Marcos de Referencia y Estándares

Page 1

Trabajo 1.2 Marcos de Referencia y Estándares David Alessandro García López Fátima Abigail Porras Noriega Braulio Arturo Rodríguez Hernández IRIC 901

Trabajo 1.2 Marcos de Referencia y Estándares Investiga para ahondar más en el tema, y sintetiza una respuesta para cada una de las siguientes cuestiones: En qué consisten los 5 niveles de madurez que identifica CMMI; y ¿Crees que se pudiera generalizar la evaluación de madurez, a los proyectos de TI sin importar que no consistan en el desarrollo de software? CMMI es un modelo para la mejora y evaluación de procesos a través del empleo de un conjunto de buenas prácticas utilizadas, implementarlo puede ayudar a afrontar situaciones no deseadas tales como baja productividad y rendimiento, descontrol en los costes, empeoramiento de la calidad y/o de la satisfacción del cliente, etc. El nivel de madurez representa un camino definido de pasos en la capacidad de los procesos, el cual permite medirlos. Su clasificación se realiza en virtud de la satisfacción de todos los objetivos genéricos y específicos de las áreas de proceso, se usan para describir un enfoque evolutivo, para mejorar los procesos y adquirir capacidades. Así pues, los niveles de madurez son: Nivel 1: Inicial. Consiste en que el trabajo se completa, pero a menudo se retrasa y excede el presupuesto. Los procesos son informales, ad-hoc e impredecibles y la administración de proyectos en la organización es inconsistente.; Nivel 2: Gestionado. Consiste en que los proyectos se planifican, ejecutan, miden y controlan. Hay un énfasis en introducir herramientas o técnicas para la gestión a nivel del proyecto, y en establecer los cimientos de mejora para el futuro.; Nivel 3: Definido. Se centra en la estandarización y despliegue a nivel organizacional de los procesos, consiste en que los estándares de toda la organización brinden orientación a través de proyectos, programas y portafolios.; Nivel 4: Gestionado cuantitativamente. Su énfasis está en asegurar que el soporte de la administración de proyectos esté en función de las metas de la organización. Es un nivel medido y controlado que consiste en que la organización se base en datos con objetivos cuantitativos de mejora del rendimiento que sean predecibles y se alineen para satisfacer las necesidades de las partes interesadas internas y externas.; Nivel 5: En Optimización. Se centra en la mejora continua y está diseñado para girar y responder a las oportunidades y los cambios. La estabilidad de la organización proporciona una plataforma para la agilidad y la innovación. Las organizaciones ubicadas en este nivel entienden a cabalidad los roles y responsabilidades en administración de proyectos. Es un nivel estable y flexible. Para concluir, sí se puede generalizar la evaluación de madurez a los a los proyectos de Tecnologías de la Información ya que si se utilizan correctamente pueden ayudar a las organizaciones a que sus proyectos alcancen un equilibrio óptimo refiriéndonos a que los procesos sean controlados, gestionados, medidos y analizados de forma sistemática e institucionalizada y aunque cada nivel tendrá un alcance, todo esto dependerá de los factores que integren al proyecto. Por qué es importante asegurar la madurez de los modelos de desarrollo (de proyectos de TI), para garantizar o asegurar la calidad del proceso de dichos proyectos. Asegurar la madurez en los modelos de desarrollo de proyectos de TI es indispensable ya que cada uno de los niveles de madurez permite afirmar que los procesos asociados a cada área serán efectivos, repetibles y duraderos. Además, orienta paso a paso para la mejora, a través de cada nivel de madurez y capacidad, por otro lado, cabe resaltar que durante la implantación de los niveles se hará una transición del <<aprendizaje individual>> al <<aprendizaje de la organización>>. Estos beneficios garantizarán la calidad de cada uno de los procesos de los proyectos, ya que, si se analiza, el establecer mejoras continuas y adaptaciones ayuda a ser una mejor organización e incrementar la calidad de los servicios. Crea una tabla comparativa de las características y ventajas que aportan ITIL y COBIT.

¿Qué es?

ITIL Biblioteca de Infraestructura de Tecnologías de la Información: Marco de trabajo de TI que describe las mejores prácticas en la gestión de servicios de TI, proporciona un marco de gobierno de TI y se centra en la medición y mejora continua de la calidad del servicio, tanto desde la perspectiva del negocio como del cliente. Garantiza que los servicios de TI se alineen con las necesidades del negocio y que las apoyen activamente.

COBIT Objetivos de Control para las Tecnologías de la información y Relacionadas: Marco de gobierno de TI que ayuda a las empresas a desarrollar, organizar e implementar estrategias en torno a la gobernanza y la gestión de procesos de TI y de los recursos de la organización. Su objetivo es planear, organizar, dirigir y controlar toda la función informática dentro de una empresa, ayudando a estandarizar la organización.

Características

Fue creado en 1992 por OGC; Facilita la entrega de servicios TI; Se enfoca en las necesidades de la organización y en la eficiencia y eficacia de sus procesos; Ayuda a definir un modelo o esquema de trabajo; Su enfoque es operacional; Adapta sus procesos con la intención de encajar en empresas tanto pequeñas como grandes; Su ciclo de vida consta de 5 etapas: estrategia, diseño, transición, operación y mejora continua del servicio.

Ventajas

Mejora de la calidad y costos de los servicios; Mejora la comunicación con el cliente; La organización desarrolla una estructura más clara, se vuelve más eficaz, y se centra en sus objetivos; Proporciona un marco de referencia uniforme para la comunicación interna y externa; Aumento de la satisfacción del cliente y usuarios con los servicios de TI; Aumento de los ingresos y beneficios de la organización, gracias a la mejora en disponibilidad; Ahorro financiero por la reducción del re-trabajo, pérdida de tiempo, reducción de riesgos y gestión de recursos.

Fue creado en 1996 por ISACA; Es dependiente de la información que dispone la empresa; Identifica los principales recursos de TI que serán utilizados; Incorpora los principales estándares internacionales; Su enfoque es táctico; Usa herramientas de implementación variadas, como guías gerenciales y de auditoría; COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos o detallados).

Es un marco de referencia aceptado mundialmente de Gobierno IT basado en estándares y mejores prácticas de la industria; Se obtienen ventajas competitivas contra sus competidores; Optimizar los servicios el coste de las TI y la tecnología; Se forja al cumplimiento de las buenas prácticas y normas para aumentar el valor de TI de la empresa; Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas

Genera un esquema con los pasos estándar que se siguen en el proceso de certificación del Sistema de Gestión de la Calidad que propone el estándar ISO 9001.

Investiga y crea una síntesis de máximo una cuartilla sobre el Sistema de Gestión de Seguridad de la información, propuesto por el estándar ISO 27001: El estándar ISO 27001 es parte de la serie ISO/IEC 270xx. Especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI, el cual consiste en el conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información. Además, especifica los requerimientos para la implementación de controles de seguridad frente a las necesidades de la organización. Este estándar surge a partir de la norma británica BS 17799-2 de 1995, la cual tenía el objetivo de proporcionar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de su información, sin embargo, esta fue retirada y el 15 de octubre de 2005 surgió el estándar ISO/IEC 27001:2005 que llegó a reemplazarla y se convirtió en el estándar oficial. El objetivo de este no está orientado a despliegues tecnológicos o de infraestructura, sino a aspectos organizativos, la frase que podría definir su objetivo es “Organizar la seguridad de la información”, por ello se propone todo un modelo tendiente a un SGSI, el cual es el punto fuerte de este estándar. Por otra parte, las dimensiones fundamentales de la seguridad de la información según este estándar son la confidencialidad, que se refiere al acceso a la información por parte únicamente de quienes estén autorizados. La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.; La disponibilidad, que se refiere al acceso y utilización de la información y los sistemas de tratamiento de esta por parte de los usuarios o procesos autorizados siempre que lo requieran.; Y finalmente, la integridad que se refiere al mantenimiento de la exactitud y completitud de la información y sus métodos de proceso, es decir, que no haya sido modificada, sin manipulaciones ni alteraciones por parte de terceros. Finalmente, la importancia de contar con un SGSI radica en que la información es el instrumento fundamental para el funcionamiento y operación de las organizaciones, lo cual hace que la información deba protegerse como el activo más importante y más aún en la actualidad, en donde el incremento de la utilización del internet, la evolución de la tecnología y la falta de conocimiento para mitigar riesgos de ataque, han generado innumerables amenazas que se aprovechan de estas vulnerabilidades para generarles un impacto negativo, ocasionando que se pierdan alguna o todas las características que debe preservar la información: disponibilidad, integridad y confidencialidad. Así pues, la información de una organización, demanda que se proteja ante cualquier amenaza que pudiera ponerla en peligro, y para contraer estas amenazas, se debe generar un plan de acción frente a éstas, el cual sería un SGSI.

Para concluir, caben mencionar las ventajas y desventajas que un SGSI trae para las organizaciones. Entre las ventajas se pueden encontrar: Reducción de los riesgos de seguridad de la información (pérdida, robo o corrupción) y de la probabilidad e impacto de los incidentes de seguridad; Certificación de un estándar internacional; Activación de un sistema de control y revisión periódica, que garantiza una mejora continua de los procesos de gestión de la información; Establecimiento de controles adecuados para la seguridad de la información; Refuerzo del valor competitivo de la empresa; Incremento en la confianza de clientes y proveedores en que su información va a ser adecuadamente manejada; Existencia de un dispositivo eficiente para hacer frente a situaciones de crisis; Y reducción estratégica de costes derivado de una mayor ordenación en la gestión de los procesos productivos; Los riesgos y sus controles son continuamente revisados, etc. Y finalmente entre sus desventajas podemos encontrar que su puesta en marcha implica una inversión inicial grande de recursos monetarios para hacer frente a los gastos de implantación y auditoría; La persona o personas que se involucren en el SGSI podrían dedicar entre el 10 y el 15 por ciento de su jornada laboral a este proceso; Los procesos de implantación de un SGSI exigen un cambio de mentalidad y de rutinas laborales frente a los que suelen aflorar desconfianza; y finalmente, en ocasiones, estos procesos siguen las reglas del estándar internacional pero no aseguran el cumplimiento de las normas internas. La gestión propuesta por ITIL, así como por los estándares ISO 9001 y 27001, retoman el ciclo de mejora continua PDCA popularizado por Deming (ciclo de Deming), explica en qué consiste, así como sus ventajas y desventajas. El PDCA es una técnica iterativa utilizada para solucionar problemas y mejorar los procesos organizacionales, esta se compone de cuatro simples pasos; Planear, Hacer, Revisar y Actuar. Cuando se desea desarrollar la mejora de un proceso, el primer paso es “Planear”, el cual consiste en investigar la situación actual de un problema (como el de alguna etapa de proceso) y entender la naturaleza de cómo sería resuelto. Es necesario desarrollar un plan de trabajo y especificar los resultados esperados. Después, en la etapa “Hacer”, se implementa la o las soluciones al problema. Una vez llevando a cabo las acciones, entra la etapa de “Revisar”, donde se monitorea el efecto de la implementación, se obtienen datos resultantes de distintas tomas de mediciones y se verifica si se están cumpliendo los objetivos, para que, finalmente en “Actuar”, se implementen las soluciones y recomendaciones, se decidan si hay prácticas efectivas o hay que abandonarlas, y preguntarse cuáles fueron las lecciones aprendidas. Algunas de las ventajas que ofrece es que facilita la mejora continua, debido a que su ciclo iterativo motiva a los usuarios a darle seguimiento bajo la dirección de un líder, también es un método flexible que puede ser adaptado en una infinidad de procesos sin importar su función y es simplemente poderoso, ya que además de ser muy fácil de entender, no requiere instrumental complejo y puede causar un gran impacto en la organización. Aunque, por otra parte, hay que ser muy cuidadoso al utilizar esta técnica, ya que, una definición de problema o área de mejora con ambigüedades podría dar resultado a un uso incorrecto, y se debe tener en cuenta que algunos pasos pueden tomar mucho tiempo, ya sea analizando el problema, midiéndolo o implementándole soluciones. Aplicar un modelo de mejora continua a los modelos de desarrollo de proyectos de TI demuestra experiencia en el equipo de trabajo a través del aprendizaje continuo y desarrollo de nuevas prácticas que se adoptan y mejoran al proceso, aumentando la calidad de los productos y servicios, y por consecuencia, las capacidades de producir aumentan, abriendo nuevas posibilidades a otros mercados y enfrentándose a nuevos retos y procesos, como lo puede ser el desarrollo de nuevos productos, uso de herramientas y maquinaria más avanzada y el establecimiento de objetivos más exigentes. Fuentes

bibliográficas

Chavarría, A. E., Oré, S. B., y Pastor, C. (2016). Aseguramiento de la Calidad en el Proceso de Desarrollo de Software utilizando CMMI, TSP y PSP. RISTI-Revista Ibérica de Sistemas e Tecnologias de Informação, (20), 62-77. CMMI Institute. (s.f.). CMMI Levels of Capability and Performance. ISACA (CMMI Performance Solutions. Recuperado de https://cmmiinstitute.com/learning/appraisals/levels Corletti, A. (2006). Análisis de ISO-27001:2005. [Archivo PDF]. http://www.cybsec.com/upload/ISO_27001_controles.pdf. ISACA. (2012). COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa. Rolling Meadows, Illinois, EE.UU.: ISACA ISO27000. (s.f.). SGSI. Información fundamental sobre el significado y sentido de implantación y mantenimiento de los Sistemas de Gestión de la Seguridad de la Información. Recuperado de https://www.iso27000.es/sgsi.html Piattini, M., García, F., Rodríguez, I. y Pino, F. (2018). Calidad de Sistemas de Información. Madrid: Ra-Ma. Van Bon, J., De Jong, A., Kolthof, (2008). Fundamentos de ITIL® (Vol. 3). Van Haren.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.