Modelo de calidad IT Mark
Agenda de Trabajo 1. Área de Calidad 2. Introducción IT Mark 3. Proceso del Negocio 3.1 Ten Square. 3.2 Evaluación 3.3 Evidencias 3.4 Presentación de resultados. 4. Proceso de Seguridad 4.1 ISO 27001-2005. 4.2 Evaluación 4.3 Evidencias 4.4 Presentación de resultados. 5. Proceso de Desarrollo 4.2 Evaluación - Practicas 4.3 Evidencias 4.4 Presentación de resultados. 6. Como se Desarrolla la evaluación
Área de calidad en la Organización
Área de Calidad de la Organización? Porque generar un área de calidad dentro de la organización? Competitividad
Área de Calidad de la Organización? QUÉ ES UN MODELO DE CALIDAD? Es un conjunto de practicas vinculadas a los procesos de gestión y desarrollo de proyectos al Interior de la Organización, que asume una planificación detallada para alcanzar una meta estratégica.
Área de Calidad de la Organización? Objetivo: Desarrollar estándares de productos y servicios que cumplan con los requerimientos y las exigencias de los clientes. Adoptar un punto de referencia para hacer repetitivas
Introducción It Mark
Introducción It Mark Es el primer modelo de calidad internacional diseñado específicamente para las pequeñas y medianas empresas. Es un modelo escalable y muy adecuado para las Pequeñas y Micro Empresas del sector TIC. EUROPEAN SOFTWARE INSTITUTE ESI CENTER
Introducción It Mark / Niveles IT Mark: NIVELES IT MARK Acredita a una empresa que es consciente de los problemas relacionados con la gestión técnica, de seguridad y del negocio, y que los mantiene habitualmente bajo control. IT Mark Premium: Acredita a una empresa que ha conseguido una Buena Madurez en sus procesos de trabajo técnico, seguridad y del negocio. I.T. Mark Elite: I.T. Mark Elite: Acredita a una empresa que ha conseguido un nivel Superior en la Definición e Institucionalización de sus procesos de trabajo técnico, de seguridad y de negocio. ESI Center
Introducción It Mark / Procesos Procesos que se evalúan Procesos de gestión de negocio Ten squared (10 * 10) Procesos de seguridad de la Información: ISO/EC 27001_2005 Procesos de Desarrollo y administración de Software CMMI V 1.2. ESI Center
Introducción It Mark / Calificación Niveles ELITE PREMIUM Evaluación de Procesos de Negocio Ninguna categoría en Rojo y mayor al 75% Ninguna categoría en Rojo y mayor al 60% Evaluación de procesos de Seguridad de la Información Evaluación de Procesos de Desarrollo Clases de Evaluación Nivel 3 Clase B, Nivel de Madurez 3 Nivel 2 Clase B, nivel de Madurez 2 Conclusiones Ningún AP en Rojo Ningún AP en Rojo ESTANDAR No más de una categoría en Rojo y mayor al 50% Nivel 1 Clase B, nivel de Madurez 2 No más de 2 AP con puntaje inferior al 50%. No puede ser ni PP ni PMC.
Introducción It Mark / Importancia Modelos de Calidad Actuales demasiado pesados. Modelos de calidad son demasiado costosos. Sólo se utilizan los modelos por exigencias de los clientes. Requiere de mucho nivel de especialización en Modelos de Calidad. Limita el desarrollo de productos en las Mipymes. Implica Aumento Significativo de Talento Humano.
Introducción It Mark / Beneficios Evaluar la organización con estándares mundiales a nivel estratégico, táctico y operativo. Promover una política de mejora continua. Ganar reconocimiento en el mercado. Obtener Un diferenciador de mercado.
Procesos de Negocios
Procesos del Negocio 1. Mercado 2. Gestión. 3. Productos y Servicios. 4. Mercadeo y Ventas. 5. Aspectos estratégicos. 6. Análisis Financiero. 7. Perfil y Análisis del Cliente. 8. Factores de Inversión. 9. Desarrollo y producción. 10. Industria y ambiente Macroeconómico. Niveles Evaluación de Procesos de Negocio Evaluación de procesos de Seguridad de la Información Evaluación de Procesos de Desarrollo Clases de Evaluación Conclusiones ESTANDAR No más de una categoría en Rojo y mayor al 50% Nivel 1 Clase B, nivel de Madurez 2 No más de 2 AP con puntaje inferior al 50%. No puede ser ni PP ni PMC.
Procesos del Negocio - evaluación 1. Mercado Tiene definido se mercado objetivo? 2. Gestión. Hay un balance entre el equipo de Trabajo y las necesidades de Contratación? 3. Productos y Servicios. Conoce el Ciclo de vida de su Producto? 4. Mercadeo y Ventas. Tiene Identificados Los Canales de Distribución y comercialización? 5.Solución estratégica de Problemas Existe una Junta o equipo que resuelva problemas que afectan estratégicamente los procesos de la Organización?
Procesos del Negocio - evaluación 6. Análisis Financiero. Existen Indicadores Financieros?. 7. Perfil y Análisis del Cliente. Están cuantificados y Geográficamente referenciados nuestros clientes Actuales y potenciales?. 8. Factores de Inversión. Conocemos el ROI? Factores de Riesgo?. 9. Desarrollo y producción. Nuestros Procesos Productivos son Administrados?. 10. Industria y ambiente Macroeconómico. Se conocen las tendencias del sector?
Procesos del Negocio - Evidencias Ejemplo de evidencias 1. Plan Estratégico de Mercado. 33%. 2. Plataforma Estratégica. 5%. 3. Actas y formatos de Reuniones de la junta o directivos. 10% 4. Estados Financieros. 8%. 5. CRM. 8%. 6. Plan de Negocio. 36%. Nota: De estas 100 Preguntas, 14 son consideradas elementos críticos Área Mercadeo 1-5 Gestión 2-6 Productos y Servicios. 1-6 Mercadeo y Ventas. 1-6-5 Solución Estratégica de problemas 3-6 Análisis Financiero 3-4 Perfil del cliente. 1 Factores de Inversión. 6 Desarrollo y Producción. 6 Análisis del Macroentorno. 1
Procesos de Seguridad
Procesos de Seguridad - Definición Norma ISO/EC 27001 de 2005 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. 28-30 Preguntas cerradas para mostrar que se cumple. con los Estándares presentes en la norma; mostrar Evidencias Físicas y Digitales
Procesos de Seguridad 1. Política de Seguridad. 2. Seguridad Organizacional. 3. Clasificación y Control de Activos. 4. Seguridad de personal. 5. Seguridad física y ambiental. 6. Gestión de las comunicaciones Organizacionales. 7. Control de Acceso. 8. Desarrollo de sistemas y mantenimiento. 9. Gestión de la continuidad del Negocio. 10. Conformidad. 11. Gestión de Incidencias de Seguridad. Niveles Evaluación de Procesos de Negocio Evaluación de procesos de Seguridad de la Información Evaluación de Procesos de Desarrollo Clases de Evaluación Conclusiones ESTANDAR No más de una categoría en Rojo y mayor al 50% Nivel 1 Clase B, nivel de Madurez 2 No más de 2 AP con puntaje inferior al 50%. No puede ser ni PP ni PMC.
Procesos de Seguridad - Evaluación ALGUNOS ELEMENTOS 1. Política de Seguridad. política de clasificación de información. 2. Seguridad Organizacional. Perímetro Físico de Seguridad 3. Clasificación y Control de Activos. Inventario básico de activos (hardware y software). 4. Seguridad de personal. Extintor de Incendios, Planos de Evacuación. 5. Seguridad física y ambiental. Identificación de Personal.
Procesos de Seguridad - Evaluación 6. Gestión de las comunicaciones Organizacionales. Contraseñas. Permisos Para Acceso a Aplicaciones 7. Control de Acceso. Cámaras, Ruta de Evacuación 8. Desarrollo de sistemas y mantenimiento. Destructora de papel, Procedimientos de recuperación. 9. Gestión de la continuidad del Negocio. Documentación de Procesos y copias de Seguridad, manuales de Funciones. 10. Conformidad. Auditoría de todos los elementos 11. Gestión de Incidencias de Seguridad. Manejo de registros de las incidencias, documentación y control.
Procesos de Seguridad - Evidencias Mapa de red. Manual de Calidad. Políticas de Seguridad. Cámaras de vigilancia. Controles de Acceso. Identificación. Manuales de Funciones. Acuerdos de Confidencialidad.
Procesos de Seguridad - Evidencias Contratos. Accesos únicos a Servidores. Especificaciones de Permisos. Extintores. Destructora de Papel. Software para eliminar Archivos. Antivirus Licencias.
Procesos de Desarrollo
Procesos de Desarrollo - CMMI
Procesos de Desarrollo - CMMI
Procesos de Desarrollo - CMMI
Procesos de Desarrollo - CMMI 1. Administración de Requerimientos. 2. Planeación de Proyectos. 3. Monitoreo y control de Proyectos. 4. Administración de Acuerdos con proveedores. 5. Aseguramiento de calidad de procesos y productos. 6. Medición y Análisis. 7. Administración de la Configuración. Niveles Evaluación de Procesos de Negocio Evaluación de procesos de Seguridad de la Información Evaluación de Procesos de Desarrollo Clases de Evaluación Conclusiones ESTANDAR No más de una categoría en Rojo y mayor al 50% Nivel 1 Clase B, nivel de Madurez 2 No más de 2 AP con puntaje inferior al 50%. No puede ser ni PP ni PMC.
Procesos de Desarrollo - Prácticas Administración de Requerimientos 17 prácticas. Código Práctica Aplicación SP 1.1 SP 1.2 Desarrollar un entendimiento con quienes proporcionan requerimientos acerca del significado de los requerimientos Obtener compromiso con los requerimientos de parte de los participantes del proyecto Asegurarse que tanto el equipo de proyecto como quienes proporcionan los requerimientos tienen un mismo entendimiento acerca de los requerimientos. Por ejemplo: lista actualizada y priorizada de requerimientos, especificación detallada de los requerimientos, aceptada - en base a criterios - y aprobada por las personas y/o grupos afectados (partes interesadas) establecidos, incluyendo el equipo de proyecto. Los participantes del proyecto aceptan los requerimientos (nuevos y los cambios a los requerimientos ya acordados) y se comprometen a realizarlos, indicando cuándo y evaluando cómo afecta sus compromisos actuales SP 1.3 Gestionar cambios a los requerimientos conforme ellos evolucionan durante el proyecto Identificar cambios a los requerimientos acordados, evaluar impacto, aceptar o rechazar cambios a los requerimientos, controlar el impacto de los cambios
Procesos de Desarrollo - Prácticas Planeación de Proyectos 26 prácticas Código Práctica Aplicación SP 1.1 SP 1.2 SP 1.3 Establecer una estructura de subdivisión de trabajo (WBS) de alto nivel para estimar el alcance del proyecto Establecer y mantener estimaciones de los atributos de los entregables y tareas Definir las fases del ciclo de vida del proyecto sobre las cuales establecer el alcance del esfuerzo de planeamiento Estimar, a alto nivel, el alcance del proyecto. Por ejemplo mediante un WBS ó paquetes de trabajo. Un WBS muestra grupos de actividades a alto nivel y muestra también a alto nivel, que se va a construir. Estimar el tamaño de los componentes de producto a construir. Estimar el tamaño de las actividades. En software, primero se estima el tamaño del software a construir. El input para estimar el tamaño es el alcance y los requerimientos. En base al tamaño se hace luego la estimación de esfuerzo y costo. Definir las fases del ciclo de vida del proyecto, esto sirve para determinar el esfuerzo de planeamiento. Una descripción de ciclo de vida contiene fases, actividades, entregables, hitos, secuencia y organización de las fases y actividades. Así sabemos todo lo que hay que estimar
Procesos de Desarrollo - Prácticas Monitoreo y control de Proyectos 22 Prácticas Código Práctica Aplicación SP 1.1 SP 1.2 SP 1.3 SP 1.4 Monitorizar los valores reales de los parámetros de planificación de proyecto versus el plan de proyecto Monitorizar compromisos versus aquellos identificados en el plan de proyecto Monitorizar riesgos versus aquellos identificados en el plan de proyecto A lo largo del proyecto, comparar tamaño, esfuerzo y/o plazo real versus el estimado e identificar desviaciones. Revisar que las actividades de todas las personas y/o grupos identificados como afectados por el proyecto se completan según lo planeado Dar seguimiento a los riesgos identificados en el plan de proyecto, actualizar el estado de los riesgos identificados, identificar nuevos riesgos Monitorizar la administración de los Dar seguimiento al plan de gestión de datos del proyecto datos del proyecto versus el plan de (revisar PP SP 2.3) proyecto
Procesos de Desarrollo - Prácticas Administración de Acuerdos con proveedores 20 Prácticas Código Práctica Aplicación SP 1.1 SP 1.2 SP 1.3 SP 2.1 Determinar el tipo de compra para cada producto o componente del producto a adquirirse. Seleccionar proveedores en base a una evaluación de su habilidad para cumplir los requerimientos especificados y el criterio establecido. Establecer y mantener los acuerdos formales con el proveedor. Desarrollar las actividades tal y como se especifican en el acuerdo suscrito con el proveedor. Clasificar los distintos tipos de compra para adquirir los productos en el proyecto Definir criterios para evaluar proveedores y sus propuestas, el criterio debe incluir evaluar la habilidad del proveedor de cumplir con los requerimientos especificados, evaluar las propuestas y proveedores y seleccionar el proveedor cuya propuesta cumple mejor con los requerimientos especificados Negociar con el proveedor los términos en el contrato y firmar el contrato. El contrato debe incluir, entre otros, el plan del proyecto del proveedor, el cronograma del proveedor, el plan de entregables del proveedor, la forma de pago, la forma de supervisión de la organización cliente al proveedor, los criterios para aceptar el producto Realizar seguimiento a las actividades del proveedor asegurando que se cumplen los términos del contrato
Procesos de Desarrollo - Prácticas Aseguramiento de calidad de procesos y productos 14 Prácticas Código Práctica Aplicación SP 1.1 SP 1.2 SP 2.1 Evaluar objetivamente procesos ejecutados designados versus las descripciones de proceso, estándares y procedimientos aplicables Evaluar objetivamente los entregables designados y servicios versus las descripciones d eproceso, estándares y procedimientos aplicables Comunicar problemas de calidad y asegurar la solución de problemas de no conformidad con el personal y gerentes Realizar revisiones de aseguramiento de la calidad del cumplimiento de actividades de los procesos, revisar evidencias de ejecución de los procesos, preguntar o entrevistar a los ejecutores de procesos cómo vienen trabajando Realizar revisiones de aseguramiento de la calidad a los productos de trabajo (entregables intermedios y finales) producidos durante el proyecto, revisar que el entregable se elaboró siguiendo el proceso, preguntar o entrevistar a los autores de los entregables Los incumplimientos al proceso detectados son las no conformidades, hay que comunicarlas al equipo a quien hicimos la revisión de aseguramiento de la calidad. En caso sea necesario, escalar los problemas de no conformidad al nivel directivo.
Procesos de Desarrollo - Prácticas Medición y Análisis 20 Practicas Código Práctica Aplicación SP 1.1 SP 1.2 SP 1.3 Establecer y mantener objetivos de medición que están derivados de objetivos y necesidades de información identificados Especificar las mediciones para resolver los objetivos de medición Especificar cómo se obtienen y almacenan los datos de medición Registrar los objetivos y necesidades de medición. Es decir, para qué tengo las métricas que tengo. De qué me sirven? Tener métricas que sirvan para gestionar el proyecto de manera un poco más objetiva. Para las nuevas métricas, que no están institucionalizadas, documentar procedimiento detallado de captura, registro y almacenamiento de los datos de las métricas. Indicar quién registra, quién almacena, cuándo se hace, la fuente de donde provienen los datos, los pasos a seguir, dónde se guardan los datos, dónde se guardan los valores de las métricas, entre otros
Procesos de Desarrollo - Prácticas Administración de la Configuración 19 Prácticas Código Práctica Aplicación SP 1.1 SP 1.2 Identificar los elementos de configuración, componentes y entregables relacionados que serán colocados bajo gestión de la configuración. Work products = Entregables = entregables intermedios y finales = productos de trabajo Establecer y mantener un sistema de gestión de la configuración y gestión de cambios para controlar entregables Identificar los entregables intermedios y finales del proyecto que tendrán algún grado de control de integridad. Por ejemplo: control de acceso, control de cambios, línea base entre otros. Identificar en una lista los entregables, indicando nombre, quién es el autor, dónde residirá el entregable y el mecanismo de control. Puede haber un estándar por tipo de proyecto. Si algún proyecto difiere del estándar entonces documentar las diferencias para conocimiento y cumplimiento del equipo, se puede documentar en el plan de proyecto, en el plan de configuración o en cualquier otro lugar. Tener un sistema para el control de la integridad de los entregables intermedios y finales. Los entregables intermedios y finales son la documentación de gestión de proyectos (planes, riesgos, entre otros), la documentación de ingeniería (diseño de arquitectura, diseño de base de datos, entre otros), los componentes desarrollados (código fuente), los archivos a instalar entre otros. El sistema incluye las herramientas, los entornos donde residen los entregables y los procedimientos de control necesarios. Ejemplos de entornos, por ejemplo: ambiente de desarrollo para fuentes, ambiente de integración para la integración y las pruebas de integración, entre otros.
Procesos de Desarrollo - Evidencias Manual de Calidad. Cuadernillos de Proyecto. Políticas Definidas.
Como se desarrolla la Evaluación
CÓMO EVALÚA? Fase 0: Planificación Y preparación del servicio. Fase 1: Sensibilización. Fase 2: Evaluación del negocio. Fase 3:Evaluación de Seguridad de la Información. Fase 4: Evaluación CMMI. Fase 5: Análisis y Presentación de Resultados. Fase 6: Reporte de resultados al ESI. Fase 7: Reevaluación 1 y 3 Años.
ROLES Patrocinador: Es quien Autoriza y demuestra el Alcance del proceso. Participantes: las personas conocedoras de los procesos de la Organización (5 a 7). Consultores: Quienes Lideran el Consultores: Quienes Lideran el proceso de certificación.