IT360.es AUDITORIA Y FORMACION EN CALIDAD TIC

CALIDAD TIC ISO 27001 ISO 15504 ISO 20000 Blog Calidad en TI


CALIDAD EN SOFTWARE | Resumen de normativas. Act. octubre de 2010

Certificaciones y normativas de calidad en software






Más allá de conseguir un cuadro en la pared conforme estamos certificados en el servicio que prestamos, las certificaciones en sistemas de gestión técnicos deben ser valoradas como una forma de innovar en nuestra organización. La clave es realizar los pasos de manera adecuada y no acometer un proyecto de certificación simplemente porque hayamos conseguido una subvención para ello.

Toni Martin-Avila - 25-09-2010



Si tu empresa realiza algún proceso de software entregado a terceros, por qué certificarse/evaluarse con una normativa?

Los sistemas de tecnologías de la información desempeñan un papel crítico en la práctica totalidad de las empresas. Si además nuestro negocio representa ofrecerlos a terceros, la garantía de que se está haciendo bien genera directamente negocio. El mundo del desarrollo de software como otro servicio TIC necesita una supervisión constante por parte de profesionales para mantenerlos actualizados y en condiciones de funcionamiento. La certificación en ISO15504 o CMMI proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de aplicaciones software fiables. Es un reto. Pero también es una oportunidad que tienen las empresas para generar más clientes y abrirse a nuevos mercados.


¿Por qué norma me decanto?


Existen diversos modelos de calidad en el ámbito del software. Podríamos agruparlos en sistemas de gestión, calidad en el producto software y calidad en los procesos software. Normalmente las normativas de son conjuntos de buenas practicas que se aplican sobre el ciclo de vida de proyectos informáticos y que contribuyen a mejorar los factores de la calidad del software que se han expuesto con anterioridad. Existen multitud de modelos para la gestión de la calidad del software y otros sistemas y normas de gestión que se han aplicadosobre estos procesos, muchas de ellas con apéndices (normas específicas) para uno de los conceptos más importante en el software: la evaluación. Además el mundo del software englobado en los servicios TI puede ser evaluado en calidad según otros sistemas de gestión sobre TI. En este sentido algunas empresas de desarrollo de software han implantado sistemas de gestión basados en ISO 9001, ISO 27001 o ISO 20000 con alcances en los procesos de desarrollo y entrega, pero éstos quizás no son la mejor opción en el caso de que el corazón productivo de la organización se únicamente el software.

Actualmente existen en el mercado “normativo” diversas opciones de las que destacamos:

  • ISO 9001 en el alcance sobre el software y sobre los procesos productivos de la organización. No siempre sobre el desarrollo, puede ser en la identificación de requisitos, en el propio desarrollo y por ejemplo en la entrega y mantenimiento.
     
  • ISO/IEC 9003 Ingeniería del software. Guía de aplicación de la ISO 9001:2000 al software  (NO es CERTIFICABLE. Es una norma de buenas prácticas para definir con más detalle los conceptos de software sobre los procesos de la organización).
     
  • ISO/IEC 12207 Information Technology / Software Life Cycle Processes, es el estándar para los procesos de ciclo de vida del software de la organización. Es la base para ISO 15504-SPICE.

  • ISO/IEC 15504 (conocida como SPICE - Software Process Improvement And Assurance Standards Capability Determination). Un conjunto de 7 normas para establecer y mejorar la capacidad y madurez de los procesos de las organizaciones, proporcionando los principios requeridos para realizar una evaluación de la calidad de los procesos. La definición de los procesos se realiza sobre ISO/IEC 12207.  La familia de normas 15504 espera que  la nueva ISO 29110 sea publicada para crear definitivamente el esquema internacional de certificación, que actualmente está creado con procesos de calidad en las entidades de certificación (realizando evaluaciones externas sobre  ISO/IEC 15504-2ISO/IEC TR 15504-7:2008.

  • Capability Maturity Model Integration (CMMI)
    CMMI se ha convertido mundialmente en un requisito para acceder a la exportación de servicios de software. La norma provee una guía para implementar una estrategia de calidad y mejorar los procesos de una organización que se dedica al desarrollo y/o mantenimiento de software. Dispone de un esquema de certificación creado sobre organismos privados. (no normas ISO)
     
  • ISO/IEC 9126. Desarrolladas entre 1991 y 2001. Software engineering – Product quality consta de 4 partes. La serie de normas ISO/IEC 9126 define las características de calidad del producto de software (parte 1), las métricas internas y externas (partes 2 y 3), y la calidad en uso, que explica cómo la calidad del producto está sujeta a las condiciones particulares de uso (parte 4).

  • ISO/IEC 14598.  Desarrolladas entre 1999 y 2001. Software product evaluation, Evaluación del producto de software, la familia consta de 6 partes. Directamente relacionada con ISO 9126. 

  • ISO 25000. La familia de normas 25000 establecen un modelo de calidad para el producto software además de definir la evaluación de la calidad del producto. Tiene 5 partes publicadas, y se encuentra en desarrollo. Pretenden sustituir a ISO 9126 e ISO 14598 ya que desde 2001 no se publicaron nuevas versiones.

  • SCRUM. Un método sencillo y práctico para empezar a practicar calidad. Fabricar y gestiona el desarrollo en tres fases fundamentales: una breve fase de planificación, en la cual se realizan las labores básicas de una planificación breve: visión general del proyecto (estimación muy general, viabilidad del sistema) y construcción del Backlog. por un lado y por otro el desarrollo de la arquitectura al detalle; otra de desarrollo, en la cual tienen lugar los famosos Sprints, y otra final de entrega y balance de los éxitos y fracasos logrados


Evaluación por niveles de capacidad y de madurez

En los modelos de evaluación y mejora de la calidad de los procesos software se pueden encontrar principalmente dos maneras de hacer las evaluaciones: por niveles de madurez, donde se obtiene una “puntuación” cuyo alcance es la organización (departamento, o proyecto, etc.) y por niveles de capacidad, o de manera continua, donde la organización obtiene puntuación para un proceso concreto (por ejemplo para la gestión de requisitos, o la planificación de proyectos, gestión de la configuración, etc.). De entre los modelos de calidad de procesos software de mayor uso en la industria del software, CMMI e ISO/IEC 15504 ofrecen ambos modelos.


¿Y si estoy buscando una certificación que normativa es la más adecuada?


En el marco europeo y español quizás ISO 15504/SPICE es la opción que está evolucionando más en la pyme. Es un modelo que se puede realizar por pasos y adaptado a todo tipo de empresas. La norma está en contínuo desarrollo y entre otros temas está desarrollándose  una parte específica para pequeñas empresas ("mini Spice"). La implantación y evaluación externa para la certificación se puede realizar por etapas, de tal manera que en años posteriores se van aumentando su alcance. Esta norma evalúa la calidad software por niveles de madurez y la mejora de procesos. Una implantación "creativa" de ISO 155040 y una evaluación intergrada facilita la integración con otras normativas ISO (9001, 27001, 20000). Actualmente ISO 15504 se encuentra en u fase inicial de certificación. En espera de que se publique ISO 29169, SPICE es una norma certificable en el sentido de una evaluación externa (sobre  ISO/IEC 15504-2  y con los requisitos de niveles de madurez y clases de evaluaciones según ISO/IEC TR 15504-7:2008) realizada por entidades de certificación que aportan procesos de calidad en sus evaluaciones externas.  En 2010 en España hay del orden de 30 empresas certificadas, aunque estos datos no representan un listado oficial, ya que todavía no existe un esquema de acreditación (normalización de la certificación). La norma ISO (ISO/IEC 29169 - The application of conformity assessment methodology to process capability and organizational maturity) actualmente en DRAFT en el comité ISO, esta siendo elaborada con el objetivo de la certificación usando este tipo de evaluaciones.




CMMI es una norma dirigida a grandes empresas o que requieren requisitos de calidad muy altos. Su certificación consiste en verificar y puntuar en que nivel de madurez se encuentra la organización. Está especialmente indicada para empresas cuyos procesos de software se realizan en paises fuera de sus oficinas centrales o en organizaciones que ofrecen el off-shoring/outsourcing del desarrollo de software. La realidad es que para pequeñas empresas la norma resulta costosa y poco productiva. En 2009 en España había más de 180 empresas certificadas 

Este artículo ha sido elaborado a partir de diversas fuentes. INTECO, Portal ISO 155404 en español, grupo Linkedin Spice España y latinoamerica, Página oficial de Spice, PathFinder Scheme, Entreprise Spice

Certificaciones calidad software ISO 15504 CMMI SCRUM


Para saber más
Si te ha gustado el artículo y quieres saber más sobre la temática que trata, te invitamos a que leas más sobre CALIDAD EN EL CICLO DE VIDA DEL SOFTWARE







TEMAS EN CALIDAD TIC

ISO 27001 Implantación certificación
Gestión de servicios TI, ISO 20K, ITIL
Riesgos e incidentes de seguridad
Protección de datos personales, LOPD
Seguridad en redes sociales
La calidad en el ciclo de vida del software
Esquema Nacional de Seguridad

MATERIAL ELABORADO POR

Toni Martín-Avila
Consultor y auditor ISO 27001, ISO 20000, ISO 15504
www.IT360.es doITsmart.es
@IT360es


ULTIMOS ARTICULOS PUBLICADOS

Aprobada por el Parlamento Europeo la nueva Ley y Reglamento de Protección de datos personales.
publicado el 13/03/2014
Por qué las empresas incumplen la LOPD
publicado el 28/09/2011
La Trazabilidad, ese gran olvidado en la ISO 27001
publicado el 30/12/2010
Sostenibilidad TIC: No es cloud todo lo que reluce
publicado el 12/11/2010
La sanidad pública española no cumple la LOPD
publicado el 13/10/2010
El Aseguramiento de la calidad en ISO 27001
publicado el 12/10/2010
Certificaciones y normativas de calidad en software
publicado el 25/09/2010
Esquema ISO 27001 Controles sobre la Política de Seguridad de la Información
publicado el 24/09/2010
El modelo PDCA en ISO 20000
publicado el 14/09/2010
Aplicacion del Esquema Nacional de Seguridad – ENS
publicado el 11/09/2010
Todas las medidas del Esquema Nacional de Seguridad. Mindmap interactivo
publicado el 19/08/2010
El Esquema Nacional de Seguridad. Una visión global
publicado el 03/08/2010
¿A quién está dirigido el ENS?
publicado el 03/08/2010
Definición del concepto seguridad de la Informacion
publicado el 26/05/2010
IT360.es - Gestión de servicios IT/ ISO 20000. turisTEC Palma de Mallorca. Documentación de la presentación
publicado el 17/04/2010
Construye relaciones beneficiosas con tu proveedor tecnológico
publicado el 01/04/2010
Comparación de las normas SAS 70 e ISO/IEC 27001:2005
publicado el 05/03/2010
La calidad en el marco del software
publicado el 17/02/2010
En ocasiones veo... datos personales
publicado el 01/02/2010
Las denuncias ante la Agencia Española de Protección de datos crecen como el paro
publicado el 29/01/2010
Encuesta LOPD en la empresa turística
publicado el 15/01/2010
No envíes una foto en bikini
publicado el 09/01/2010
Mr Bean y la seguridad de la Informacion
publicado el 05/01/2010
LOPD al grano. 5 aspectos clave para un hotel
publicado el 29/12/2009
El enfoque por procesos en la gestión de la seguridad de la información, ISO 27001 process aproach
publicado el 26/12/2009
Viaja a USA y tus datos personales, los más sensibles, irán contigo para quedarse alli.
publicado el 06/12/2009
Jornada informativa sobre seguridad de la informacion y la certificación ISO 27001
publicado el 11/11/2009
Cinco ideas prácticas para pasar a la acción en la empresa 2.0
publicado el 25/10/2009
Ha cambiado el concepto de privacidad
publicado el 23/09/2009
Los blogs también deben cumplir ciertas leyes
publicado el 20/09/2009
La familia ISO 27001 crece. ISO 27799, un paso más en la Seguridad de la Información del sector sanidad
publicado el 27/05/2009
Mi gran amigo Paco
publicado el 17 de abril de 2009
Google,las caritas y la dichosa LOPD
publicado el 20 de marzo de 2009
Por que un marco juridico en Internet?
publicado el 6 de marzo de 2009



2014 - IT360.es
Toni Martin-Avila
suscripcion RSS Perfil de empresa en LinkedinSíguenos en TwitterSíguenos en facebookSíguenos en Delicious