Presentación IT MARK
Transcripción
Presentación IT MARK
Modelo de calidad IT Mark Agenda de Trabajo 1. Área de Calidad 2. Introducción IT Mark 3. Proceso del Negocio 3.1 Ten Square. 3.2 Evaluación 3.3 Evidencias 3.4 Presentación de resultados. 4. Proceso de Seguridad 4.1 ISO 27001 - 2005. 4.2 Evaluación 4.3 Evidencias 4.4 Presentación de resultados. 5. Proceso de Desarrollo 4.2 Evaluación - Practicas 4.3 Evidencias 4.4 Presentación de resultados. 6. Como se Desarrolla la evaluación Área de calidad en la Organización Área de Calidad de la Organización? Porque generar un área de calidad dentro de la organización? Competitividad Capacidad de producir bienes y servicios que compitan exitosamente en mercados globalizados, generen crecimiento sostenido en el largo plazo. Control de Actividades Productivas. • Infraestructura • RRHH • Proceso • Producto • Condiciones ambientales. Área de Calidad de la Organización? ¿QUÉ ES UN MODELO DE CALIDAD? Es un conjunto de practicas vinculadas a los procesos de gestión y desarrollo de proyectos al Interior de la Organización, que asume una planificación detallada para alcanzar una meta estratégica. Área de Calidad de la Organización? Objetivo: Desarrollar servicios estándares de productos y que cumplan con los requerimientos y las exigencias de los clientes. Adoptar un punto de referencia para hacer repetitivas las actividades diarias de la Organización que permita tener control sobre todos los factores productivos. Introducción It Mark Introducción It Mark “Es el primer modelo de calidad internacional diseñado específicamente para las pequeñas y medianas empresas. Es un modelo escalable y muy adecuado para las Pequeñas y Micro Empresas del sector TIC.” EUROPEAN SOFTWARE INSTITUTE – ESI CENTER Introducción It Mark / Niveles NIVELES IT MARK IT Mark: Acredita a una empresa que es consciente de los problemas relacionados con la gestión técnica, de seguridad y del negocio, y que los mantiene habitualmente bajo control. IT Mark Premium: Acredita a una empresa que ha conseguido una Buena Madurez en sus procesos de trabajo técnico, seguridad y del negocio. I.T. Mark Elite: Acredita a una empresa que ha conseguido un nivel Superior en la Definición e Institucionalización de sus procesos de trabajo técnico, de seguridad y de negocio. _________________________________ ESI Center Introducción It Mark / Procesos Procesos que se evalúan Procesos de gestión de negocio Ten squared (10 * 10) Procesos de seguridad de la Información: ISO/EC 27001_2005 Procesos de Desarrollo y administración de Software CMMI V 1.2. ______________________________________________________ ESI Center Introducción It Mark / Calificación Niveles Evaluación de Procesos de Negocio Evaluación de procesos de Seguridad de la Información Evaluación de Procesos de Desarrollo ELITE Ninguna categoría en Rojo y mayor al 75% Nivel 3 Clase B, Nivel de Madurez 3 Ningún AP en Rojo PREMIUM Ninguna categoría en Rojo y mayor al 60% Nivel 2 Clase B, nivel de Madurez 2 Ningún AP en Rojo ESTANDAR No más de una categoría en Rojo y mayor al 50% Nivel 1 Clase B, nivel de Madurez 2 No más de 2 AP con puntaje inferior al 50%. No puede ser ni PP ni PMC. Clases de Evaluación Conclusiones Introducción It Mark / Importancia •Modelos de Calidad Actuales “demasiado pesados”. •Modelos costosos. de calidad son demasiado •Sólo se utilizan los modelos por exigencias de los clientes. •Requiere de mucho nivel de especialización en Modelos de Calidad. •Limita el desarrollo de productos en las Mipymes. •Implica Aumento Significativo de Talento Humano. Introducción It Mark / Beneficios Evaluar la organización con estándares mundiales a nivel estratégico, táctico y operativo. Promover una política de mejora continua. Ganar reconocimiento en el mercado. Obtener Un diferenciador de mercado. Procesos de Negocios Procesos del Negocio 1. Mercado 2. Gestión. 3. Productos y Servicios. 4. Mercadeo y Ventas. 5. Aspectos estratégicos. 6. Análisis Financiero. 7. Perfil y Análisis del Cliente. 8. Factores de Inversión. 9. Desarrollo y producción. 10. Industria y ambiente Macroeconómico. Niveles ESTANDAR Evaluación de Procesos de Negocio No más de una categoría en Rojo y mayor al 50% Evaluación de procesos de Seguridad de la Información Nivel 1 Evaluación de Procesos de Desarrollo Clases de Evaluación Clase B, nivel de Madurez 2 Conclusiones No más de 2 AP con puntaje inferior al 50%. No puede ser ni PP ni PMC. Procesos del Negocio - evaluación 1. Mercado ¿Tiene definido se mercado objetivo? 2. Gestión. ¿ Hay un balance entre el equipo de Trabajo y las necesidades de Contratación? 3. Productos y Servicios. ¿Conoce el Ciclo de vida de su Producto? 4. Mercadeo y Ventas. ¿Tiene Identificados Los Canales de Distribución y comercialización? 5.Solución estratégica de Problemas ¿Existe una Junta o equipo que resuelva problemas que afectan estratégicamente los procesos de la Organización? Procesos del Negocio - evaluación 6. Análisis Financiero. ¿Existen Indicadores Financieros?. 7. Perfil y Análisis del Cliente. ¿Están cuantificados y Geográficamente referenciados nuestros clientes Actuales y potenciales?. 8. Factores de Inversión. ¿Conocemos el ROI? ¿Factores de Riesgo?. 9. Desarrollo y producción. ¿Nuestros Procesos Productivos son Administrados?. 10. Industria y ambiente Macroeconómico. ¿Se conocen las tendencias del sector? Procesos del Negocio - Evidencias Ejemplo de evidencias 1. 2. 3. Plan Estratégico de Mercado. 33%. Plataforma Estratégica. 5%. Actas y formatos de Reuniones de la junta o directivos. 10% 4. Estados Financieros. 8%. 5. CRM. 8%. 6. Plan de Negocio. 36%. Área Mercadeo 1-5 Gestión 2-6 Productos y Servicios. 1-6 Mercadeo y Ventas. Nota: “De estas 100 Preguntas, 14 son consideradas elementos críticos “ 1-6-5 Solución Estratégica de problemas 3-6 Análisis Financiero 3-4 Perfil del cliente. 1 Factores de Inversión. 6 Desarrollo y Producción. 6 Análisis del Macroentorno. 1 Procesos de Seguridad Procesos de Seguridad - Definición Norma ISO/EC 27001 de 2005 “Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.” 28 - 30 Preguntas cerradas para mostrar que se cumple. con los Estándares presentes en la norma; mostrar Evidencias Físicas y Digitales Procesos de Seguridad 1. Política de Seguridad. 2. Seguridad Organizacional. 3. Clasificación y Control de Activos. 4. Seguridad de personal. 5. Seguridad física y ambiental. 6. Gestión de las comunicaciones Organizacionales. 7. Control de Acceso. 8. Desarrollo de sistemas y mantenimiento. 9. Gestión de la continuidad del Negocio. 10. Conformidad. 11. Gestión de Incidencias de Seguridad. Niveles ESTANDAR Evaluación de Procesos de Negocio No más de una categoría en Rojo y mayor al 50% Evaluación de procesos de Seguridad de la Información Nivel 1 Evaluación de Procesos de Desarrollo Clases de Evaluación Clase B, nivel de Madurez 2 Conclusiones No más de 2 AP con puntaje inferior al 50%. No puede ser ni PP ni PMC. Procesos de Seguridad - Evaluación ALGUNOS ELEMENTOS 1. Política de Seguridad. política de clasificación de información. 2. Seguridad Organizacional. Perímetro Físico de Seguridad 3. Clasificación y Control de Activos. Inventario básico de activos (hardware y software). 4. Seguridad de personal. Extintor de Incendios, Planos de Evacuación. 5. Seguridad física y ambiental. Identificación de Personal. Procesos de Seguridad - Evaluación 6. Gestión de las comunicaciones Organizacionales. Contraseñas. Permisos Para Acceso a Aplicaciones 7. Control de Acceso. Cámaras, Ruta de Evacuación 8. Desarrollo de sistemas y mantenimiento. Destructora de papel, Procedimientos de recuperación. 9. Gestión de la continuidad del Negocio. Documentación de Procesos y copias de Seguridad, manuales de Funciones. 10. Conformidad. Auditoría de todos los elementos 11. Gestión de Incidencias de Seguridad. Manejo de registros de las incidencias, documentación y control. Procesos de Seguridad - Evidencias •Mapa de red. •Manual de Calidad. •Políticas de Seguridad. •Cámaras de vigilancia. •Controles de Acceso. •Identificación. •Manuales de Funciones. •Acuerdos de Confidencialidad. Procesos de Seguridad - Evidencias •Contratos. •Accesos únicos a Servidores. •Especificaciones de Permisos. •Extintores. •Destructora de Papel. •Software para eliminar Archivos. •Antivirus Licencias. Procesos de Desarrollo Procesos de Desarrollo - CMMI Procesos de Desarrollo - CMMI Procesos de Desarrollo - CMMI Procesos de Desarrollo - CMMI 1. Administración de Requerimientos. 2. Planeación de Proyectos. 3. Monitoreo y control de Proyectos. 4. Administración de Acuerdos con proveedores. 5. Aseguramiento de calidad de procesos y productos. 6. Medición y Análisis. 7. Administración de la Configuración. Niveles ESTANDAR Evaluación de Procesos de Negocio No más de una categoría en Rojo y mayor al 50% Evaluación de procesos de Seguridad de la Información Nivel 1 Evaluación de Procesos de Desarrollo Clases de Evaluación Clase B, nivel de Madurez 2 Conclusiones No más de 2 AP con puntaje inferior al 50%. No puede ser ni PP ni PMC. Procesos de Desarrollo - Prácticas Administración de Requerimientos – 17 prácticas. Código Práctica Aplicación Desarrollar un entendimiento con Asegurarse que tanto el equipo de proyecto como quienes proporcionan los SP 1.1 quienes proporcionan requerimientos requerimientos tienen un mismo entendimiento acerca de los requerimientos. acerca del significado de los requerimientos Por ejemplo: lista actualizada y priorizada de requerimientos, especificación detallada de los requerimientos, aceptada - en base a criterios - y aprobada por las personas y/o grupos afectados (partes interesadas) establecidos, incluyendo el equipo de proyecto. SP 1.2 Obtener compromiso con los requerimientos de parte de los participantes del proyecto Los participantes del proyecto aceptan los requerimientos (nuevos y los cambios a los requerimientos ya acordados) y se comprometen a realizarlos, indicando cuándo y evaluando cómo afecta sus compromisos actuales SP 1.3 Gestionar cambios a los requerimientos conforme ellos evolucionan durante el proyecto Identificar cambios a los requerimientos acordados, evaluar impacto, aceptar o rechazar cambios a los requerimientos, controlar el impacto de los cambios Procesos de Desarrollo - Prácticas Planeación de Proyectos– 26 prácticas Código Práctica SP 1.1 SP 1.2 SP 1.3 Establecer una estructura de subdivisión de trabajo (WBS) de alto nivel para estimar el alcance del proyecto Establecer y mantener estimaciones de los atributos de los entregables y tareas Definir las fases del ciclo de vida del proyecto sobre las cuales establecer el alcance del esfuerzo de planeamiento Aplicación Estimar, a alto nivel, el alcance del proyecto. Por ejemplo mediante un WBS ó paquetes de trabajo. Un WBS muestra grupos de actividades a alto nivel y muestra también a alto nivel, que se va a construir. Estimar el tamaño de los componentes de producto a construir. Estimar el tamaño de las actividades. En software, primero se estima el tamaño del software a construir. El input para estimar el tamaño es el alcance y los requerimientos. En base al tamaño se hace luego la estimación de esfuerzo y costo. Definir las fases del ciclo de vida del proyecto, esto sirve para determinar el esfuerzo de planeamiento. Una descripción de ciclo de vida contiene fases, actividades, entregables, hitos, secuencia y organización de las fases y actividades. Así sabemos todo lo que hay que estimar Procesos de Desarrollo - Prácticas Monitoreo y control de Proyectos – 22 Prácticas Código SP 1.1 SP 1.2 SP 1.3 SP 1.4 Práctica Monitorizar los valores reales de los parámetros de planificación de proyecto versus el plan de proyecto Monitorizar compromisos versus aquellos identificados en el plan de proyecto Monitorizar riesgos versus aquellos identificados en el plan de proyecto Aplicación A lo largo del proyecto, comparar tamaño, esfuerzo y/o plazo real versus el estimado e identificar desviaciones. Revisar que las actividades de todas las personas y/o grupos identificados como afectados por el proyecto se completan según lo planeado Dar seguimiento a los riesgos identificados en el plan de proyecto, actualizar el estado de los riesgos identificados, identificar nuevos riesgos Monitorizar la administración de los Dar seguimiento al plan de gestión de datos del proyecto datos del proyecto versus el plan de (revisar PP SP 2.3) proyecto Procesos de Desarrollo - Prácticas Administración de Acuerdos con proveedores – 20 Prácticas Código SP 1.1 SP 1.2 SP 1.3 SP 2.1 Práctica Determinar el tipo de compra para cada producto o componente del producto a adquirirse. Seleccionar proveedores en base a una evaluación de su habilidad para cumplir los requerimientos especificados y el criterio establecido. Aplicación Clasificar los distintos tipos de compra para adquirir los productos en el proyecto Definir criterios para evaluar proveedores y sus propuestas, el criterio debe incluir evaluar la habilidad del proveedor de cumplir con los requerimientos especificados, evaluar las propuestas y proveedores y seleccionar el proveedor cuya propuesta cumple mejor con los requerimientos especificados Establecer y mantener los acuerdos Negociar con el proveedor los términos en el contrato y firmar el contrato. formales con el proveedor. El contrato debe incluir, entre otros, el plan del proyecto del proveedor, el cronograma del proveedor, el plan de entregables del proveedor, la forma de pago, la forma de supervisión de la organización cliente al proveedor, los criterios para aceptar el producto Desarrollar las actividades tal y como Realizar seguimiento a las actividades del proveedor asegurando que se se especifican en el acuerdo suscrito cumplen los términos del contrato con el proveedor. Procesos de Desarrollo - Prácticas Aseguramiento de calidad de procesos y productos – 14 Prácticas Código SP 1.1 SP 1.2 SP 2.1 Práctica Evaluar objetivamente procesos ejecutados designados versus las descripciones de proceso, estándares y procedimientos aplicables Evaluar objetivamente los entregables designados y servicios versus las descripciones d eproceso, estándares y procedimientos aplicables Comunicar problemas de calidad y asegurar la solución de problemas de no conformidad con el personal y gerentes Aplicación Realizar revisiones de aseguramiento de la calidad del cumplimiento de actividades de los procesos, revisar evidencias de ejecución de los procesos, preguntar o entrevistar a los ejecutores de procesos cómo vienen trabajando Realizar revisiones de aseguramiento de la calidad a los productos de trabajo (entregables intermedios y finales) producidos durante el proyecto, revisar que el entregable se elaboró siguiendo el proceso, preguntar o entrevistar a los autores de los entregables Los incumplimientos al proceso detectados son las no conformidades, hay que comunicarlas al equipo a quien hicimos la revisión de aseguramiento de la calidad. En caso sea necesario, escalar los problemas de no conformidad al nivel directivo. Procesos de Desarrollo - Prácticas Medición y Análisis – 20 Practicas Código SP 1.1 SP 1.2 SP 1.3 Práctica Establecer y mantener objetivos de medición que están derivados de objetivos y necesidades de información identificados Especificar las mediciones para resolver los objetivos de medición Especificar cómo se obtienen y almacenan los datos de medición Aplicación Registrar los objetivos y necesidades de medición. Es decir, para qué tengo las métricas que tengo. ¿De qué me sirven? Tener métricas que sirvan para gestionar el proyecto de manera un poco más objetiva. Para las nuevas métricas, que no están institucionalizadas, documentar procedimiento detallado de captura, registro y almacenamiento de los datos de las métricas. Indicar quién registra, quién almacena, cuándo se hace, la fuente de donde provienen los datos, los pasos a seguir, dónde se guardan los datos, dónde se guardan los valores de las métricas, entre otros Procesos de Desarrollo - Prácticas Administración de la Configuración – 19 Prácticas Código Práctica SP 1.1 Identificar los elementos de configuración, componentes y entregables relacionados que serán colocados bajo gestión de la configuración. Work products = Entregables = entregables intermedios y finales = productos de trabajo SP 1.2 Establecer y mantener un sistema de gestión de la configuración y gestión de cambios para controlar entregables Aplicación Identificar los entregables intermedios y finales del proyecto que tendrán algún grado de control de integridad. Por ejemplo: control de acceso, control de cambios, línea base entre otros. Identificar en una lista los entregables, indicando nombre, quién es el autor, dónde residirá el entregable y el mecanismo de control. Puede haber un estándar por tipo de proyecto. Si algún proyecto difiere del estándar entonces documentar las diferencias para conocimiento y cumplimiento del equipo, se puede documentar en el plan de proyecto, en el plan de configuración o en cualquier otro lugar. Tener un sistema para el control de la integridad de los entregables intermedios y finales. Los entregables intermedios y finales son la documentación de gestión de proyectos (planes, riesgos, entre otros), la documentación de ingeniería (diseño de arquitectura, diseño de base de datos, entre otros), los componentes desarrollados (código fuente), los archivos a instalar entre otros. El sistema incluye las herramientas, los entornos donde residen los entregables y los procedimientos de control necesarios. Ejemplos de entornos, por ejemplo: ambiente de desarrollo para fuentes, ambiente de integración para la integración y las pruebas de integración, entre otros. Procesos de Desarrollo - Evidencias •Manual de Calidad. •Cuadernillos de Proyecto. •Políticas Definidas. Como se desarrolla la Evaluación ¿CÓMO EVALÚA? •Fase 0: Planificación Y preparación del servicio. •Fase 1: Sensibilización. •Fase 2: Evaluación del negocio. •Fase 3:Evaluación de Seguridad de la Información. •Fase 4: Evaluación CMMI. •Fase 5: Análisis y Presentación de Resultados. •Fase 6: Reporte de resultados al ESI. •Fase 7: Reevaluación – 1 y 3 Años. ROLES •Patrocinador: Es quien Autoriza y demuestra el Alcance del proceso. •Participantes: las personas conocedoras de los procesos de la Organización (5 a 7). •Consultores: Quienes Lideran el proceso de certificación.