Primeras Jornadas de Calidad e Innovación en la producción de software

Propuesta IRAM de

Certificaciones en TI

Junio 2009

Ing. Jorge L. Ceballos (jceballos@iram.org.ar)Área certificaciones TI – Dirección de Certificación - IRAM

TEMARIO:

• Actividades del IRAM referidas a Calidad del SW

• Calidad del SW

• Certificaciones de normas y prácticas:

– Certificación de calidad del producto

– Certificación de ciclo de vida

– Certificación de Proceso

– Certificación de nivel de Madurez organizacional

– Certificación de Gestión de servicios de software

– Sistemas de Gestión de Seguridad de la información

– Certificación de Sistemas de Gestión de Calidad

IRAMOrganismo de estudio de normas de TI:

COMITÉ DE TECNOLOGÍA DE LA INFORMACIÓN (TI):

Subcomité de Calidad en TI

Subcomité de Seguridad en TI

IRAMOrganismo de Certificación TI: . . .

ISO-International Organization for Standardization

IEC-International Electrotechnical Commission, en

forma conjunta con la Asociación Electrotécnica Argentina, a través del CEA-Comité Electrotécnico Argentino JTC1/SC7

¿Qué entendemos por Calidad del software?

La calidad de un sistema de software implica que el mismo

satisfaga los requisitos explícitos e implícitos.

Normas ISO y la calidad de software

Procesos

Productos

Gestión

Servicios

Ciclo de

vida

ISO/IEC 9001 +

ISO/IEC 90003Gestión de calidad con

lineamientos específicos para

las organizaciones que

desarrollan software

ISO/IEC 15504

Modelos de MadurezEnfocados en determinar la

Madurez Organizacional

ISO/IEC 20000 (ITIL)Gestión de los servicios

asociados a los procesos

de Tecnología de la

información

ISO/IEC

14598/9126Evaluación de calidad

de producto de software

ISO/IEC 12207 Procesos del ciclo

de vida del software

ISO/IEC 27001 - ISMSGestión de la seguridad

de la información

Aspectos de la calidad de un producto

• Calidad Interna:

medible a partir de las características intrínsecas,

como el código fuente

• Externa:

medible en el comportamiento del producto, como en

una prueba

• Calidad en uso:

durante la utilización efectiva por parte del usuario

Aproximaciones a la calidad del SW:

La calidad en el ciclo de vida

Calidad del

proceso

Atributos

internos de

calidad

Atributos

externos de

calidad

Atributos

de calidad

en uso

influencia influencian influencian

depende de depende de depende de

proceso producto efecto producto

Mediciones

del proceso

Medidas

internas

Medidas

externasMedidas de

calidad en uso

Contextos

de uso

Ref. ISO/IEC 9126-1

Desarrollo del producto

Interpretación de la especificación (DE, DS,

atributos)

Producción

Verificación y validación del producto

Organización desarrolladora

El proceso de certificación de producto y la cadena de valor…

Cliente

Necesidadde un

producto de software

Cliente

Con su

Necesidad

satisfecha

Especificació

n y datos de

entrada para

el desarrollo

del producto

Atributos

internos,

externos y

de uso

Producto

terminado

Instalación

y uso por

parte del

cliente/

usuario

Certificación

de Calidad

de productoImput para el diseño de la prueba

Establecer los requisitos de evaluación

•Establecer propósito de la evaluación

•Identificar tipos de productos

•Especificar el modelo de calidad

Especificar la evaluación

•Seleccionar métricas

•Establecer escala p/cada métrica

•Establecer el criterio de evaluación

ISO/IEC 9126-1

Características

de calidad

ISO/IEC 9126-2 Métricas ext.

ISO/IEC 9126-3 Métricas int.

ISO/IEC 14598-6 Módulos de

evaluación

Diseñar la evaluación

•Desarrollar el plan de la evaluación

Realizar la evaluación

•Hacer mediciones

•Comparar con criterios

•Obtener resultados

Ref. ISO/IEC 14598-1

Gestión del proceso de evaluación de calidad

de producto sw Norma IRAM-ISO/IEC 14598-1

CMMi Capability Maturity Model(Software Engeniering Institute)

ISO 15504(SPICE)

Competisoft (Alianza Iberoamericana)

ISO 29xxx(Maturity model for very small busines??)

Modelos de Madurez…

ISO/IEC 12207Ingeniería de sistemas y de software - Procesos del ciclo

de vida del software

La identificación de los procesos se basa en dos principios:

– Modularidad (los procesos deberían ser cohesivos y tener el menor acoplamiento que otros)

– Responsabilidad (cada proceso deberia ser ejecutado en forma individual).

Ciclo de vida 12207

Modelo COMPETISOFT

ALTA DIRECCION Gestión de Negocio

Gestión de Procesos

Gestión de Cartera de proyectos

Gestión de Recursos

Gestión de Recursos Humanos

Gestión de Bienes, Servicios e Infraestructura

Gestión del Conocimiento

GERENCIA

OPERACIONAdministración del proyecto

Desarrollo de Software

Mantenimiento de Software

Categoría

Categoría

Categoría

Marco metodológico de COMPETISOFT

Modelo de Evaluación de Procesos

Entidades en la evaluación de procesos

5

4

3

2

1

0

Optimizado

Niveles Predecible

Gestionado

Establecido

Incompleto

Realizado

Método de evaluación ISO/IEC 15504 Niveles de

madurez de la organización

Determinar la madurez de la organización, sobre la base de los perfiles evaluados

de la capacidad del proceso, y condiciones en las que estas evaluaciones son

válidas.

Expresión del grado en que una organización lleva a cabo constantemente los

procesos dentro de un alcance definido que contribuye a la consecución de sus

objetivos de negocio (actuales o proyectados).

Evaluación por niveles de madurez –

Proceso IRAM para ISO/IEC 12207 y COMPETISOFT

FASE 1:Planificación de la auditoría y

Estudio de la Documentación

FASE 2: Realización de la

auditoría en campo

FASE 3: Compilación de la información y

Comunicación de los resultados

FASE 4:Otorgamiento

del

Certificado

Auditorías

anuales de

seguimiento

CEP (Cuestionario

de evaluación

Preliminar)

Seguimiento

Certificado

(3 años)

ISO/IEC 20000 IT – Gestión del servicio

… La gran mayoría de las organizaciones hoy en día dependen de su

información para sustentar sus negocios y la tendencia seguirá

aumentando en futuro.

• ¿Qué es?

– Forma sistemática de administrar la información sensible

• ¿Cómo?

– Gestionando los riesgos

• ¿Para qué?

– Proteger la información: Confidencialidad – Integridad –Disponibilidad

• ¿A quiénes abarca?

– Personas, Procesos y Tecnología

ISO 27001 - ISMS

ISO 27001 - Establecimiento del SCSI

Inicio del

proyecto

►Asegurar el compromiso de la dirección

►Seleccionar y entrenar a los miembros que participan en el proyecto

Definición del

SGSI

►Identificación del alcance del SGSI y de la política de seguridad del

SGSI

►Recopilar los documentos de seguridad existentes en la organización

►Preparar procedimientos relacionados con la gestión y la operación del

SGSI

Evaluación

de riesgos

►Definición de una metodología para la clasificación de los riesgos

►Creación de un inventario de activos

►Evaluación de los activos a ser protegidos

►Identificación y evaluación de amenazas y vulnerabilidades de los

activos

►Cálculo del valor de riesgo asociado a cada activo.

Tratamiento

de Riesgos

►Identificar y evaluar alternativas posibles para tratar los riesgos

►Seleccionar e implantar los controles correctos que le permitan a la

organización reducir el riesgo a un nivel aceptable

►Redactar el documento de declaración de aplicabilidad (documento de

selección de controles) que debe ser firmado por la dirección

►Identificar los riesgos residuales que han quedado sin cubrir y obtener

la firma de la Dirección.

►Preparar el Plan de Tratamiento de Riesgos

►Preparar procedimientos para implantar los controles.

ISO 27001 - Implantación del SCSI

Formación y

sensibilización

- Impartir formación entre los empleados sobre los

nuevos procedimientos que van a implantar

- Concientizar a la plantilla de la importancia que el

proyecto tiene para la organización

Implantación del

SGSI

- Implantar el plan de tratamiento de riesgos

- Implantar políticas y procedimientos del SGSI

- Implantar controles seleccionados

ISO 27001 - Seguimiento y revisión

Seguimiento del SGSI - Ejecutar procedimiento de seguimiento para

detectar errores de proceso, identificar fallos de

seguridad de forma rápida y acciones a realizar

Revisión del SGSI - Revisiones periódicas de la política y alcance del

SGSI, así como de su eficacia

- Revisiones de los niveles de riesgos residuales y

riesgos aceptables

- Auditorías internas/externas del SGSI

ISO 27001 - Mantenimiento y mejora

Mantenimiento del

SGSI

- Comunicar los resultados de las auditorías a las

partes interesadas

- Tomar acciones correctivas y preventivas

Mejora Continua - Medir el rendimiento del SGSI

- Implantar las mejoras identificadas en las revisiones

del SGSI

Agregado de valor en la gestión de la calidad a través de lineamientos específicos que permiten hacer crecer los procesos de realización del producto con mejores prácticas.

Es en general el primer paso para alcanzar un piso en la gestión de la calidad.

Mejora la organización interna de la organización

Transmite una imagen de confianza a los clientes.

ISO 9001 + Guía ISO 90003

PROCESOS DE DIRECCION La Revisión por la Dirección

Las Auditorias Internas

La planificación y seguimiento de los

objetivos de la calidad

PROCESOS DE REALIZACION

Construcción de software

Diseño de una herramienta

específica

Atención de consultas de clientes

Mantenimiento de adaptación de

sistemas de software

PROCESOS DE SOPORTE

Gestión de configuración

La capacitación del personal

de desarrollo de sistemas

La medición y evaluación de

la satisfacción del cliente

El archivo de historias de

cambios a sistemas.

EJEMPLOS PARA ORGANIZACIONES DE

DESARROLLO DE SOFTWARE

Esquema de Certificación

RCSeguimiento 2Etapa I Etapa II Seguimiento 1

Plazo máximo

sugerido 90 dias,

Tiempo

máximo 12

meses

Tiempo

máximo 12

meses

Tiempo

máximo 12

meses

Tiempo máximo 36

meses

Otorgamiento

certificadoVencimiento

certificado

Muchas Gracias!!

Gustavo PontrorieroResponsable del Área

gpontoriero@iram.org.ar

01143460622

Domingo DonadelloCoordinador Técnico

ddonadello@iram.org.ar

01143460622

Jorge CeballosCoordinador Laboratorios

jceballos@iram.org.ar

01143460622

Nuestro equipo de trabajo en certificación…