Este documento presenta una propuesta de certificaciones en tecnologías de la información (TI) del Instituto Argentino de Racionalización de Materiales (IRAM). Se describen diversas normas y certificaciones relacionadas con la calidad del software, como la certificación de procesos, productos, niveles de madurez organizacional y gestión de servicios de TI. También se mencionan normas como ISO 9001, ISO 15504, ISO 27001 e ISO 12207. Finalmente, se presenta brevemente el equipo de trabajo del IRAM responsable de las certificaciones en
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
La Mejora Continua en la industria del Software: ISO 14598 / 9126
1. Primeras Jornadas de Calidad e
Innovación en la producción de software
Propuesta IRAM de
Certificaciones en TI
Ing. Jorge L. Ceballos (jceballos@iram.org.ar)
Área certificaciones TI – Dirección de Certificación - IRAM
Junio 2009
2. TEMARIO:
• Actividades del IRAM referidas a Calidad del SW
• Calidad del SW
• Certificaciones de normas y prácticas:
– Certificación de calidad del producto
– Certificación de ciclo de vida
– Certificación de Proceso
– Certificación de nivel de Madurez organizacional
– Certificación de Gestión de servicios de software
– Sistemas de Gestión de Seguridad de la información
– Certificación de Sistemas de Gestión de Calidad
3. IRAM
Organismo de estudio de normas de TI:
COMITÉ DE TECNOLOGÍA DE LA INFORMACIÓN (TI):
Subcomité de Calidad en TI
Subcomité de Seguridad en TI
IRAM
Organismo de Certificación TI: . . .
4. ISO-International Organization for Standardization
IEC-International Electrotechnical Commission, en
forma conjunta con la Asociación Electrotécnica Argentina, a través
del CEA-Comité Electrotécnico Argentino
JTC1/SC7
5. ¿Qué entendemos por
Calidad del software?
La calidad de un sistema de
software implica que el mismo
satisfaga los requisitos explícitos
e implícitos.
6. Normas ISO y la calidad de software
ISO/IEC 9001 +
ISO/IEC 90003
ISO/IEC 15504 Gestión de calidad con
Modelos de Madurez lineamientos específicos para
Enfocados en determinar la las organizaciones que
Madurez Organizacional desarrollan software
Gestión
Procesos ISO/IEC
14598/9126
Evaluación de calidad
Servicios de producto de software
Ciclo de
vida Productos
ISO/IEC 20000 (ITIL)
Gestión de los servicios ISO/IEC 27001 - ISMS
asociados a los procesos Gestión de la seguridad
de Tecnología de la
ISO/IEC 12207 de la información
información Procesos del ciclo
de vida del software
7. Aspectos de la calidad de un producto
• Calidad Interna:
medible a partir de las características intrínsecas,
como el código fuente
• Externa:
medible en el comportamiento del producto, como en
una prueba
• Calidad en uso:
durante la utilización efectiva por parte del usuario
8. Aproximaciones a la calidad del SW:
proceso producto efecto producto
influencia influencian influencian
Atributos Atributos Atributos
Calidad del
internos de externos de de calidad
proceso
calidad calidad en uso
depende de depende de depende de
Contextos
de uso
Mediciones Medidas Medidas Medidas de
del proceso internas externas calidad en uso
Ref. ISO/IEC 9126-1
La calidad en el ciclo de vida
9. El proceso de certificación de producto
y la cadena de valor…
Desarrollo del producto
Cliente Cliente
Interpretación de la
Instalación
especificación (DE, DS,
Especificació y uso por
atributos)
n y datos de parte del
entrada para cliente/
Necesidad el desarrollo usuario Con su
de un del producto Producción
producto de Atributos
Necesida
software internos,
Producto d
externos y Verificación y validación del
de uso producto terminado
satisfecha
Organización desarrolladora
Certificación
de Calidad
Imput para el diseño de la prueba de producto
10. Gestión del proceso de evaluación de calidad
de producto sw Norma IRAM-ISO/IEC 14598-1
Establecer los •Establecer propósito de la evaluación ISO/IEC 9126-1
requisitos de •Identificar tipos de productos Características
evaluación •Especificar el modelo de calidad de calidad
Especificar la
•Seleccionar métricas ISO/IEC 9126-2 Métricas ext.
evaluación •Establecer escala p/cada métrica ISO/IEC 9126-3 Métricas int.
•Establecer el criterio de evaluación ISO/IEC 14598-6 Módulos de
evaluación
Diseñar la •Desarrollar el plan de la evaluación
evaluación
•Hacer mediciones
Realizar la •Comparar con criterios
evaluación •Obtener resultados
Ref. ISO/IEC 14598-1
11. Modelos de Madurez…
CMMi Capability Maturity Model
(Software Engeniering Institute)
ISO 15504
(SPICE)
Competisoft
(Alianza Iberoamericana)
ISO 29xxx
(Maturity model for very small busines??)
12. ISO/IEC 12207
Ingeniería de sistemas y de software - Procesos del ciclo
de vida del software
La identificación de los procesos se basa en dos principios:
– Modularidad (los procesos deberían ser cohesivos y
tener el menor acoplamiento que otros)
– Responsabilidad (cada proceso deberia ser
ejecutado en forma individual).
14. Modelo COMPETISOFT
Categoría
ALTA DIRECCION Gestión de Negocio
Categoría Gestión de Procesos
Gestión de Cartera de proyectos
Gestión de Recursos
GERENCIA Gestión de Recursos Humanos
Gestión de Bienes, Servicios e Infraestructura
Gestión del Conocimiento
Categoría
Administración del proyecto
OPERACION Desarrollo de Software
Mantenimiento de Software
15. Marco metodológico de COMPETISOFT
Modelo de Evaluación de Procesos
Entidades en la evaluación de procesos
16. Método de evaluación ISO/IEC 15504 Niveles de
madurez de la organización
Determinar la madurez de la organización, sobre la base de los perfiles evaluados
de la capacidad del proceso, y condiciones en las que estas evaluaciones son
válidas.
Expresión del grado en que una organización lleva a cabo constantemente los
procesos dentro de un alcance definido que contribuye a la consecución de sus
objetivos de negocio (actuales o proyectados).
Optimizado
5
Niveles Predecible 4
Establecido 3
Gestionado
2
Realizado 1
Incompleto 0
17. Evaluación por niveles de madurez –
Proceso IRAM para ISO/IEC 12207 y COMPETISOFT
FASE 2: FASE 3:
Realización de la Compilación de la información y
auditoría en campo Comunicación de los resultados
FASE 1: FASE 4: Seguimiento
Planificación de la auditoría y Auditorías
Otorgamiento Certificado
Estudio de la Documentación anuales de
del (3 años)
seguimiento
Certificado
CEP
(Cuestionario
de evaluación
Preliminar)
19. ISO 27001 - ISMS
• ¿Qué es?
– Forma sistemática de administrar la información sensible
• ¿Cómo?
– Gestionando los riesgos
• ¿Para qué?
– Proteger la información: Confidencialidad – Integridad –
Disponibilidad
• ¿A quiénes abarca?
– Personas, Procesos y Tecnología
… La gran mayoría de las organizaciones hoy en día dependen de su
información para sustentar sus negocios y la tendencia seguirá
aumentando en futuro.
20. ISO 27001 - Establecimiento del SCSI
Inicio del ►Asegurar el compromiso de la dirección
►Seleccionar y entrenar a los miembros que participan en el proyecto
proyecto
Definición del ►Identificación del alcance del SGSI y de la política de seguridad del
SGSI
SGSI
►Recopilar los documentos de seguridad existentes en la organización
►Preparar procedimientos relacionados con la gestión y la operación del
SGSI
Evaluación ►Definición de una metodología para la clasificación de los riesgos
►Creación de un inventario de activos
de riesgos
►Evaluación de los activos a ser protegidos
►Identificación y evaluación de amenazas y vulnerabilidades de los
activos
►Cálculo del valor de riesgo asociado a cada activo.
Tratamiento ►Identificar y evaluar alternativas posibles para tratar los riesgos
►Seleccionar e implantar los controles correctos que le permitan a la
de Riesgos
organización reducir el riesgo a un nivel aceptable
►Redactar el documento de declaración de aplicabilidad (documento de
selección de controles) que debe ser firmado por la dirección
►Identificar los riesgos residuales que han quedado sin cubrir y obtener
la firma de la Dirección.
►Preparar el Plan de Tratamiento de Riesgos
►Preparar procedimientos para implantar los controles.
21. ISO 27001 - Implantación del SCSI
Formación y - Impartir formación entre los empleados sobre los
nuevos procedimientos que van a implantar
sensibilización
- Concientizar a la plantilla de la importancia que el
proyecto tiene para la organización
Implantación del - Implantar el plan de tratamiento de riesgos
- Implantar políticas y procedimientos del SGSI
SGSI
- Implantar controles seleccionados
ISO 27001 - Seguimiento y revisión
Seguimiento del SGSI - Ejecutar procedimiento de seguimiento para
detectar errores de proceso, identificar fallos de
seguridad de forma rápida y acciones a realizar
Revisión del SGSI - Revisiones periódicas de la política y alcance del
SGSI, así como de su eficacia
- Revisiones de los niveles de riesgos residuales y
riesgos aceptables
- Auditorías internas/externas del SGSI
22. ISO 27001 - Mantenimiento y mejora
Mantenimiento del - Comunicar los resultados de las auditorías a las
partes interesadas
SGSI
- Tomar acciones correctivas y preventivas
Mejora Continua - Medir el rendimiento del SGSI
- Implantar las mejoras identificadas en las revisiones
del SGSI
23. ISO 9001 + Guía ISO 90003
Agregado de valor en la gestión de la calidad a través de
lineamientos específicos que permiten hacer crecer los
procesos de realización del producto con mejores prácticas.
Es en general el primer paso para alcanzar un piso en la
gestión de la calidad.
Mejora la organización interna de la organización
Transmite una imagen de confianza a los clientes.
24. EJEMPLOS PARA ORGANIZACIONES DE
DESARROLLO DE SOFTWARE
PROCESOS DE DIRECCION
La Revisión por la Dirección
Las Auditorias Internas
La planificación y seguimiento de los
objetivos de la calidad
PROCESOS DE REALIZACION PROCESOS DE SOPORTE
Construcción de software Gestión de configuración
La capacitación del personal
Diseño de una herramienta
específica de desarrollo de sistemas
La medición y evaluación de
Atención de consultas de clientes
la satisfacción del cliente
Mantenimiento de adaptación de
El archivo de historias de
sistemas de software
cambios a sistemas.
25. Esquema de Certificación
Otorgamiento Vencimiento
certificado certificado
RC
Etapa I Etapa II Seguimiento 1 Seguimiento 2
Plazo máximo
sugerido 90 dias,
Tiempo
máximo 12
meses
Tiempo
máximo 12
Tiempo
meses
máximo 12
meses
Tiempo máximo 36
meses
26. Nuestro equipo de trabajo en certificación…
Gustavo Pontroriero Domingo Donadello Jorge Ceballos
Responsable del Área Coordinador Técnico Coordinador Laboratorios
gpontoriero@iram.org.ar ddonadello@iram.org.ar jceballos@iram.org.ar
01143460622 01143460622 01143460622
Muchas Gracias!!