Date post: | 13-Jun-2015 |
Category: |
Technology |
Upload: | centro-de-calidad-e-innovacion-polo-tecnologico-de-rosario |
View: | 5,880 times |
Download: | 2 times |
Primeras Jornadas de Calidad e Innovación en la producción de software
Propuesta IRAM de
Certificaciones en TI
Junio 2009
Ing. Jorge L. Ceballos ([email protected])Área certificaciones TI – Dirección de Certificación - IRAM
TEMARIO:
• Actividades del IRAM referidas a Calidad del SW
• Calidad del SW
• Certificaciones de normas y prácticas:
– Certificación de calidad del producto
– Certificación de ciclo de vida
– Certificación de Proceso
– Certificación de nivel de Madurez organizacional
– Certificación de Gestión de servicios de software
– Sistemas de Gestión de Seguridad de la información
– Certificación de Sistemas de Gestión de Calidad
IRAMOrganismo de estudio de normas de TI:
COMITÉ DE TECNOLOGÍA DE LA INFORMACIÓN (TI):
Subcomité de Calidad en TI
Subcomité de Seguridad en TI
IRAMOrganismo de Certificación TI: . . .
ISO-International Organization for Standardization
IEC-International Electrotechnical Commission, en
forma conjunta con la Asociación Electrotécnica Argentina, a través del CEA-Comité Electrotécnico Argentino JTC1/SC7
¿Qué entendemos por Calidad del software?
La calidad de un sistema de software implica que el mismo
satisfaga los requisitos explícitos e implícitos.
Normas ISO y la calidad de software
Procesos
Productos
Gestión
Servicios
Ciclo de
vida
ISO/IEC 9001 +
ISO/IEC 90003Gestión de calidad con
lineamientos específicos para
las organizaciones que
desarrollan software
ISO/IEC 15504
Modelos de MadurezEnfocados en determinar la
Madurez Organizacional
ISO/IEC 20000 (ITIL)Gestión de los servicios
asociados a los procesos
de Tecnología de la
información
ISO/IEC
14598/9126Evaluación de calidad
de producto de software
ISO/IEC 12207 Procesos del ciclo
de vida del software
ISO/IEC 27001 - ISMSGestión de la seguridad
de la información
Aspectos de la calidad de un producto
• Calidad Interna:
medible a partir de las características intrínsecas,
como el código fuente
• Externa:
medible en el comportamiento del producto, como en
una prueba
• Calidad en uso:
durante la utilización efectiva por parte del usuario
Aproximaciones a la calidad del SW:
La calidad en el ciclo de vida
Calidad del
proceso
Atributos
internos de
calidad
Atributos
externos de
calidad
Atributos
de calidad
en uso
influencia influencian influencian
depende de depende de depende de
proceso producto efecto producto
Mediciones
del proceso
Medidas
internas
Medidas
externasMedidas de
calidad en uso
Contextos
de uso
Ref. ISO/IEC 9126-1
Desarrollo del producto
Interpretación de la especificación (DE, DS,
atributos)
Producción
Verificación y validación del producto
Organización desarrolladora
El proceso de certificación de producto y la cadena de valor…
Cliente
Necesidadde un
producto de software
Cliente
Con su
Necesidad
satisfecha
Especificació
n y datos de
entrada para
el desarrollo
del producto
Atributos
internos,
externos y
de uso
Producto
terminado
Instalación
y uso por
parte del
cliente/
usuario
Certificación
de Calidad
de productoImput para el diseño de la prueba
Establecer los requisitos de evaluación
•Establecer propósito de la evaluación
•Identificar tipos de productos
•Especificar el modelo de calidad
Especificar la evaluación
•Seleccionar métricas
•Establecer escala p/cada métrica
•Establecer el criterio de evaluación
ISO/IEC 9126-1
Características
de calidad
ISO/IEC 9126-2 Métricas ext.
ISO/IEC 9126-3 Métricas int.
ISO/IEC 14598-6 Módulos de
evaluación
Diseñar la evaluación
•Desarrollar el plan de la evaluación
Realizar la evaluación
•Hacer mediciones
•Comparar con criterios
•Obtener resultados
Ref. ISO/IEC 14598-1
Gestión del proceso de evaluación de calidad
de producto sw Norma IRAM-ISO/IEC 14598-1
CMMi Capability Maturity Model(Software Engeniering Institute)
ISO 15504(SPICE)
Competisoft (Alianza Iberoamericana)
ISO 29xxx(Maturity model for very small busines??)
Modelos de Madurez…
ISO/IEC 12207Ingeniería de sistemas y de software - Procesos del ciclo
de vida del software
La identificación de los procesos se basa en dos principios:
– Modularidad (los procesos deberían ser cohesivos y tener el menor acoplamiento que otros)
– Responsabilidad (cada proceso deberia ser ejecutado en forma individual).
Ciclo de vida 12207
Modelo COMPETISOFT
ALTA DIRECCION Gestión de Negocio
Gestión de Procesos
Gestión de Cartera de proyectos
Gestión de Recursos
Gestión de Recursos Humanos
Gestión de Bienes, Servicios e Infraestructura
Gestión del Conocimiento
GERENCIA
OPERACIONAdministración del proyecto
Desarrollo de Software
Mantenimiento de Software
Categoría
Categoría
Categoría
Marco metodológico de COMPETISOFT
Modelo de Evaluación de Procesos
Entidades en la evaluación de procesos
5
4
3
2
1
0
Optimizado
Niveles Predecible
Gestionado
Establecido
Incompleto
Realizado
Método de evaluación ISO/IEC 15504 Niveles de
madurez de la organización
Determinar la madurez de la organización, sobre la base de los perfiles evaluados
de la capacidad del proceso, y condiciones en las que estas evaluaciones son
válidas.
Expresión del grado en que una organización lleva a cabo constantemente los
procesos dentro de un alcance definido que contribuye a la consecución de sus
objetivos de negocio (actuales o proyectados).
Evaluación por niveles de madurez –
Proceso IRAM para ISO/IEC 12207 y COMPETISOFT
FASE 1:Planificación de la auditoría y
Estudio de la Documentación
FASE 2: Realización de la
auditoría en campo
FASE 3: Compilación de la información y
Comunicación de los resultados
FASE 4:Otorgamiento
del
Certificado
Auditorías
anuales de
seguimiento
CEP (Cuestionario
de evaluación
Preliminar)
Seguimiento
Certificado
(3 años)
ISO/IEC 20000 IT – Gestión del servicio
… La gran mayoría de las organizaciones hoy en día dependen de su
información para sustentar sus negocios y la tendencia seguirá
aumentando en futuro.
• ¿Qué es?
– Forma sistemática de administrar la información sensible
• ¿Cómo?
– Gestionando los riesgos
• ¿Para qué?
– Proteger la información: Confidencialidad – Integridad –Disponibilidad
• ¿A quiénes abarca?
– Personas, Procesos y Tecnología
ISO 27001 - ISMS
ISO 27001 - Establecimiento del SCSI
Inicio del
proyecto
►Asegurar el compromiso de la dirección
►Seleccionar y entrenar a los miembros que participan en el proyecto
Definición del
SGSI
►Identificación del alcance del SGSI y de la política de seguridad del
SGSI
►Recopilar los documentos de seguridad existentes en la organización
►Preparar procedimientos relacionados con la gestión y la operación del
SGSI
Evaluación
de riesgos
►Definición de una metodología para la clasificación de los riesgos
►Creación de un inventario de activos
►Evaluación de los activos a ser protegidos
►Identificación y evaluación de amenazas y vulnerabilidades de los
activos
►Cálculo del valor de riesgo asociado a cada activo.
Tratamiento
de Riesgos
►Identificar y evaluar alternativas posibles para tratar los riesgos
►Seleccionar e implantar los controles correctos que le permitan a la
organización reducir el riesgo a un nivel aceptable
►Redactar el documento de declaración de aplicabilidad (documento de
selección de controles) que debe ser firmado por la dirección
►Identificar los riesgos residuales que han quedado sin cubrir y obtener
la firma de la Dirección.
►Preparar el Plan de Tratamiento de Riesgos
►Preparar procedimientos para implantar los controles.
ISO 27001 - Implantación del SCSI
Formación y
sensibilización
- Impartir formación entre los empleados sobre los
nuevos procedimientos que van a implantar
- Concientizar a la plantilla de la importancia que el
proyecto tiene para la organización
Implantación del
SGSI
- Implantar el plan de tratamiento de riesgos
- Implantar políticas y procedimientos del SGSI
- Implantar controles seleccionados
ISO 27001 - Seguimiento y revisión
Seguimiento del SGSI - Ejecutar procedimiento de seguimiento para
detectar errores de proceso, identificar fallos de
seguridad de forma rápida y acciones a realizar
Revisión del SGSI - Revisiones periódicas de la política y alcance del
SGSI, así como de su eficacia
- Revisiones de los niveles de riesgos residuales y
riesgos aceptables
- Auditorías internas/externas del SGSI
ISO 27001 - Mantenimiento y mejora
Mantenimiento del
SGSI
- Comunicar los resultados de las auditorías a las
partes interesadas
- Tomar acciones correctivas y preventivas
Mejora Continua - Medir el rendimiento del SGSI
- Implantar las mejoras identificadas en las revisiones
del SGSI
Agregado de valor en la gestión de la calidad a través de lineamientos específicos que permiten hacer crecer los procesos de realización del producto con mejores prácticas.
Es en general el primer paso para alcanzar un piso en la gestión de la calidad.
Mejora la organización interna de la organización
Transmite una imagen de confianza a los clientes.
ISO 9001 + Guía ISO 90003
PROCESOS DE DIRECCION La Revisión por la Dirección
Las Auditorias Internas
La planificación y seguimiento de los
objetivos de la calidad
PROCESOS DE REALIZACION
Construcción de software
Diseño de una herramienta
específica
Atención de consultas de clientes
Mantenimiento de adaptación de
sistemas de software
PROCESOS DE SOPORTE
Gestión de configuración
La capacitación del personal
de desarrollo de sistemas
La medición y evaluación de
la satisfacción del cliente
El archivo de historias de
cambios a sistemas.
EJEMPLOS PARA ORGANIZACIONES DE
DESARROLLO DE SOFTWARE
Esquema de Certificación
RCSeguimiento 2Etapa I Etapa II Seguimiento 1
Plazo máximo
sugerido 90 dias,
Tiempo
máximo 12
meses
Tiempo
máximo 12
meses
Tiempo
máximo 12
meses
Tiempo máximo 36
meses
Otorgamiento
certificadoVencimiento
certificado
Muchas Gracias!!
Gustavo PontrorieroResponsable del Área
01143460622
Domingo DonadelloCoordinador Técnico
01143460622
Jorge CeballosCoordinador Laboratorios
01143460622
Nuestro equipo de trabajo en certificación…