo que podría dar lugar al abandono de cultivos de regadío en algunas zonas de España. Las políticas de cambio climático y de agua deben estar estrechamente coordinadas para asegurar un uso de agua eficiente y la rentabilidad de la agricultura; b) aunque los mercados de agua han ayudado a algunos usuarios a afrontar problemas de disponibilidad del recurso en momentos de escasez, hay varios aspectos que deben mejorarse; c) es necesario desarrollar mercados de agua más flexibles y estables para garantizar una asignación eficiente de los recursos entre los usuarios de agua; d) los resultados muestran los beneficios derivados del establecimiento de un contrato de opción entre usuarios de agua del Tajo y del Segura para reducir el riesgo de disponibilidad de agua en la cuenca receptora; e) la disposición a pagar de los regantes por un contrato de opción de agua o un seguro de sequía hidrológica, que representa el valor que tienen estos mecanismos para aquellos usuarios de agua que se enfrentan a riesgos relacionados con la disponibilidad del recurso, es consistente con los resultados obtenidos en estudios previos y superior al precio de mercado de estos instrumentos, lo que favorece la viabilidad de estos mecanismos de gestión del riesgo ; y f) los contratos de opción podrían ayudar a optimizar las decisiones de aprovisionamiento de agua bajo incertidumbre, proporcionando más estabilidad y flexibilidad que los mercados temporales de agua. ABSTRACT Water is becoming increasingly scarce and valuable. Thus, existing water resources need to be efficiently allocated among users. Climate change is expected to increase the frequency and severity of extreme events, and it may also increase irrigated crops' water demand. The implementation of flexible allocation mechanisms could be essential to cope with this increased variability of the water balance and ensure that supply risks, and not only water resources, are also efficiently shared and managed. Water markets allow for the reallocation of water resources from low to high value uses. Different water trading mechanisms have been created in different parts of the world and have helped users to alleviate water scarcity problems in those areas. In Spain, water trading is allowed since 1999, although market activity has been limited. There are several issues in the Spanish water market that should be improved. This thesis, besides proposing several changes in the legislative framework, proposes the introduction of water option contracts as a potential improvement. The main advantage for both buyer and seller derived from an option contract is the institutional and legal stability it provides. To support this proposal, different analyses have been carried out that show the potential of option contracts as a risk reduction tool to manage water supply instability. The Segura Basin (Southeast Spain), the Tagus Basin and the Tagus-Segura inter-basin Transfer have been selected as the case study. Three different analyses applied to this region are presented in this thesis: a) an evaluation of option contracts as a mechanisms to reduce water supply availability risks in the Segura Basin; b) a theoretical framework for analyzing farmer’s preferences for different water supply risk management tools and farmers’ willingness to pay for them, together with the assessment of the prices of these mechanisms (drought insurance and water option contracts); and c) an evaluation of the role of option contracts in water procurement decisions under uncertainty. Results show the risk-reduction potential of option contracts for the agricultural sector in Spain, but these results can be extrapolated to other sectors or regions. The main conclusions of the thesis are: a) agriculture would be one of the most affected sectors by climate change. With higher water tariffs, crop’s profitability can drop to negative levels, which may result in the abandoning of the crop in many areas. Climate change and water policies must be closely coordinated to ensure efficient water use and crops’ profitability; b) although Spanish water markets have alleviated water availability problems for some users during water scarcity periods, there are several issues that should be improved; c) more flexible and stable water market mechanisms are needed to allocate water resources and water supply risks among competing users; d) results show the benefits derived from the establishment of an inter-basin option contract between water users in the Tagus and the Segura basins for reducing water supply availability risks in the recipient area; e) irrigators’ willingness to pay for option contracts or drought insurance, that represent the value that this kind of trading mechanisms has for water users facing water supply reliability problems, are consistent with results obtained in previous works and higher than the prices of this risk management tools, which shows the feasibility of these mechanisms; and f) option contracts would help to optimize water procurement decisions under uncertainty, providing more flexibility and stability than the spot market.
Resumo:
El fin de este proyecto es conseguir que el intercambio de información que se realiza entre las distintas entidades a la hora de comprar un producto, se haga de una manera segura y confidencial. Los objetivos de este proyecto serán: • Con el protocolo SSL garantizar la confidencialidad y autenticación de los usuarios. • Infraestructura TCP/IP para poder conectar las distintas entidades. • Desarrollo de un código para construir las firmas asiméticas de datos. • Implementar las transacciones que se realizan entre las entidades para poder comprar un producto. • Comprobar que al comprar un producto se realizan los intercambios necesarios entre las entidades. • A la hora de realizar la compra del producto, la tarjeta que utilizará el cliente tendrá una identidad desconocida para el comerciante. Solo el banco podrá identificarla. El proyecto se desarrollará utilizando las librerías de Java JCE (Java Cryptography Extension)y JSSE(Java Secure Sockets Extension.
Resumo:
El presente Trabajo de Fin de Grado (TFG) es el resultado de la necesidad de la seguridad en la construcción del software ya que es uno de los mayores problemas con que se enfrenta hoy la industria debido a la baja calidad de la misma tanto en software de Sistema Operativo, como empotrado y de aplicaciones. La creciente dependencia de software para que se hagan trabajos críticos significa que el valor del software ya no reside únicamente en su capacidad para mejorar o mantener la productividad y la eficiencia. En lugar de ello, su valor también se deriva de su capacidad para continuar operando de forma fiable incluso de cara de los eventos que la amenazan. La capacidad de confiar en que el software seguirá siendo fiable en cualquier circunstancia, con un nivel de confianza justificada, es el objetivo de la seguridad del software. Seguridad del software es importante porque muchas funciones críticas son completamente dependientes del software. Esto hace que el software sea un objetivo de valor muy alto para los atacantes, cuyos motivos pueden ser maliciosos, penales, contenciosos, competitivos, o de naturaleza terrorista. Existen fuentes muy importantes de mejores prácticas, métodos y herramientas para mejorar desde los requisitos en sus aspectos no funcionales, ciclo de vida del software seguro, pasando por la dirección de proyectos hasta su desarrollo, pruebas y despliegue que debe ser tenido en cuenta por los desarrolladores. Este trabajo se centra fundamentalmente en elaborar una guía de mejores prácticas con la información existente CERT, CMMI, Mitre, Cigital, HP, y otras fuentes. También se plantea desarrollar un caso práctico sobre una aplicación dinámica o estática con el fin de explotar sus vulnerabilidades.---ABSTRACT---This Final Project Grade (TFG) is the result of the need for security in software construction as it is one of the biggest problems facing the industry today due to the low quality of it both OS software, embedded software and applications software. The increasing reliance on software for critical jobs means that the value of the software no longer resides solely in its capacity to improve or maintain productivity and efficiency. Instead, its value also stems from its ability to continue to operate reliably even when facing events that threaten it. The ability to trust that the software will remain reliable in all circumstances, with justified confidence level is the goal of software security. The security in software is important because many critical functions are completely dependent of the software. This makes the software to be a very high value target for attackers, whose motives may be by a malicious, by crime, for litigating, by competitiveness or by a terrorist nature. There are very important sources of best practices, methods and tools to improve the requirements in their non-functional aspects, the software life cycle with security in mind, from project management to its phases (development, testing and deployment) which should be taken into account by the developers. This paper focuses primarily on developing a best practice guide with existing information from CERT, CMMI, Mitre, Cigital, HP, and other organizations. It also aims to develop a case study on a dynamic or static application in order to exploit their vulnerabilities.
Resumo:
La gestión de las tecnologías de la información tiene cada vez más importancia dentro de un mundo totalmente digitalizado y donde la capacidad de respuesta al cambio puede marcar el devenir de una compañía, y resulta cada vez más evidente que los modelos de gestión tradicionales utilizados en la mayoría de las compañías no son capaces de dar respuesta por si solos a estas nuevas necesidades. Aun teniendo identificado este área de mejora, son muchas las empresas reacias a abordar estos cambios, principalmente por el cambio rupturista que significa a nivel interno. De cara a facilitar esta transformación, se propone en este documento un modelo de transición controlada donde las grandes compañías puedan incorporar nuevas alternativas y herramientas ágiles de forma paulatina y asegurando que el proceso de cambio es seguro y efectivo. Mediante una modificación del ciclo de vida de proyecto dentro de la compañía, se incorporan en las áreas, equipos o dominios de la empresa que se identifiquen los nuevos modelos de gestión ágil, permitiendo así una transición gradual y controlada, y pudiendo además analizar los detalles sobre todo en etapas tempranas de la transformación. Una vez seleccionada el área o dominio objeto de la transformación, se realiza un análisis a nivel de Portfolio de proyectos, identificando aquellos que cumplen una serie de condiciones que les permiten ser gestionados utilizando modelos de gestión ágil. Para ello, se plantea una matriz de decisión con las principales variables a tener en cuenta a la hora de tomar una decisión. Una vez seleccionado y consensuado con los interesados el modelo de gestión utilizando la matriz de decisión, se plantean una serie de herramientas y métricas asociadas para que la gestión ágil del proyecto dé una visibilidad completa y detallada del estado en cada momento, asegurando un correcto proceso de gestión de proyectos para proveer visibilidad regular del progreso, riesgos, planes de contingencia y problemas, con las alertas y escalaciones adecuadas. Además de proponerse una serie de herramientas y métricas para la gestión ágil del proyecto, se plantean las modificaciones necesarias sobre las tipologías habituales de contrato y se propone un nuevo modelo de contrato: el Contrato Agile. La principal diferencia entre este nuevo modelo de contrato y los habituales es que, al igual que las metodologías ágiles, es ejecutado en segmentos o iteraciones. En definitiva, el objetivo de este documento es proveer un mecanismo que facilite la inclusión de nuevos modelos ágiles de gestión en grandes organizaciones, llevando a cabo una transición controlada, con herramientas y métricas adaptadas para tener visibilidad completa sobre los proyectos en todo momento.---ABSTRACT---The information technology management is every time more important in a totally digitized world, where the capacity to response the change could mark the future of a company, and results every time more evident that the traditional management models used in the most of the companies are not able to respond by themselves to these new necessities. Even having identified this improvement area, many companies are reluctant to address these changes, mainly due to the disruptive change that it means internally in the companies. In order to facilitate this transformation, this document proposed a controlled transition model to help the big companies to incorporate new alternatives and agile tools gradually and ensuring that the change process is safe and effective. Through a modification the project life cycle inside the company, the new agile management models are incorporated in the selected areas, teams or domains, permitting a gradual and controlled transition, and enabling further analyze the details above all in the early phases of the transformation. Once is selected the area or domain object of the transformation, a portfolio level analysis is performed, identifying those projects that meet a some conditions that allow them to be managed using agile management models. For that, a decision matrix is proposed with the principal variables to have into account at the time of decision making. Once the management model is selected using the decision matrix and it is agreed with the different stakeholders, a group of tools and metrics associated with the agile management projects are proposed to provide a regular visibility of the project progress, risks, contingency plans and problems, with proper alerts and escalations. Besides the group of tools and metrics proposed for agile project management, the necessary modifications over the traditional contract models and a new contract model are proposed: the Agile Contract. The main difference between this new contract model and the traditional ones is that, as the agile methodologies, it is executed in segments or iterations. To sum up, the objective of this document is to provide a mechanism that facilitates the inclusion of new agile management models in big companies, with a controlled transition and proposing adapted tools and metrics to have a full visibility over the project in all the phases of the project life cycle.
Resumo:
En la actualidad no se concibe una empresa, por pequeña que esta sea, sin algún tipo de servicio TI. Se presenta para cada empresa el reto de emprender proyectos para desarrollar o contratar servicios de TI que soporten los diferentes procesos de negocio de la empresa. Por otro lado, a menos que los servicios de TI estén aislados de toda red, lo cual es prácticamente imposible en la actualidad, no existe un servicio o un proyecto que lo desarrolle garantizando el 100% de seguridad. Así la empresa maneja una dualidad entre desarrollar productos/servicios de TI seguros y el mantenimiento constante de sus servicios TI en estado seguro. La gestión de los proyectos para el desarrollo de los servicios de TI se aborda, en la mayoría de las empresas, aplicando distintas prácticas, utilizadas en otros proyectos y recomendadas, a tal efecto, por marcos y estándares con mayor reconocimiento. Por lo general, estos marcos incluyen, entre sus procesos, la gestión de los riesgos orientada al cumplimiento de plazos, de costes y, a veces, de la funcionalidad del producto o servicio. Sin embargo, en estas prácticas se obvian los aspectos de seguridad (confidencialidad, integridad y disponibilidad) del producto/servicio, necesarios durante el desarrollo del proyecto. Además, una vez entregado el servicio, a nivel operativo, cuando surge algún fallo relativo a estos aspectos de seguridad, se aplican soluciones ad-hoc. Esto provoca grandes pérdidas y, en ocasiones, pone en peligro la continuidad de la propia empresa. Este problema, se va acrecentando cada día más, en cualquier tipo de empresa y, son las PYMEs, por su la falta de conocimiento del problema en sí y la escasez de recursos metodológicos y técnicos, las empresas más vulnerables. Por todo lo anterior, esta tesis doctoral tiene un doble objetivo. En primer lugar, demostrar la necesidad de contar con un marco de trabajo que, integrado con otros posibles marcos y estándares, sea sencillo de aplicar en distintos tipos y envergaduras de proyectos, y que guíe a las PYMEs en la gestión de proyectos para el desarrollo seguro y posterior mantenimiento de la seguridad de sus servicios de TI. En segundo lugar, cubrir esta necesidad desarrollando un marco de trabajo que ofrezca un modelo de proceso genérico aplicable sobre distintos patrones de proyecto y una librería de activos de seguridad que sirva a las PYMEs de guía durante el proceso de gestión del proyecto para el desarrollo seguro. El modelo de proceso del marco propuesto describe actividades en los tres niveles organizativos de la empresa (estratégico, táctico y operativo). Está basado en el ciclo de mejora continua (PDCA) y en la filosofía Seguridad por Diseño, propuesta por Siemens. Se detallan las prácticas específicas de cada actividad, las entradas, salidas, acciones, roles, KPIs y técnicas aplicables para cada actividad. Estas prácticas específicas pueden aplicarse o no, a criterio del jefe de proyecto y de acuerdo al estado de la empresa y proyecto que se quiera desarrollar, estableciendo así distintos patrones de proceso. Para la validación del marco se han elegido dos PYMEs. La primera del sector servicios y la segunda del sector TIC. El modelo de proceso ha sido aplicado sobre un mismo patrón de proyecto que responde a necesidades comunes a ambas empresas. El patrón de proceso ha sido valorado en los proyectos elegidos en ambas empresas, antes y después de su aplicación. Los resultados del estudio, después de su aplicación en ambas empresas, han permitido la validación del patrón de proceso, en la mejora de la gestión de proyecto para el desarrollo seguro de TI en las PYMEs. ABSTRACT Today a company without any IT service is not conceived, even if it is small either. It presents the challenge for each company to undertake projects to develop or contract IT services that support the different business processes of the company. On the other hand, unless IT services are isolated from whole network, which is virtually impossible at present, there is no service or project, which develops guaranteeing 100% security. So the company handles a duality, develop products / insurance IT services and constant maintenance of their IT services in a safe state. The project management for the development of IT services is addressed, in most companies, using different practices used in other projects and recommended for this purpose by frameworks and standards with greater recognition. Generally, these frameworks include, among its processes, risk management aimed at meeting deadlines, costs and, sometimes, the functionality of the product or service. However, safety issues such as confidentiality, integrity and availability of the product / service, necessary for the project, they are ignored in these practices. Moreover, once the service delivered at the operational level, when a fault on these safety issues arise, ad-hoc solutions are applied. This causes great losses and sometimes threatens the continuity of the company. This problem is adding more every day, in any kind of business and SMEs are, by their lack of knowledge of the problem itself and the lack of methodological and technical resources, the most vulnerable companies. For all these reasons, this thesis has two objectives. Firstly demonstrate the need for a framework that integrated with other possible frameworks and standards, it is simple to apply in different types and wingspans of projects, and to guide SMEs in the management of development projects safely, and subsequent maintenance of the security of their IT services. Secondly meet this need by developing a framework that provides a generic process model applicable to project different patterns and a library of security assets, which serve to guide SMEs in the process of project management for development safe. The process model describes the proposed activities under the three organizational levels of the company (strategic, tactical and operational). It is based on the continuous improvement cycle (PDCA) and Security Design philosophy proposed by Siemens. The specific practices, inputs, outputs, actions, roles, KPIs and techniques applicable to each activity are detailed. These specific practices can be applied or not, at the discretion of the project manager and according to the state of the company and project that the company wants to develop, establishing different patterns of process. Two SMEs have been chosen to validate the frame work. The first of the services sector and the second in the ICT sector. The process model has been applied on the same pattern project that responds to needs common to both companies. The process pattern has been valued at the selected projects in both companies before and after application. The results of the study, after application in both companies have enabled pattern validation process, improving project management for the safe development of IT in SMEs.
