La Mejora Continua en la industria del Software: ISO 14598 / 9126

6,289 views
6,162 views

Published on

Primera Jornada de Calidad e Innovación en la Producción de software. Organizada por el Centro de Calidad e Innovación del Polo Tecnológico de Rosario y la Municipalidad de Rosario 12 Junio 2009
Disertante:
Ing. Jorge L. Ceballos , Área certificaciones TI – Dirección de Certificación - IRAM

Published in: Technology, Business
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,289
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
365
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

La Mejora Continua en la industria del Software: ISO 14598 / 9126

  1. 1. Primeras Jornadas de Calidad e Innovación en la producción de software Propuesta IRAM de Certificaciones en TI Ing. Jorge L. Ceballos (jceballos@iram.org.ar) Área certificaciones TI – Dirección de Certificación - IRAM Junio 2009
  2. 2. TEMARIO: • Actividades del IRAM referidas a Calidad del SW • Calidad del SW • Certificaciones de normas y prácticas: – Certificación de calidad del producto – Certificación de ciclo de vida – Certificación de Proceso – Certificación de nivel de Madurez organizacional – Certificación de Gestión de servicios de software – Sistemas de Gestión de Seguridad de la información – Certificación de Sistemas de Gestión de Calidad
  3. 3. IRAM Organismo de estudio de normas de TI: COMITÉ DE TECNOLOGÍA DE LA INFORMACIÓN (TI):  Subcomité de Calidad en TI  Subcomité de Seguridad en TI IRAM Organismo de Certificación TI: . . .
  4. 4. ISO-International Organization for Standardization IEC-International Electrotechnical Commission, en forma conjunta con la Asociación Electrotécnica Argentina, a través del CEA-Comité Electrotécnico Argentino JTC1/SC7
  5. 5. ¿Qué entendemos por Calidad del software? La calidad de un sistema de software implica que el mismo satisfaga los requisitos explícitos e implícitos.
  6. 6. Normas ISO y la calidad de software ISO/IEC 9001 + ISO/IEC 90003 ISO/IEC 15504 Gestión de calidad con Modelos de Madurez lineamientos específicos para Enfocados en determinar la las organizaciones que Madurez Organizacional desarrollan software Gestión Procesos ISO/IEC 14598/9126 Evaluación de calidad Servicios de producto de software Ciclo de vida Productos ISO/IEC 20000 (ITIL) Gestión de los servicios ISO/IEC 27001 - ISMS asociados a los procesos Gestión de la seguridad de Tecnología de la ISO/IEC 12207 de la información información Procesos del ciclo de vida del software
  7. 7. Aspectos de la calidad de un producto • Calidad Interna: medible a partir de las características intrínsecas, como el código fuente • Externa: medible en el comportamiento del producto, como en una prueba • Calidad en uso: durante la utilización efectiva por parte del usuario
  8. 8. Aproximaciones a la calidad del SW: proceso producto efecto producto influencia influencian influencian Atributos Atributos Atributos Calidad del internos de externos de de calidad proceso calidad calidad en uso depende de depende de depende de Contextos de uso Mediciones Medidas Medidas Medidas de del proceso internas externas calidad en uso Ref. ISO/IEC 9126-1 La calidad en el ciclo de vida
  9. 9. El proceso de certificación de producto y la cadena de valor… Desarrollo del producto Cliente Cliente Interpretación de la Instalación especificación (DE, DS, Especificació y uso por atributos) n y datos de parte del entrada para cliente/ Necesidad el desarrollo usuario Con su de un del producto Producción producto de Atributos Necesida software internos, Producto d externos y Verificación y validación del de uso producto terminado satisfecha Organización desarrolladora Certificación de Calidad Imput para el diseño de la prueba de producto
  10. 10. Gestión del proceso de evaluación de calidad de producto sw Norma IRAM-ISO/IEC 14598-1 Establecer los •Establecer propósito de la evaluación ISO/IEC 9126-1 requisitos de •Identificar tipos de productos Características evaluación •Especificar el modelo de calidad de calidad Especificar la •Seleccionar métricas ISO/IEC 9126-2 Métricas ext. evaluación •Establecer escala p/cada métrica ISO/IEC 9126-3 Métricas int. •Establecer el criterio de evaluación ISO/IEC 14598-6 Módulos de evaluación Diseñar la •Desarrollar el plan de la evaluación evaluación •Hacer mediciones Realizar la •Comparar con criterios evaluación •Obtener resultados Ref. ISO/IEC 14598-1
  11. 11. Modelos de Madurez…  CMMi Capability Maturity Model (Software Engeniering Institute)  ISO 15504 (SPICE)  Competisoft (Alianza Iberoamericana)  ISO 29xxx (Maturity model for very small busines??)
  12. 12. ISO/IEC 12207 Ingeniería de sistemas y de software - Procesos del ciclo de vida del software La identificación de los procesos se basa en dos principios: – Modularidad (los procesos deberían ser cohesivos y tener el menor acoplamiento que otros) – Responsabilidad (cada proceso deberia ser ejecutado en forma individual).
  13. 13. Ciclo de vida 12207
  14. 14. Modelo COMPETISOFT Categoría ALTA DIRECCION Gestión de Negocio Categoría Gestión de Procesos Gestión de Cartera de proyectos Gestión de Recursos GERENCIA Gestión de Recursos Humanos Gestión de Bienes, Servicios e Infraestructura Gestión del Conocimiento Categoría Administración del proyecto OPERACION Desarrollo de Software Mantenimiento de Software
  15. 15. Marco metodológico de COMPETISOFT Modelo de Evaluación de Procesos Entidades en la evaluación de procesos
  16. 16. Método de evaluación ISO/IEC 15504 Niveles de madurez de la organización Determinar la madurez de la organización, sobre la base de los perfiles evaluados de la capacidad del proceso, y condiciones en las que estas evaluaciones son válidas. Expresión del grado en que una organización lleva a cabo constantemente los procesos dentro de un alcance definido que contribuye a la consecución de sus objetivos de negocio (actuales o proyectados). Optimizado 5 Niveles Predecible 4 Establecido 3 Gestionado 2 Realizado 1 Incompleto 0
  17. 17. Evaluación por niveles de madurez – Proceso IRAM para ISO/IEC 12207 y COMPETISOFT FASE 2: FASE 3: Realización de la Compilación de la información y auditoría en campo Comunicación de los resultados FASE 1: FASE 4: Seguimiento Planificación de la auditoría y Auditorías Otorgamiento Certificado Estudio de la Documentación anuales de del (3 años) seguimiento Certificado CEP (Cuestionario de evaluación Preliminar)
  18. 18. ISO/IEC 20000 IT – Gestión del servicio
  19. 19. ISO 27001 - ISMS • ¿Qué es? – Forma sistemática de administrar la información sensible • ¿Cómo? – Gestionando los riesgos • ¿Para qué? – Proteger la información: Confidencialidad – Integridad – Disponibilidad • ¿A quiénes abarca? – Personas, Procesos y Tecnología … La gran mayoría de las organizaciones hoy en día dependen de su información para sustentar sus negocios y la tendencia seguirá aumentando en futuro.
  20. 20. ISO 27001 - Establecimiento del SCSI Inicio del ►Asegurar el compromiso de la dirección ►Seleccionar y entrenar a los miembros que participan en el proyecto proyecto Definición del ►Identificación del alcance del SGSI y de la política de seguridad del SGSI SGSI ►Recopilar los documentos de seguridad existentes en la organización ►Preparar procedimientos relacionados con la gestión y la operación del SGSI Evaluación ►Definición de una metodología para la clasificación de los riesgos ►Creación de un inventario de activos de riesgos ►Evaluación de los activos a ser protegidos ►Identificación y evaluación de amenazas y vulnerabilidades de los activos ►Cálculo del valor de riesgo asociado a cada activo. Tratamiento ►Identificar y evaluar alternativas posibles para tratar los riesgos ►Seleccionar e implantar los controles correctos que le permitan a la de Riesgos organización reducir el riesgo a un nivel aceptable ►Redactar el documento de declaración de aplicabilidad (documento de selección de controles) que debe ser firmado por la dirección ►Identificar los riesgos residuales que han quedado sin cubrir y obtener la firma de la Dirección. ►Preparar el Plan de Tratamiento de Riesgos ►Preparar procedimientos para implantar los controles.
  21. 21. ISO 27001 - Implantación del SCSI Formación y - Impartir formación entre los empleados sobre los nuevos procedimientos que van a implantar sensibilización - Concientizar a la plantilla de la importancia que el proyecto tiene para la organización Implantación del - Implantar el plan de tratamiento de riesgos - Implantar políticas y procedimientos del SGSI SGSI - Implantar controles seleccionados ISO 27001 - Seguimiento y revisión Seguimiento del SGSI - Ejecutar procedimiento de seguimiento para detectar errores de proceso, identificar fallos de seguridad de forma rápida y acciones a realizar Revisión del SGSI - Revisiones periódicas de la política y alcance del SGSI, así como de su eficacia - Revisiones de los niveles de riesgos residuales y riesgos aceptables - Auditorías internas/externas del SGSI
  22. 22. ISO 27001 - Mantenimiento y mejora Mantenimiento del - Comunicar los resultados de las auditorías a las partes interesadas SGSI - Tomar acciones correctivas y preventivas Mejora Continua - Medir el rendimiento del SGSI - Implantar las mejoras identificadas en las revisiones del SGSI
  23. 23. ISO 9001 + Guía ISO 90003  Agregado de valor en la gestión de la calidad a través de lineamientos específicos que permiten hacer crecer los procesos de realización del producto con mejores prácticas.  Es en general el primer paso para alcanzar un piso en la gestión de la calidad.  Mejora la organización interna de la organización  Transmite una imagen de confianza a los clientes.
  24. 24. EJEMPLOS PARA ORGANIZACIONES DE DESARROLLO DE SOFTWARE  PROCESOS DE DIRECCION  La Revisión por la Dirección  Las Auditorias Internas  La planificación y seguimiento de los objetivos de la calidad  PROCESOS DE REALIZACION PROCESOS DE SOPORTE  Construcción de software  Gestión de configuración  La capacitación del personal  Diseño de una herramienta específica de desarrollo de sistemas  La medición y evaluación de  Atención de consultas de clientes la satisfacción del cliente  Mantenimiento de adaptación de  El archivo de historias de sistemas de software cambios a sistemas.
  25. 25. Esquema de Certificación Otorgamiento Vencimiento certificado certificado RC Etapa I Etapa II Seguimiento 1 Seguimiento 2 Plazo máximo sugerido 90 dias, Tiempo máximo 12 meses Tiempo máximo 12 Tiempo meses máximo 12 meses Tiempo máximo 36 meses
  26. 26. Nuestro equipo de trabajo en certificación… Gustavo Pontroriero Domingo Donadello Jorge Ceballos Responsable del Área Coordinador Técnico Coordinador Laboratorios gpontoriero@iram.org.ar ddonadello@iram.org.ar jceballos@iram.org.ar 01143460622 01143460622 01143460622 Muchas Gracias!!

×