S2_5_riesgos - SofiAlfonso/croody_web3_project GitHub Wiki
Inventario de Riesgos
| Código | Riesgo | Descripción |
|---|---|---|
| R1 | Vulnerabilidad en el smart contract | Un bug en la lógica del contrato de subastas permite que un atacante drene fondos o tome propiedad de NFTs sin ganar la subasta. |
| R2 | Congestión o caída de la red Ethereum | Aumento extremo del gas o interrupción del servicio que impide ejecutar transacciones durante el período de una subasta activa. |
| R3 | Exposición de llave privada del usuario | Una implementación incorrecta del cliente expone o transmite la clave privada del usuario al servidor, comprometiendo sus activos. |
| R4 | Baja adopción de usuarios | Falta de usuarios activos en la plataforma que impida la formación de un mercado de subastas líquido y funcional. |
| R5 | Cambios regulatorios en criptoactivos | Nuevas regulaciones nacionales o internacionales sobre NFTs o criptomonedas que restrinjan la operación del ecosistema. |
| R6 | Deuda técnica acumulada | Decisiones de diseño apresuradas durante los sprints generan código difícil de mantener, bloqueando entregas futuras. |
| R7 | Pérdida de acceso al repositorio | Pérdida de credenciales o acceso al repositorio privado de GitHub que comprometa la continuidad del desarrollo. |
Matriz de Probabilidad e Impacto
Los riesgos se ubican según su probabilidad de ocurrencia y el impacto que tendrían sobre el proyecto.
| Despreciable | Marginal | Moderado | Crítico | Catastrófico | |
|---|---|---|---|---|---|
| Seguro | Riesgo Mínimo | Riesgo Bajo | Riesgo Alto | Riesgo Extremo | Riesgo Extremo |
| Muy Probable | Riesgo Mínimo | Riesgo Bajo | Riesgo Moderado | Riesgo Moderado | Riesgo Extremo |
| Posible | Riesgo Mínimo | Riesgo Bajo | R6 Riesgo Moderado | R1, R4 Riesgo Moderado | Riesgo Alto |
| Poco Probable | Riesgo Mínimo | Riesgo Bajo | R2, R5 Riesgo Bajo | R3 Riesgo Moderado | Riesgo Alto |
| Raro | R7 Riesgo Mínimo | Riesgo Mínimo | Riesgo Bajo | Riesgo Moderado | Riesgo Alto |
Matriz RACI — Gestión de Riesgos
| Actividad de gestión de riesgos | Product Owner (PO) | Scrum Master (SM) | Tech Lead (TL) | Desarrolladores | Stakeholders |
|---|---|---|---|---|---|
| 1. Identificar riesgos | A | R | C | C | I |
| 2. Analizar probabilidad e impacto | I | A | R | C | I |
| 3. Definir estrategias de mitigación | C | A | R | R | I |
| 4. Monitorear riesgos activos | I | R | A | C | I |
| 5. Escalar riesgos críticos | I | R | C | I | A |
| 6. Documentar lecciones aprendidas | C | R | A | C | I |
Estrategias de Mitigación
| Código | Riesgo | Estrategia de Mitigación |
|---|---|---|
| R1 | Vulnerabilidad en el smart contract | Realizar auditoría de código del contrato antes del despliegue en Mainnet. Implementar pruebas automáticas que cubran el happy path y flujos alternativos del contrato de subastas. |
| R2 | Congestión de la red Ethereum | Mostrar en la UI el gas estimado antes de confirmar la transacción. Implementar extensión automática de subasta si se detecta fallo en la confirmación on-chain. Usar Sepolia Testnet para pruebas sin costo. |
| R3 | Exposición de llave privada | Garantizar que toda firma de transacciones ocurra exclusivamente en el cliente (browser wallet). Ningún endpoint del servidor debe recibir ni solicitar llaves privadas. Revisión de seguridad obligatoria antes de cada PR. |
| R4 | Baja adopción | Ejecutar campaña de lanzamiento en comunidades Web3. Ofrecer NFTs de prueba gratuitos en Testnet para atraer usuarios early adopters. |
| R5 | Cambios regulatorios | Mantenerse informado sobre el marco regulatorio colombiano e internacional. Diseñar la arquitectura de forma modular para poder adaptar o retirar funcionalidades rápidamente. |
| R6 | Deuda técnica | Realizar revisiones de código (code reviews) en cada PR y dedicar al menos el 15% de la capacidad de cada sprint a refactorización y corrección de análisis estático. |
| R7 | Pérdida de acceso al repositorio | Mantener al menos dos administradores en el repositorio. Hacer backups periódicos del repositorio en un servicio externo (ej. GitLab mirror). |