CMMI

Universidad Politcnica de Madrid Facultad de Informtica Estudios de Doctorado
DESARROLLO DE PROCESOS DE GESTIN DE SERVICIOS DE EXPLOTACIN SIGUIENDO EL MODELO CMMI
Alumno:
Sr. Juan Raggio Prez

jraggio@endesa.es
Tutor:
Sr. Toms San Feliu Gilabert

tsanfe@fi.upm.es
Gestin de Servicios de Explotacin bajo CMMI
INDICE
1 2 3 INTRODUCCIN ........................................................................................... 3 SERVICIOS DE EXPLOTACIN ...................................................................... 4
2.1 3.1 3.2 3.3 APROXIMACIN A LOS SERVICIOS DE EXPLOTACIN.........................................4 COBIT .................................................................................................................................. 7 EL MODELO ITIL (IT Infrastructure Library) ............................................................. 15 MOF (MICROSOFT OPERATIONS FRAMEWORK) ........................................................ 22 ESTRUCTURA CMMI POR ETAPAS ................................................................................. 28 NIVELES DE MADUREZ CMMI ...................................................................................... 31 CMMI EN LA GESTIN DE SERVICIOS DE EXPLOTACIN ........................................ 43
MODELOS PARA GESTIONAR LA EXPLOTACIN DE LOS SISTEMAS DE TI ..... 7
CMMI MODELO DE GESTIN PARA LOS SERVICIOS DE EXPLOTACIN .... 27

4.1 4.2 4.3
5 6 7 8
CONCLUSIONES ......................................................................................... 49 ANEXO A LEY SARBANES OXLEY ........................................................... 51 ANEXO - B SIX SIGMA ............................................................................. 59 REFERENCIAS ............................................................................................ 61
Pg. 2 de 61
1 INTRODUCCIN
La necesidad de disponer de unos servicios de explotacin alineados con los requerimientos del negocio, se ha vuelto un requisito dentro de las organizaciones. Adems si aadimos el hecho de una posible externalizacin de estos servicios, estaremos ante un conjunto de actividades que, de alguna forma, deben ser controlados bajo un modelo o esquema. Otro ejemplo de la importancia que tienen los servicios de explotacin para las organizaciones y para los organismos externos, lo podemos encontrar en el modelo que ha generado ISACA para el cumplimiento de la Ley Sarbanes Oxley en el mbito de los sistemas de informacin, modelo que se presenta en uno de los Anexos de este documento. La lnea que sigue este documento es la exponer la complejidad y heterogeneidad de los servicios de explotacin, a travs de un listado de servicios tomados de una operativa real y de los modelos que existen y que implementados desde distintos mbitos o entornos se utilizan para el control y gestin de los mismos. Posteriormente se presenta el modelo CMMI como paradigma de la gestin de los servicios de explotacin para el que hacer a travs de su transicin desde una orientacin software a una hardware y para el como hacerlo mediante su conjuncin con otros esquemas o modelos.
Pg. 3 de 61
2 SERVICIOS DE EXPLOTACIN
2.1 APROXIMACIN A LOS SERVICIOS DE EXPLOTACIN
La siguiente lista presenta un amplio conjunto de servicios que quedan dentro del mbito de lo que se considera la explotacin de los sistemas de TI:
SERVICIOS DE HELP DESK El Servicio de Help Desk proporciona un punto nico de contacto para los requerimientos de usuario de los usuarios finales receptores de servicios. Cualquier usuario final, ante cualquier tipo de incidencia o consulta informtica relacionada con los servicios que le pueda surgir, se podr poner en contacto con el help-desk, bien a travs de un portal web, bien telefnicamente. En ambos casos el help-desk ser el encargado de resolverla o bien de distribuirla a los grupos de solucin que corresponda, gestionando el seguimiento de la incidencia hasta su solucin y cierre. SERVICIO DE INFORMACIN AL USUARIO El objetivo de este servicio es proporcionar un medio para informar a todos los usuarios sobre las novedades, incidencias, indisponibilidades y eventos varios, relacionados con los servicios, ajustndose a los requerimientos acordados. GESTIN Y CONTROL DE SISTEMAS Este servicio fija la utilizacin de procedimientos y disciplinas para gestionar los sistemas de informacin. El Manual de Procedimientos contendr, entre otros, los siguientes procedimientos para la gestin y control de los sistemas: Gestin de la disponibilidad. Es el proceso de coordinacin de la informacin, de las herramientas y de los procedimientos correspondientes necesarios para maximizar la disponibilidad del Servicio. Gestin de la capacidad. Es el proceso de desarrollo y mantenimiento de los planes tcticos y estratgicos que posibilitan, mediante el seguimiento continuado de los entornos operativos, la verificacin de que stos se ajustan a las necesidades de negocio. El objetivo principal de este proceso es el uso eficiente de los recursos de TI. Servicios de Gestin de espacio y almacenamiento. El objetivo de este proceso es el uso eficiente del espacio de los dispositivos de almacenamiento, maximizando su utilizacin. Gestin de cambios. Proceso de recepcin, evaluacin, aprobacin, planificacin, prueba, coordinacin, ejecucin, verificacin y control de los cambios que afectan a la prestacin de servicios y a los entornos operativos. El objetivo principal de este proceso es asegurar que los cambios se realizan de forma correcta, en el plazo programado, con los recursos previstos y con el mnimo impacto en el servicio. Gestin de la configuracin. Es el proceso que regula tanto los cambios en la configuracin de las mquinas y del software como el mantenimiento de los esquemas de configuracin de los sistemas. El objetivo principal de este proceso es facilitar la integracin de actividades de configuracin a travs de plataformas y tecnologas. Gestin de rendimiento. Proceso de control, evaluacin, anlisis y elaboracin de informes sobre el rendimiento de los sistemas en comparacin con los Niveles de Servicio. El objetivo principal de este proceso es mantener el ptimo funcionamiento y rendimiento de los recursos de TI. Gestin de incidencias. El objetivo de este proceso es la identificacin, registro, seguimiento, coordinacin entre los grupos de resolucin y correccin de los elementos que afectan a la prestacin de los distintos servicios. Gestin de problemas. El objetivo de este proceso es la identificacin, registro, seguimiento, resolucin y correccin de las causas-origen del problema que afectan a la prestacin de los servicios. Gestin de copia y recuperacin. Este proceso cubre la planificacin, prueba e implementacin de estndares y procedimientos de copia y restauracin, as como de recuperacin, requeridos para prestar de la manera acordada un servicio de IT en caso de fallo. El objetivo de este proceso es garantizar la recuperacin consistente de los sistemas, subsistemas y aplicaciones.
Pg. 4 de 61
SOPORTE Y MANTENIMIENTO DE SISTEMAS Soporte de Bases de Datos. Diseo fsico, instalacin, mantenimiento y administracin de las bases de datos. Soporte de Hardware. Estandarizar las tareas de instalacin, mantenimiento y desinstalacin del hardware objeto del servicio. Soporte de Software. Soporte asociado a los sistemas y subsistemas operativos, compiladores, bases de datos, lenguajes de programacin, productos y herramientas operativas necesarias para la prestacin del servicio. Adicionalmente, el proceso de Soporte de Software gestiona las peticiones de distribucin de Software y mantiene los repositorios correspondientes. Asegura tambin el correcto control de las diferentes versiones del Software.
OPERACIN Y MONITORIZACIN DE LOS SISTEMAS. Control de las Operaciones Batch. Este proceso tiene por objetivo gestionar las operaciones de los trabajos por lotes, incluyendo la planificacin y preparacin de los recursos, jobs y ficheros involucrados. Incluye tambin los controles para monitorizar los trabajos y la obtencin de copias de seguridad en los puntos oportunos. Control de Entorno de Impresin. Tiene por objetivo la gestin de las colas y subsistemas de impresin para la ejecucin de las tareas de impresin. Esto implica asegurarse de que las impresoras estn operativas. Control de Operaciones con Cintas. El proceso de Control de Operaciones con Cintas tiene por objetivo controlar los recursos de cintas magnticas y los inventarios de medios magnticos. Monitorizacin de Operaciones. Su objetivo es mantener la vigilancia continua sobre la disponibilidad y estado de los recursos (infraestructura TI, Infraestructura de Red, Sistemas, Subsistemas y aplicaciones que permitan la monitorizacin automtica), con el fin de informar, registrar y actuar de forma proactiva y reactiva ante eventos que puedan afectar al Servicio. Mejora de operaciones. Su objetivo es el soporte efectivo y eficiente de los procesos operacionales proporcionando informacin para la mejora continua de los mismos. SOPORTE A ACTIVIDADES DE PREPRODUCCIN, DESARROLLO Y PRUEBAS Gestin de los entornos de Pre-produccin, Desarrollo y Pruebas de todos los sistema, y soporte tcnico a los equipos de desarrollo y mantenimiento de las aplicaciones. SERVICIO DE ELABORACIN DE INFORMES El objetivo de este proceso es proporcionar los informes necesarios para: realizar el seguimiento de los servicios contratados y cumplimiento de los ANS acordados, obtener informacin sobre los servicios estructurada de tal manera que pueda ser valiosa para el seguimiento del negocio y el funcionamiento de las distintas unidades. SERVICIO DE CONSOLIDACIN Y REUBICACIN Instalar, readaptar y reubicar las mquinas segn se estime necesario para realizar las actividades de acuerdo con los Niveles de Servicio, y sin que se cause perjuicios en las operaciones de negocio.
Pg. 5 de 61
SERVICIO DE SEGURIDAD Desarrollo de un documento detallado que definir los controles de seguridad acordados y que recoger, entre otra informacin, la relacin de responsabilidades y las medidas de seguridad a fijar. Gestin de la Seguridad. Revisin de las polticas y procedimientos de seguridad para comprobar su efectividad y recomendar mejoras. Seguridad Fsica. Asegurar los controles de seguridad fsica. Control de acceso lgico. Gestin de controles de seguridad lgica Seguridad en la Red de rea Local y WAN. Gestin de la seguridad en los elementos de electrnica de red (switches, routers, hubs) y cableado de la red de rea local y red WAN. OTROS SERVICIOS. Tecnologa. Su objetivo es revisar las propuestas de proveedores que afecten a la prestacin de los servicios para facilitar la compatibilidad de los sistemas existentes y futuros con los estndares cambiantes de la industria. Relacin con el Proveedor y Valoracin de Productos. Su objetivo es disponer de informacin actualizada de los ltimos desarrollos tecnolgicos de los productos, de mano de los proveedores de telecomunicaciones y de servicios o productos. Reuniones de Revisin de los Servicios. Mantener reuniones de revisin con los proveedores de los servicios. SERVICIOS DE MICROINFORMTICA. Gestin de inventario de equipos. Su objetivo es el registro, mantenimiento y disponibilidad de la informacin correcta acerca del hardware y del software instalado en los equipos. Gestin de incidencias (soporta a usuarios). Se identificar la fuente de las incidencias, aportar una solucin. y se
Servicio de Mantenimiento del Hardware. Instalacin, configuracin, cambio, actualizacin y desinstalacin de componentes hardware. Gestin de Backup y Recuperacin de Servidores. backup de los Servidores del Entorno Microinformtico con herramientas, de forma remota y centralizada en la medida de lo posible. Gestin LAN/WAN WAN. Instalacin, soporte, configuracin, cambio o desinstalacin de todos los elementos que conforman la red LAN/WAN. Homologacin de hardware y software. Se homologar el nuevo software y hardware sobre la plataforma vigente en cada momento.
Esta lista solo pretende dar una visin aproximada del amplio conjunto de actividades que pueden quedar recogidas dentro de lo que se conocen como servicios de explotacin. Hablar de servicios de explotacin resulta complejo dado que es un actividad que en su mas amplia expresin presenta mltiples interacciones con otras actividades de TI, como el desarrollo de software entendido como la construccin de herramientas ad-hoc para la gestin de nuestros sistemas. Es por esto que se observa la necesidad de modelar de alguna forma estos servicios, con el objetivo de permitir su control y mejora continua. Aqu es donde entran esquemas como los proporcionados por COBIT, ITIL, MOF y CMMI.
Pg. 6 de 61
3 MODELOS PARA GESTIONAR LA EXPLOTACIN DE LOS SISTEMAS DE TI

3.1 COBIT
El modelo COBIT (Objetivos de Control para la Informacin y las Tecnologas) promovido desde la Governance, Control and Audit for Information and Related Technology y esponsorizado por la Information Systems Audit and Control Foundation (ISACF), proporciona prcticas sanas a travs de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lgica, para ayudar a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos. COBIT se estructura sobre la base de los siguientes elementos: Resumen Ejecutivo. Es una sntesis ejecutiva que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT. Marco Referencial. Describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI que son impactados de forma directa por cada objetivo de control. Objetivos de Control Detallado. Contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de los 302 objetivos de control detallados y especficos a travs de los 34 procesos de TI. Guas de Auditoria. Herramienta para la aplicacin del Marco Referencial y los Objetivos de Control. Proporcionan una estructura sencilla para auditar y evaluar controles, con base en prcticas de auditoria generalmente aceptadas y compatibles con el sistema COBIT. Guas Gerenciales. Conformada por Modelos de Madurez, Factores Crticos de xito, Indicadores Clave de objetivos e Indicadores Claves de Rendimiento. Proporciona un marco para dar respuesta a la gerencia en aspectos referentes al control y medida de la actividad de IT referente a los 34 procesos de IT.
MARCO REFERENCIAL
Marco referencial sobre la base de tres puntos estratgicos: (1) recursos de TI (2) requerimientos informacin (3) procesos de TI de negocio para la
Pg. 7 de 61
RECURSOS DE TI
Datos. Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Aplicaciones. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. Tecnologa. La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones. Recursos para alojar y dar soporte a los sistemas de informacin. Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.
REQUERIMIENTOS DE NEGOCIO
Requerimientos de Calidad Calidad Costo Entrega (de servicio)
Requerimientos Fiduciarios (COSO) Efectividad & Eficiencia de operaciones Confiabilidad de la informacin Cumplimiento de la las leyes y regulaciones Requerimientos de Seguridad Confidencialidad Integridad Disponibilidad
A partir de estos requerimientos se extraen siete categoras distintas: Efectividad. Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad. Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la informacin. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Pg. 8 de 61
DOMINIOS
Planificacin y organizacin Cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. Adquisicin e implementacin Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Entrega y Soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Monitoreo Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Pg. 9 de 61
La siguiente tabla proporciona una indicacin por proceso y dominio de TI de los criterios de informacin que se ven afectados por los objetivos de alto nivel, as como una indicacin de los recursos de TI que son aplicables.
Pg. 10 de 61
Sobre la base del esquema presentado, intentemos identificar los objetivos de control y objetivos de control detallado para la gestin de los servicios de explotacin de TI: AI - Adquisicin e Implementacin
AI-1 Identificar soluciones
AI-1.1 AI-1.2 AI-1.4 AI-1.5 AI-1.7 AI-1.10 AI-1.12 Definicin de requerimientos de informacin Formulacin de acciones alternativas Requerimientos de servicios de terceros Estudios de factibilidad tecnolgica Arquitectura tecnolgica Diseo de pistas de auditoria Seleccin de software del sistema Evaluacin de nuevo hardware y software Mantenimiento preventivo para hardware Seguridad del software del sistema Instalacin del software del sistema Mantenimiento del software del sistema Controles para cambios del software del sistema Uso y monitoreo de utilidades del sistema Requerimientos Operacionales y Niveles de Servicio Manual de Procedimientos para Usuario Manual de Operacin Material de Entrenamiento Entrenamiento Plan de Implementacin Promocin a Produccin Inicio y Control de Solicitudes de Cambio Anlisis de Impacto Control de Cambios Cambios de Emergencia Documentacin y Procedimientos Mantenimiento Autorizado Poltica de Liberacin de Software Distribucin de Software
AI-3
Adquirir y mantener la arquitectura tecnolgica

AI-3.1 AI-3.2 AI-3.3 AI-3.4 AI-3.5 AI-3.6 AI-3.7
AI-4
Procedimientos de desarrollo y mantenimiento de sistemas

AI-4.1 AI-4.2 AI-4.3 AI-3.5
AI-5
Instalar y acreditar sistemas

AI-5.1 AI-5.3 AI-5.12
AI-6
Administrar cambios
AI-6.1 AI-6.2 AI-6.3 AI-6.4 AI-6.5 AI-6.6 AI-6.7 AI-6.8
DS - Entrega y Soporte
DS-1 Definir Niveles de Servicio
DS-1.1 DS-1.2 DS-1.3 DS-1.4 DS-1.5 DS-1.7 Marco de Referencia para acuerdos de Nivel de Servicio Aspectos sobre los Acuerdos de Nivel de Servicio Procedimientos de Desempeo Monitoreo y Reporte Revisin de Contratos y Acuerdos de Nivel de Servicio Programa de Mejoramiento del Servicio Contratos con Terceros Contratos con Outsourcing Continuidad del Servicios Relaciones de Seguridad Monitoreo Administracin de Desempeo Proactivo Pronstico de Carga de Trabajo Administracin de Capacidad de Recursos Disponibilidad de Recursos Calendario / Programacin de recursos
DS-2
Administrar servicios prestados por terceros

DS-2.3 DS-2.5 DS-2.6 DS-2.7 DS-2.8
DS-3
Administrar desempeo y capacidad

DS-3.5 DS-3.6 DS-3.7 DS-3.8 DS-3.9
Pg. 11 de 61
DS-5
Garantizar la Seguridad de Sistemas

DS-5.3 DS-5.9 DS-5.17 DS-5.19 DS-5.20 Seguridad de Acceso a Datos en Lnea Administracin Centralizada de Identificacin y Derechos de Acceso Proteccin de las funciones de seguridad Prevencin, Deteccin y Correccin de SoftwareMalicioso Arquitecturas de Firewall y conexin a redes pblicas Help Desk Registro de consultas del Cliente Escalado de consultas del Cliente Monitoreo de Atencin a Clientes Anlisis y Reporte de Tendencia Registro de la Configuracin Base de la Configuracin Control de la Configuracin Software no Autorizado Almacenamiento de Software Procedimientos para la Administracin dela Configuracin Contabilidad y registro del Software Sistema de Administracin de Problemas Escalamiento de Problemas Seguimiento de Problemas y Pistas de Auditora Autorizaciones para acceso temporal y de emergencia. Prioridades en Procesos de Emergencia Proteccin de Informacin Sensitiva durante transmisin y transporte Proteccin de Informacin Sensitiva a ser Desechada Administracin de Almacenamiento Perodos de Retencin y Trminos de Almacenamiento Sistema de Administracin de la Librera de Medios Responsabilidades de la Administracin de la Librera de Medios Respaldo y Restauracin Funciones de Respaldo Almacenamiento de Respaldo Manual de Instrucciones y procedimientos de Operaciones de procesamiento Documentacin del Proceso de Inicio y de otras operaciones Calendario / programacin de Trabajos Ejecucin de los Trabajos estndar programados Continuidad de Procesamiento Bitcoras de Operacin Operaciones Remotas
DS-8
Apoyar y asistir a los clientes de TI

DS-8.1 DS-8.2 DS-8.3 DS-8.4 DS-8.5
DS-9
Administrar la configuracin
DS-9.1 DS-9.2 DS-9.4 DS-9.5 DS-9.6 DS-9.7 DS-9.8
DS-10
Administrar problemas e incidentes

DS-10.1 DS-10.2 DS-10.3 DS-10.4 DS-10.5
DS-11
Administrar datos
DS-11.17 DS-11.18 DS-11.19 DS-11.20 DS-11.21 DS-11.22 DS-11.23 DS-11.24 DS-11.25
DS-13
Administrar operaciones
DS-13.1 DS-13.2 DS-13.3 DS-13.4 DS-13.5 DS-13.6 DS-13.8
Como vemos COBIT proporciona un esquema de referencia para abordar esta gestin, pero puede resultar un poco difcil llegar a delimitar las acciones concretas que se deben ejecutar para poner en practica estos objetivos de control. Podemos acudir a las Guas de Auditoria las cuales dan puntos de referencia sobre los aspectos perseguidos con el control pero como su propio nombre indica estn plenamente orientadas hacia la actividad de auditoria. Tambin podemos hacer uso de la Guas o Directrices Gerenciales de COBIT, las cuales ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas
Pg. 12 de 61
organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros que se producen en la organizacin.[1] Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y es el costo justificado para el beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y comparar? Las Guas Gerenciales de COBIT se construyen sobre: Factores Crticos de xito(Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators), los cuales definen los mecanismos de medicin que indicarn a la Gerencia despus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio. Modelos de Madurez, para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar. Los modelos de madurez establecidos por COBIT para cada uno de los 34 Objetivos de Control son:
No existe (0). Ausencia total de procesos reconocidos como tal. La organizacin no ha reconocido la necesidad de su existencia. Inicial /Ad Hoc (1). Existen evidencias de que la organizacin ha reconocido de que existe la necesidad y que se debe trabajar en paliarla. Sin embrago los procesos no estn estandarizados y cada persona realiza y desarrolla su procesos en base a su buen criterio. No existe una visin global de gestin, por lo que la gestin no es organizada. Repetible pero intuitivo (2). Se han desarrollado procesos, a tal nivel que llegan a ser usados por diferentes personas para realizar la misma tarea. La formacin no esta normalizada y por tanto los procedimientos no se comunican de manera formal, por lo que su difusin queda en manos del individuo. Hay un alto grado de dependencia del conocimiento del individuo y por tanto los errores suelen ser comunes. Proceso definido (3). Los procesos estn estandarizados y documentados, y son comunicados a travs de la formacin. Sin embrago son los individuos los que trabajan con estos procedimientos y los que pueden detectar desviaciones en los mismos. Los procedimientos en si no son sofisticados pero son la formalizacin de practicas existentes. Gestionado y medido (4). .ES posible monitorizar y medir el cumplimento de los procedimientos y tomar acciones cuando se observe que los procedimientos no funcionan eficazmente. Los procesos estn bajo constante mejora y proporcionan buenas practicas. La automatizacin y las herramientas son usadas de forma fragmentada y limitada.
Pg. 13 de 61
Optimizado (5). Los procesos han sido refinados hasta el nivel de buenas practicas, basados en los resultados de la mejora continua y modelos de madurez de otras organiaciones. Los sistemas de TI son usados de una forma integra para automatizar el workflow, adems de proporcionar herramientas para mejora las calidad y la eficacia, lo que hace que la empresa se adapte de forma rpida al cambio.
Indicadores Clave de desempeo(Key Performance Indicators), los cuales son indicadores primarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca.
Todo esto pone de manifiesto que si bien el modelo COBIT a travs de sus objetivos de control nos informa de lo que debemos hacer para gestionar los servicios de explotacin an necesitamos de algn otro modelo, como ITIL, que nos indique el como.[2]
Pg. 14 de 61
3.2 EL MODELO ITIL (IT Infrastructure Library)

Information Technology Infraestructure Library, en adelante ITIL, surge como modelo desde la CCTA (UK) orientado hacia la gestin de las operaciones y servicios de los sistemas y tecnologas de la informacin y comunicacin (Information and Communications technology Systems - ICT). Este modelo est solidamente establecido en Europa, Australia y USA. ITIL es un marco de buenas practicas documentadas de forma abstracta, con el objetivo de poder ser aplicadas en cualquier organizacin de TI. Est especficamente desarrollado para los servicios de mantenimiento y operacin de TI, y proporciona objetivos de servicio adems de actividades e indicadores clave de servicio. El marco de actuacin de ITIL queda representado en le siguiente grafico.
CLIENTES
EL NEGOCIO
USUARIOS
SERVICIOS
GESTIN DEL SERVICIO GESTION DE LA APLICACIN

SERVICIO ENTREGADO GESTIN DEL NIVEL DE SERVICIO GESTIN DE LA CAPACIDAD GESTIN FINANCIERA GESTIN DE LA DISPONIBILIDAD CONTINUIDAD DEL SERVICIO SERVICIO SOPORTADO SERVCIO DE ESCRITORIO GESTIN DE INCIDENTES GESTIN DE PROBLEMAS GESTIN DE LA CONFIGURACIN GESTIN DEL CAMBIO GESTIN DE VERSIONES
GESTIN DE LA INFRAESTRUCTURA DE ICT

DISEO Y PLANIFICACIN DESARROLLO OPERACIONES
SOPORTE TCNICO
SOCIOS (partners)
TECNOLOGA
Pg. 15 de 61
Si vemos los servicios de explotacin como el conjunto de actividades y el mantenimiento diario de los de los sistemas y tecnologas de la informacin, entonces asimilamos estas actividades al proceso de Operaciones del ICT Infrastructure Management (ICTIM) recogido en ITIL. Dentro de ICTIM, el proceso de Operaciones asegura la efectividad en la gestin operacional de las tecnologas e infraestructuras, al recoger todas las actividades y medidas que permiten y mantiene el uso de los sistemas de informacin y telecomunicaciones. ITIL define el proceso de Operaciones como: Todas las actividades y medidas necesarias para habilitar y/ mantener el optimo uso de los sistemas y tecnologas de la informacin y comunicacin con el propsito de alcanzar los Acuerdos de Nivel de Servicio y objetivos de negocio fijados. ITIL ve a todos los procesos como un conjunto de entradas que bajo la aplicacin de un determinado conjunto de funciones provocan unas salidas,. Adems considera estas funcionas sujetas a un ciclo de mejora continuo con el objeto de mantenerlas alineadas a las necesidades cambiantes del negocio:
NORMALIZAR
COMPARAR
CONTROL
MONITORIZAR
Input
FUNCION
Output
Pg. 16 de 61
CONCEPTOS BSICOS EN ITIL PARA EL PROCESO DE OPERACIONES Objeto Gestionado (Managed Object) Un Objeto Gestionado (MO) es para el modelo de gestin del Open Systems Interconneection (OSI) un recurso que esta sujeto a gestin. Un MO es la representacin de un recurso de infraestructura tcnica a ser gestionado.. Un MO se define en base a los atributos que posee, las operaciones que puede realizar, las notificaciones que puede dar y las relaciones que puede establecer con otro MO. Dominio de Gestin (Management Domain) Un dominio de gestin es un conjunto de MO, al los que se les puede aplicar un conjunto comn de Polticas de Sistemas de Gestin. Un dominio de gestin posee al menos dos de las siguientes propiedades: - Un nombre nico. - Identificacin de una coleccin de MO, los cuales son miembros del dominio. - Identificacin de relaciones inter-dominios aplicables a las relaciones de un dominio con otro (reglas, practicas, procedimientos).
OBJETIVOS PRINCIPALES DE ITIL PARA EL PROCESO DE OPERACIONES Operar, gestionar y mantener un esquema de infraestructura tecnolgica de sistemas de informacin y comunicaciones de principio a fin que facilite la entrega de los servicios de ICT al negocio, y que suponga la comunin entre los requerimientos y objetivos acordados. Asegurar que la infraestructura de ICT es fiable, robusta, segura, consistente y posibilita la eficiencia y efectividad de los procesos de negocio de la organizacin. Asegurar que todas los requerimientos operacionales de los proceso de ICT estn cubiertos y proporcionan un nivel de servicio operacional en lnea con los Acuerdos de Nivel de Servicio fijados.
ALCANCE DE ITIL PARA EL PROCESO DE OPERACIONES: Entrada La infraestructura de ICT. Acuerdos de Nivel de Operacin (OLA1), los cuales fijan y documentan los objetivos y requerimientos para la infraestructura de ICT. Es crucial que estos acuerdos estn soportados por Acuerdos de Nivel de Servicio (SLA2). Contratos consistentes y que incluyan Acuerdos de Nivel de Servicios.
OLA (Operational Level Agreement - Acuerdo de Nivel de Operaciones); es un acuerdo interno que contempla los servicios que dan soporte a la organizacin de TI para que sta a su vez proporcionen servicios a terceros.
SLA (Service Level Agreement - Acuerdo de Nivel de Servicio); acuerdo establecido entre TI y los clientes a los que presta el servicio.
Pg. 17 de 61
Procesos y procedimientos operacionales. Estrategias, planes, polticas, estndares y arquitecturas.
Procesos Eventos, avisos, alertas y alarmas a ser procesadas y gestionadas: - Progreso y resolucin de todos los mensajes de eventos, avisos, alertas y alarmas. - Relacin con la gestin de incidentes y problemas. - Relacin con la disponibilidad, seguridad y gestin de la capacidad. Gestin total de la infraestructura operacional de ICT: - Rendimiento y configuracin adaptada a la infraestructura operacional en conjuncin con la Gestin de la Capacidad y la Gestin del Cambio. - Configuracin y reconfiguracin de los Objetivos de Gestin (MO). - Adaptacin del Sistemas y rendimiento. Planificacin de la Carga De Trabajo: - Planificacin de la gestin y mantenimiento de los Procesos Batch. - Gestin de la impresin y de los datos de salida. Revisin y Mantenimiento: - Backups y restauracin. - Mantenimiento de la infraestructura de ICT. - Administracin de las bases de datos. - Mantenimiento de la documentacin. - Disponibilidad, y test de esfuerzo y recuperacin. - Chequeo de la salud de la infraestructura. - Revisin de logs. Gestin del Almacenamiento: - Mantenimiento de los datos y de los ficheros del sistema. - Gestin y Administracin de las bases de datos. - Gestin de medios. - Revisin de logs. - Gestin y planificacin de Backups. - Reportes de uso. Relacin con las otras reas de ICT, especialmente con la Soporte Tcnico, el soporte externalizado, y los ingenieros y tcnicos de mantenimiento. Proactividad para la mejora de los procesos de operaciones bajo la Gestin de Control de Cambios.
Entregables Una estable y segura infraestructura de ICT.
Pg. 18 de 61
Una Librera de Documentos segura que contenga el detalle de todas los procesos operacionales. Un log o base de datos de todas los eventos, alertas y alarmas operacionales. La mayora de estos debera alimentar al proceso de Gestin de Incidencias y ser recogidos como incidentes. Un conjunto de scripts operacionales. Un conjunto de trabajos operacionales para todos los trabajo batch, gestin de la impresin y calendario de backups de datos y ficheros del sistema. Gestin de reportes y de la informacin. Reporte de las revisiones por excepcin. Reporte de auditoria para la eficiencia, efectividad y cumplimiento.
IMPLICACIONES DE LA GESTIN DE PROCESOS DE OPERACIONES EN ITIL Control y gestin operacional de los servicios, componentes y sus configuraciones: - Instalacin. - Desinstalacin. - Distribucin. - Control de la Operacin. - Desarrollo y mantenimiento de un conjunto de herramientas para la gestin operacional. - Configuracin y reconfiguracin. - Procesos de mantenimiento preventivo. - Inventario y Mantenimiento. Gestin de todas los eventos de la infraestructura de ICT: - Monitorizar eventos. - Deteccin de eventos. - Registro (log) de eventos. - Examen y filtrado de eventos. - Procesado, correlacin y escalado de eventos. - Resolucin de eventos. - Cierre de eventos. - Gestin del ciclo de vida de los eventos. - Agrupado de eventos. - Reporte de eventos. Gestin y planificacin de las cargas de trabajo y de las salidas: - Planificar las cargas de trabajo y su gestin. - Planificacin y gestin de las salidas de datos y de impresin. - Control y Distribucin segura de los datos de salida. - Planificacin de las pruebas de carga y de los test de fallo. Gestin del almacenamiento, de backups y de los procesos de restauracin:
Pg. 19 de 61
Gestin del almacenamiento y su ubicacin. Sistemas de backup y restauracin. Gestin de la informacin. Gestin y Administracin de las bases de datos.
Gestin y control de todos los aspectos de la seguridad operacional de ICT: - Monitoreo de la seguridad. - Control de la seguridad tanto fsica como lgica. Gestin de los procesos de soporte operacional: - Mantenimiento de la documentacin operacional - Recogida de todo tipo de informacin y logs relacionados con la operacin de ICT. - Anlisis de la informacin. - Scripting. Proactividad en la gestin operacional de los procesos: - Revisin de los procesos relacionados con la operacin en la bsqueda de la eficiencia, la eficacia y el cumplimiento. - Auditoria interna o externa de todos los procesos operacionales. - Instigar la accin para buscar remedios y mejoras en la infraestructura operacional. - Instigar la accin para buscar remedios y mejoras en los procesos operacionales. - Adaptacin operacional.
TCNICAS, HERRAMIENTAS Y TECNOLOGAS Tcnicas Centro de Operaciones, en el que se integren procesos, personas y productos del rea de operaciones y del rea de gestin de incidentes. Anlisis de eventos y tendencias. Revisiones y valoraciones internas. Benchmarking Externo. Proceso de mejora continua.
Herramientas Herramientas para la gestin de sistemas y redes. Herramientas para la gestin del entorno. Herramientas para la gestin del servicio, de aplicaciones y de bases de datos. Herramientas de diagnostico.
Pg. 20 de 61
Herramientas de planificacin. Herramientas par al agestin del almacenamiento. Herramientas para la mejora del rendimiento. Herramientas para la gestin del servicio.
Las Tecnologas Cada vez que se incorpore una nueva tecnologa, Operaciones debe trabajar con otras reas de proceso durante el testeo de la misma, con el objetivo de: Asegurar que cualquier sistema nuevo pasa los criterios operacionales de aceptacin, con el objetivo de alcanzar de manera holgada sus requerimientos operativos. Se deben desarrollar nuevos soportes o material de gestin, procesos y procedimientos, antes y durante el despliegue de la nueva tecnologa. Se deben desarrollar caractersticas y conocimientos nuevos, para soportar las nuevas tecnologas. Esto se puede conseguir de manera formal a travs de la formacin o del propio entrenamiento que proporciona el trabajo.
ROLES OPERACIONALES Gestor de los Servicios en Produccin / Gestor de Operaciones / Jefe de Turno. Analista de Operaciones. Gestor de Almacenamiento y Backups. Analista de Planificacin. Administrador de Bases de Datos.
Como se constata ITIL presenta un modelo muy completo, en que detalla no solo las actividades a desarrollar sino que las enlaza con las posible entradas o elementos de partida y con los objetivos que se pueden alcanzar (entregables). ITIL tambin documenta las tcnicas , herramientas y considera el factor tecnologa como algo a valorar dentro de sus esquema, adems de detallar el conjunto mnimo de roles necesarios para el desarrollo con garantas de los procesos.[3]
Pg. 21 de 61
3.3 MOF (MICROSOFT OPERATIONS FRAMEWORK)

MOF es un marco de referencia que adopta y se adapta al modelo ITIL, modelo ste generalmente aceptado como el que aglutina las mejores prcticas de operaciones dentro de IT. Las visin de MOF es crear una probada y completa gua de operaciones para alcanzar fiabilidad, disponibilidad, soportabilidad y operatividad en sistemas de misin crtica en produccin sobre la plataforma de productos Microsoft. MOF tambin presenta un Modelo de Madurez el cual fija la situacin actual de los procesos y sirve de referencia en la actividad de mejora. El Modelo de Madurez MOF se base en los siguientes niveles:
Madurez 0 - Incompleto (no existe). La funcin no se realiza o se encuentran problemas para realizar las practicas bsicas y no es posible identificar los entregables del proceso. En resumen: No se realiza. No hay evidencia de resultados. Madurez 1 Realizado (informal). Las practicas bsicas se realizan pero sin documentarse y seguirse formalmente. El rendimiento depende del conocimiento y esfuerzo individual. Existen entregables identificados. En resumen: Acuerdo general (implcito/explicito) de que se realiza. De algn modo se identifica la practica y los resultados, aunque no se haga seguimiento de los mismos. Madurez 2 Gestionado (documentado). Se llevan a cabo las practicas bsicas de cada proceso de forma planificada, documentada y controlada. Se verifica que se trabaja de acuerdo a los procedimientos. Los entregables se adaptan a estndares y requerimientos. En resumen: Roles y responsabilidades identificados. Parmetros de tiempo de respuesta y calidad definidos. Proceso planificado y registrado. Entregables del proceso identificados y documentados (resultados estandarizados). Madurez 3 - Establecido (procedimentado). Las practicas bsicas se realizan de acuerdo a procesos bien definidos, documentados y aprobados. Se planifica y gestiona haciendo uso de procedimientos estndares para toda la organizacin. En resumen: Proceso definido, documentado y aprobado. Existen lista de distribucin y plantillas para los informe que se generan. Utilizar herramientas y recursos de apoyo al proceso. Madurez 4 - Predecible (medido). Se recogen y analizan medidas detalladas del rendimiento, lo que conduce a una comprensin cualitativa de la capacidad del procedimiento y a una mejora en la capacidad de prediccin del rendimiento. El rendimiento es gestionado objetivamente. En resumen: Ejecucin consistente en todos los casos. Resultados medidos y analizados (mtricas de la funcin). Mtricas de la calidad. Desempeo predecible. Madurez 5 - Optimizado (adaptable). Se establecen objetivos cuantitativos de efectividad y eficacia del rendimiento basados en los objetivos del negocio. La mejora continua del proceso es posible gracias a la realimentacin cuantitativa obtenida del rendimiento de los procesos definidos. En resumen: Objetivos de desempeo definidos para el proceso. Efectividad del proceso medida segn los objetivos del negocio.
Pg. 22 de 61
Se aplican mejoras en los procesos no eficaces. Desempeo optimizado en lnea con los objetivos del negocio.
Madurez, y en las que para cada funcin MOF se informa de su estado.
Para el control de la actividad de mejora MOF usa lo que se conocen como Matrices de
Proceso
M atriz de M adurez
Nivel de M adurez del Proceso
A partir del estado actual y como herramienta de ayuda para alcanzar el nivel objetivo deseado se dispone de Guas, que recogen lo conocido como Actividades Bsicas, las cuales presentan las siguientes caractersticas: - Son actividades que tiene que ser realizadas para llevar a cabo la funcin. - Forman un subconjunto de las mejores practicas. - Estn compuestas por tareas. - Estn en el nivel de Madurez 1.
El modelo de proceso MOF para los servicios de explotacin es el siguiente:

Revisin de preparacin
Gestin e la capacidad Gestin de la Disponibilidad Gestin de costes Gestin fuerza de trabajo Planificar Contingencia Gestin de Niveles de Servicio Gestin de la Configuracin Gestin de la puesta en produccin Gestin del cambio
Optimizacin
Cambio
Revisin de Acuerdo de Servicio
Revisin de Post-Implementacin
Soporte
Help Desk Gestin de Problemas Fallover & Recovery
Operacin
Adm. de sistemas Monitorizacin y control Adm. Servicios Directorio Adm. Seguridad Adm. de Redes Adm. de Almacenamiento Supervisin de trabajos automatizados
Revisin de Operaciones
Pg. 23 de 61
CAMBIOS
Misin Objetivos Claves Introduccin efectiva de cambios aprobados en el ambiente de TI de forma rpida y con mnima interrupcin del servicio. Respuesta efectiva a necesidades y demandas del negocio. Mantenimiento de entornos gestionados en un estado conocido. Gestin del cambio como un paquete cuantificable y cualitativo. Despliegue fluido de nuevos servicios seguros.
OPERACIONES
Misin Objetivos Claves Ejecutar y monitorizar, de forma eficiente, las tareas y actividades operativas diarias requeridas para administrar un servicio de TI. Alcanzar y mantener los niveles de servicio acordados en los acuerdos de servicio (SLA y OLA). Asegurar que los estndares, procesos y procedimientos de operaciones se aplican a las soluciones de servicio. Respuesta PROACTIVA a condiciones cambiantes ANTES de que ocurran incidentes de soporte. Automatizar, automatizar, automatizar.
SOPORTE
Misin Objetivos Claves Resolucin a tiempo de incidentes problemas, errores y consultas dentro de los acuerdos de servicio establecidos. Integrar los procesos, procedimientos y herramientas, as como el staff requerido para identificar, priorizar, asignar, diagnosticar, controlar y resolver: incidentes, problemas, errores, requerimientos y consultas. Proveer una comunicacin clara y concisa con el cliente. Balancear la auto ayuda con la asistencia in-situ. Mecanismos de help-desk internos y externos completamente coordinados Procedimientos inteligentes- de recuperacin.
OPTIMIZACIN
Misin Objetivos Claves Optimizar (reducir) costos y al mismo tiempo mantener y mejorar los niveles de servicio. Examinar las estructuras de costos, evaluaciones de staff, anlisis de disponibilidad y anlisis de capacidad y prospeccin Planificacin de contingencia Identificar los requerimientos para csarios para dar respuesta a cambios en las necesidades del negocio.
Pg. 24 de 61
Para este modelo de proceso la Matriz de Madurez podra ser la siguiente:
Control y Monitorizacin de Servicios
Madurez 5 - ADAPTABLE Madurez 4 - MEDIBLE Madurez 3 - PROCEDIMENTADO Madurez 2 - DOCUMENTADO Madurez 1 - INFORMAL Madurez 0 - NO EXISTE Evaluacin Global 0,5 0,5
1 0 1 0,5 0,5 0,5 1 1 1 1 0,5 0,5 0,5 1,5 0
De esta evaluacin, podran surgir las siguientes conclusiones: La mayora de las funciones de gestin de servidos se realizan de una u otra forma. Existe mucha voluntad para mantener los niveles de disponibilidad, aunque esto implique exceso en la carga de trabajo No estn formalizadas las actividades que se realizan. La documentacin existente, es de difcil acceso debido a su dispersin. Se carece de canales de revisin y aprobacin de documentos, generando falta de fiabilidad en cuento a su vigencia. Las empresas externalizadas usan herramientas distintas que las nuestras para distintas actividades, lo que genera dificultadas de integracin y en ocasiones duplicidad del trabajo. Las labores de soporte se realizan de forma puramente reactivas.
Pg. 25 de 61
Gestin de continuidad de Servicio
Adm. de Servicios de Directorio
Gestin de centro de Servicios
Gestin de Nivel de Servicio
Gestin de Almacenamiento
Gestin de Configuraciones
Gestin de Disponibilidad
Gestin de Incidencias
Gestin de Problemas
Gestin de Capacidad
Gestin de Versiones
Gestin del Cambio
Adm. de Seguridad
Gestin Financiera
Adm. De Sistemas
Adm. de Red
Y de estas conclusiones podran surgir planes de revisin, tales como: Revisin de Versin Lista
Objetivo Determinar el nivel de preparacin de las operaciones y el personal de soporte, as como la habilidad para instalar y dar soporte a una versin dentro de los niveles de servicio acordados. Puntos clave de evaluacin Grado de preparacin de la versin mediante pruebas y mtricas de control de calidad. Grado de preparacin del staff de soporte. Disponibilidad de los procesos recurridos. El plan de instalacin / implementacin. El plan de contingencia. Impactos potenciales sobre otros sistemas.
REVISIN DE OPERACIONES
Objetivo Mejorar las efectividad de las operaciones diarias asociadas a soluciones de servicio particulares. Y la retencin de conocimiento corporativo. Puntos clave de evaluacin Revisin operacional de punta a punta. Adherencia a los requerimientos de los SLA/OLA. Oportunidades de eficiencia. Cambios en procedimientos, automatizacin. Cantidad de personal y requerimientos de pericias. Retencin de conocimiento. Capturar conocimiento (know-how) critico de operaciones.
REVISIN DE NIVELES DE SERVICIO

Objetivo Evaluar y mejorar la alineacin de las necesidades del negocio versus los servicios de TI utilizando un conjunto aprobado de criterios para una solucin de servicio. Puntos clave de evaluacin Niveles de servicio alcanzados versus los requeridos. Costo del servicio. Satisfaccin del cliente (expectativas de la gerencia). Requerimientos de negocio cambiantes.
Como vemos este modelo parte de una anlisis previo de como se gestiona el proceso, para posteriormente y tras haber detectado las carencias y planteado el nivel que se quiere alcanzar, definir los planes de accin necesarios. El modelo MOF como los anteriores busca que el rea de TI pase de ser una organizacin reactiva, con mucha presin a una organizacin de servicio, proactiva, con tiempos de respuesta rpidos y enfocada al servicio del cliente.
Pg. 26 de 61
4 CMMI MODELO DE GESTIN PARA LOS SERVICIOS DE EXPLOTACIN

El Capability Maturity Model Integration (en adelante CMMI) es una fusin de modelos de mejora de procesos para ingeniera de sistemas, ingeniera del software, desarrollo de productos integrados y adquisicin del software. Fue creado por el Software Engineering Institute (SEI - Instituto de Ingeniera del Software) de la Carnegie Mellon University con el objetivo de extender y combinar la gran cantidad de modelos creados por el SEI, entre otros, el Capability Maturity Model3 for Software (SW-CMM), el Systems Engineering Capability Model y el Integrated Product Development, y otras organizaciones a lo largo de los aos. Es uno de los modelos ms utilizados en la industria del software. Entre sus principales caractersticas tenemos: - El disminuir o eliminar la redundancia en el trabajo. - Aumentar la fiabilidad en la prediccin de costos. - Aumenta el rehso de productos y procesos. - Disminuir costos debido a travs de la evaluacin y mejora continua de los procesos. Proporciona objetivos cuantificables y una aproximacin al que hacer aunque no sea un precepto. Adems, las valoraciones estn orientadas a determinar si se alcanza un determinado nivel de madurez en el proceso. Este modelo permite que las empresas dispongan de practicas que pueden ser comparadas con las de otras compaas. CMMI mide el proceso de madurez en cinco niveles: nivel 1 inicial, nivel 2 gestionado, nivel 3 definido, nivel 4 gestionado cuantitativamente, nivel 5 optimizado. MODELOS CMMI
CMMI ha sido diseado para dar cobertura a uno o mas cuerpos de conocimiento. Estos cuerpos de conocimiento es lo que se entiende como modelos o disciplinas CMMI, siendo estas las siguientes: - Software Engieenering (SW). - Systems Engineering + Software Engineering (SE/SW). - Systems Engineering + Software Engineering + Integrated Product and Process Development (SE/SW/IPPD). - Systems Engineering + Software Engineering + Integrated Product and Process Development + Supplier Sourcing (SE/SW/IPPD/SS). Las organizaciones elegirn el modelo CMMI que mejor se adapte a sus prioridades y objetivos de mejora, y servirn de gua para asegurar la madurez, estabilidad y solidez de los procesos.
El modelo CMM v1.0 (Capability Maturity Model) inicial fue desarrollado por el Instituto del Ingeniera del Software (Software Engineering Institute ESI) especficamente para la mejora continua en los procesos software. Su primera release surge en 1990, su rpida y exitosa aceptacin en otras reas, hizo que se desarrollan modelos para otras disciplinas y funciones.
Pg. 27 de 61
REPRESENTACIONES
CMMI
Uno representacin CMMI se debe entender como la forma en que vamos a trabajar con un modelo. CMMI posee dos representaciones: - Staged (por etapas). Se refiere al modelo de madurez de una organizacin vista de forma global. Sus caractersticas principales son: Proporciona una secuencia de mejoras, empezando con una gestin de practicas bsicas que progresan a travs de un conjunto predefinido y sucesivo de niveles, en los que de menor nivel sirven de base para los mayores. Permite la comparacin dentro de la organizacin y con otras organizaciones a travs del uso de los niveles de madurez. Proporciona una fcil migracin desde SW-CMM a CMMI. Proporciona un esquema de medida simple que permite la comparacin entre organizaciones. Continuos (continua). Se refiere a la capacidad de un rea de Proceso de forma
individual. Sus caractersticas principales son: Permite seleccionar el orden en que la mejora se llevara a cabo en lnea con los requerimientos de negocio y la necesidad de mitigar los riesgos identificados. Permite comparar entre empresas o dentro de una misma empresa, los resultados obtenidos por rea de proceso tras la adopcin del modelo. Proporciona una fcil migracin desde EIA/IS 731 (Electronic Industries Alliance Interim Standard) a CMMI. Ofrece una fcil comparacin entre la mejora de procesos del International Organization for Standarization and International Electrothechnical Commission (ISO/IEC) 15504, dado que la organizacin de las reas de procesos es similar.
El elegir una representacin u otra depende del juicio profesional y de los objetivos que se pretenden alcanzar. Independientemente de esto se debe tener claro que ambas representaciones han sido diseadas para proporcionar los mismos resultados.
4.1 ESTRUCTURA CMMI POR ETAPAS

DEFINICIONES Implementacin. Es realizar una tarea en un rea de proceso (conjunto de tareas
relacionadas en un rea de inters).
Institucionalizacin. Resultado de implementar el proceso una y otra vez. Es
cuando se puede decir que el proceso se ha integrado en la organizacin.

Desarrollo. Fase de Construccin de un ciclo de vida, incluido el mantenimiento. Proyecto. Actividades y recursos necesarios para proporcionar un producto al
cliente.
Pg. 28 de 61
Producto. Servicio o sistema o producto tangible que se le da al usuario. Nivel de Madurez. Es el nivel de desempeo que puede esperarse de una
organizacin.
reas de Proceso. Cada nivel de madurez se compone de reas de proceso que es un grupo de practicas o actividades realizadas de manera colectiva para conseguir un objetivo. Prcticas. Como los objetivos estn en un alto nivel de abstraccin, cada objetivo
tiene prcticas asociadas que son tareas especficas que deben ser realizadas en el rea de proceso para conseguir un objetivo. Hay dos tipos de prcticas: Prcticas especficas: Relacionadas con objetivos especficos. Prcticas genricas: asociadas con objetivos genricos para la institucionalizacin.
Objetivo: Cada rea de proceso tiene varios objetivos que deben ser satisfechos para cumplir con el objetivo de dicha rea. Hay dos tipos de objetivos: Objetivos especficos: Objetivos especficos del rea de proceso. Objetivos genricos: Objetivos comunes a varias reas de proceso del modelo. Caractersticas Comunes. Agrupa juntas las prcticas genricas en un rea de proceso dependiendo de la funcin que dichas prcticas realicen.
Pg. 29 de 61
NIVELES DE MADUREZ Y MEJORA QUE SE PRODUCE
Pg. 30 de 61
4.2 NIVELES DE MADUREZ

NIVEL 2 - PROCESO GESTIONADO
CMMI
Introduccin - Se introducen dos nuevos conceptos: Integracin del producto y Desarrollo de procesos. Gestin de los proveedores. Llegar al nivel 2 es la barrera ms grande de las organizaciones.
El nivel de madurez 2 consiste en siete reas de proceso, que contribuirn a proyectar la eficacia de la gestin.
Objetivos Genricos
El proceso esta institucionalizado como un proceso gestionado4.
Practicas Genricas
(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) Establecer una poltica organizacional. Plan de procesos. Proporcionar recursos. Asignar responsabilidades. Formacin y entrenamiento del personal. Gestin de la configuracin. Identificar e involucrar a los participantes relevantes. Control y monitoreo de los procesos. Asumir una evaluacin objetiva. Revisar el estatus con los gestores de ms alto nivel.
Gestin de Requerimientos Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Gestin de Requerimientos.
Practicas Especificas
(1) (2) (3) (4) (5) Obtener y comprender los requerimientos. Obtener acuerdo sobre los requerimientos. Gestionar los cambios de requerimientos. Mantener la trazabilidad bidireccional de los requerimientos. Identificar las inconsistencias entre el trabajo real a realizar y los requerimientos.
Proceso gestionado (Managed Process) es un proceso que se planifica y ejecuta de acuerdo a una poltica.
Pg. 31 de 61
Planificacin del Proyecto Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Establecer las Estimaciones.
(1) Estimar el alcance del proyecto. (2) Establecer las estimaciones de las tareas y productos del trabajo. (3) Definir el ciclo de vida del proyecto. (4) Determinar las estimaciones de esfuerzo y costo. (1) Establecer el presupuesto y cronograma. (2) Identificar los riesgos del proyecto. (3) Plan para la gestin de los datos del proyecto. (4) Plan para los recursos del proyecto. (5) Plan para las habilidades y conocimiento necesarias. (6) Plan para involucrar a los participantes. (7) Establecer el plan del proyecto. (1) Revisin de los planes que afectan al proyecto. (2) Reconciliar el trabajo y niveles del recurso. (3) Obtener el compromiso sobre el plan.
Desarrollar el Plan del Proyecto.
Obtener Compromiso con el Plan.
Supervisin y Control del Proyecto Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Control del proyecto contra el plan.
(1) (2) (3) (4) (5) (6) (7) (1) (2) (3) Control del proyecto para planificacin de parmetros. Supervisar los compromisos. Control de los riesgos del proyecto. Supervisar la gestin de los datos. Supervisar la implicacin de los participantes. Revisiones del progreso. Revisiones de los hitos. Analizar los problemas. Adoptar las acciones correctivas. Gestionar la accin correctiva.
Gestionar las acciones correctivas.
Gestin de los Acuerdos con el Proveedor Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Establecer los acuerdos con el proveedor. Satisfacer los acuerdos con el proveedor.
(1) (2) (3) (1) (2) (3) (4) Determinar el tipo de adquisicin. Seleccin de los proveedores. Establecer los acuerdos del proveedor. Repasar los productos de COTS. Ejecutar el acuerdo con el proveedor. Aceptar el producto adquirido. Productos de transicin.
Medicin y Anlisis Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Alinear las actividades de medida y anlisis.
(1) Establecer los objetivos de la medicin. (2) Especificar las medidas. (3) Especificar los datos a ser recogidos y los procedimientos de almacenamiento. (4) Especificar los Procedimientos de anlisis. (1) Recopilar los datos de la medicin. (2) Analizar los datos de la medicin. (3) Guardar datos y resultados. (4) Comunicar los resultados.
Proporcionar los resultados de la medicin.
Pg. 32 de 61
Asegurar la calidad del proceso y del producto Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Evaluar los procesos y productos de trabajo objetivamente. Dar una visin objetiva.
(1) Evaluar los procesos objetivamente. (2) Evaluar los productos de trabajo y servicios objetivamente. (1) Comunicar y asegurar la resolucin de los asuntos de no cumplimiento. (2) Establecer registros.
Gestin de la configuracin Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Establecer las lneas base.
(1) (2) (3) (1) (2) (1) (2) Identificar los elementos de la configuracin. Establecer un sistema de gestin de configuracin. Crear un modelo para liberar las lneas bases de configuracin. Dejar rastro de las peticiones de cambio. Controlar los elementos de la configuracin. Establecer los registros de gestin de la configuracin. Realizar auditorias de la configuracin.
Rastrear y controlar los cambios. Establecer la integridad.
Pg. 33 de 61
NIVEL 3 - PROCESO DEFINIDO Introduccin - Proceso proactivo y caracterizado por la organizacin. Proceso en el que la organizacin entera participa en el proceso eficiente del proyecto software. Los procesos estn estandarizados, documentados e institucionalizados con mayor rigurosidad. Se institucionaliza un proceso estndar de desarrollo de software que integra: Los procesos de ingeniera de software. Gerencia de proyectos de software. La organizacin tiene cimientos para futuros progresos, significativos y continuos. An cuando el Proceso Definido es poderoso, todava es tan slo cualitativo, hay pocos datos que indiquen cuanto se produce y cunto efectivo es el proceso en s. El debate acerca del valor de las mediciones y su utilidad contina abierto debido a la ausencia de una norma que fije cules son los pasos de un proyecto y cules los elementos a medir.
Objetivos Genricos
El proceso esta institucionalizado como un proceso gestionado5.
Practicas Genricas
(1) Establecer una poltica organizacional. (2) Plan de procesos. (3) Proporcionar recursos. (4) Asignar responsabilidades. (5) Formacin y entrenamiento del personal. (6) Establecer un proceso definido. (7) Gestin de la configuracin. (8) Identificar e involucrar a los participantes relevantes. (9) Control y monitoreo de los procesos. (10) Recoger la mejora que se produce en la informacin. (11) Asumir una evaluacin objetiva. (12) Revisar el estatus con los gestores de ms alto nivel.
Proceso gestionado (Managed Process) es un proceso que se planifica y ejecuta de cuerdo una poltica.
Pg. 34 de 61
reas claves del proceso - Categora: Ingeniera

Desarrollo de Requisitos Cubre el desarrollo de requisitos del cliente, producto, y componente el producto. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Desarrollo de requisitos del cliente. Desarrollo de requisitos del producto.
(1) Licitar necesidades. (2) Desarrollar los requisitos del cliente. (1) Establecer los requisitos del producto y de los componentes del producto. (2) Asignar los requisitos de los componentes del producto. (3) Identificar las interfaces entre requisitos. (1) Establecer conceptos operacionales y escenarios. (2) Establecer una definicin de funcionalidad requerida. (3) Analizar requisitos. (4) Analizar requisitos dentro de un marco de coste-beneficio. (5) Validar los requisitos mediante mltiples mtodos de comprensin.
Anlisis validacin de requisitos.
Soluciones Tcnicas Diseo, desarrollo y puesta en prctica de las soluciones tcnicas. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Seleccionar las soluciones para los componentes del producto. Desarrollar el diseo.
(1) (2) (3) (1) (2) (3) (4) (1) (2) Desarrollar en detalle soluciones alternativas y criterios de seleccin. Evolucin operacional de conceptos y escenarios. Seleccionar las soluciones de los componentes del producto. Diseo de productos o componentes del producto. Establecer un paquete de datos tcnicos. Desarrollar interfaces usando distintos criterios. Mejorar en el anlisis que nos llevara a hacer, comprar o reutilizar. Implementar el diseo. Desarrollar documentacin soporte del producto.
Implementar el diseo del producto.
Integracin del Producto
Asegurar la integracin del producto.

Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Preparar la integracin del producto.
(1) (2) (3) (1) (2) (1) Determinar la secuencia de integracin. Establecer el entorno de integracin del producto. Establecer los procedimientos y criterios de integracin del producto. Revisar la completitud y descripcin de las interfaces. Gestin de interfaces. Confirmar la preparacin de los componentes del producto para la integracin. (2) Ensamblar los componentes del producto. (3) Evaluar el ensamblado de los componentes del producto. (4) Empaquetar y entregar el producto y los componentes del producto.
Asegurar la Compatibilidad de la Interface. Ensamblar los componentes del producto y la entrega del producto.
Pg. 35 de 61
Verificacin Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos

Preparar la verificacin
(1) (2) (3) (1) (2) (3) (1) (2) Seleccionar los productos del trabajo a ser verificados. Establecer el entorno de verificacin. Establecer los procedimientos y criterios de verificacin. Preparar las revisiones puntuales. Conducir las revisiones puntuales. Analizar los datos de las revisiones puntuales. Mejorar la verificacin. Analizar el resultado de la verificacin e identificar las acciones correctivas.
Mejora en la revisiones puntuales.
Verificar del trabajo los productos seleccionados.
Validacin Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos

Preparar la validacin
(4) (5) (6) (3) (4) Seleccionar los productos a ser validados. Establecer el entorno de validacin. Establecer los procedimientos y criterios de validacin. Mejorar la validacin. Analizar el resultado de la validacin.
Validar los productos y componentes del producto.
reas claves del proceso - Categora: Administracin Proceso

Enfoque de procesos en organizacin Enfocar a la organizacin hacia la gestin de los procesos. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Determinar las oportunidades de mejora en los procesos. Planificar e Implementar las actividades de mejora en los procesos.
(1) (2) (3) (1) (2) (3) (4) Establecer las necesidades procesos en la organizacin. Evaluar los procesos de la organizacin. Identificar la mejora en los procesos de la organizacin. Establecer planes de accin para los procesos. Implementar planes de accin para los procesos. Desarrollar procesos en la organizacin. Incorporar la experiencia que existe dentro de los procesos implantados en la organizacin.
Definicin de procesos en la organizacin Correcta definicin de los procesos de la organizacin. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Establecer procesos en la organizacin.
(1) (2) (3) (4) (5) Establecer Establecer Establecer Establecer Establecer procesos estndar. ciclos de vida en los modelos de descripcin. criterios patrn y guas. el repositorio de medidas en la organizacin. una librera de procesos en la organizacin.
Pg. 36 de 61
Entrenamiento y formacin Educacin y entrenamiento para mejorar la eficacia y la eficiencia. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Establecer capacidades de formacin en la organizacin.
(1) Establecer las necesidades estratgicas de formacin. (2) Determinar que necesidades formativas que son responsabilidad de la organizacin. (3) Establecer un plan de formacin dentro de la organizacin. (4) Establecer capacidades de formacin. (1) Entregar la formacin. (2) Establecer un registro de la formacin. (3) Asegurar la efectividad de la formacin.
Proporcionar la formacin necesaria.
reas claves del proceso - Administracin Proyectos

Gestin Integrada de los Proyectos para la integracin de productos y el desarrollo de procesos6 Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Usar el proceso definido del proyecto.
(1) Establecer el proceso definido para el proyecto. (2) Usar los procesos de la organizacin para planificar las actividades del proyecto. (3) Integracin de planes. (4) Gestin de proyectos usando los planes integrados. (5) Contribuir al establecimiento de los procesos de la organizacin. (1) Gestionar la participacin de los usuarios relevantes. (2) Gestionar dependencias. (3) Resolver los aspectos relativos s la coordinacin. (1) Definir el contexto para la visin del proyecto compartido. (2) Establecer la visin del proyecto compartido. (1) Determinar la estructura de los equipos integrados para el proyecto. (2) Desarrollar distribuciones preliminares de requerimientos para los equipos integrados. (3) Establecer los equipos integrados.
Coordinacin y colaboracin con usuarios relevantes. Usar la visin de proyecto compartido para IPPD. (Use the Projects Shared Vision for IPPD) Organizar equipos integrados de integracin de productos y desarrollo de procesos. (Organize Integrated Teams for IPPD)
Gestin de Riesgos Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Preparar la gestin de riesgos.
(6) (7) (8) (4) (5) (6) (7) Determinar las fuentes de riesgo y sus categoras. Definir los parmetros del riesgo. Establecer una estrategia para la gestin del riesgo. Identificar el riesgo. Evaluar, categorizar y priorizar riesgos. Desarrollar planes para mitigar el riesgo. Implementar los planes para mitigar el riesgo.
Identificar y analizar riesgos. Mitigar el riesgo.
Integrated Project Management for IPPD (Integrated Product and Process Development)
Pg. 37 de 61
Equipos Integrados Formar y mantener equipos integrados. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Establecer la composicin de los equipos. Gobernar las operaciones de los equipos.
(1) (2) (3) (1) (2) (3) (4) (5) Identificar las tareas de los equipos. Identificar las necesidades de conocimiento y cualidades. Asignar el personal adecuado a los distintos equipos. Establecer una visin compartida. Establecer los compromisos del equipo. Definir roles y responsabilidades. Establecer procedimientos para la operacin. Fijar las interfaces para la colaboracin entre los equipos.
Gestin Integrada de Proveedores Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Analizar y seleccionar las fuentes para los productos. Coordinar el trabajo con los proveedores.
(1) (2) (1) (2) (3) Analizar fuentes potenciales de productos. Evaluar y determinar las fuentes de los productos. Monitorizar los procesos de seleccin de proveedores. Evaluar los productos obtenidos de los proveedores seleccionados. Revisar los acuerdos y relaciones fijadas con los proveedores.
reas claves del proceso - Soporte

Anlisis y Resolucin de Decisiones Anlisis sistemtico y puesta en prctica de las decisiones acordadas. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Evaluar Alternativas.
(1) (2) (3) (4) (5) (6) Establecer guas para el anlisis de decisiones. Establecer criterios de evaluacin. Identificar soluciones alternativas. Seleccionar mtodos de evaluacin. Evaluar alternativas. Seleccionar soluciones.
Entorno organizativo par la Integracin Ambiente organizativo adecuado para el desarrollo integrado del producto y del proceso. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Proporcionar integracin de productos y desarrollo de procesos para la infraestructura. (Provide IPPD Infraestructure) Gestin de personas para la integracin.
(1) Establecer la visin compartida de la organizacin. (2) Establecer un entorno integrado de trabajo. (3) Identificar la pericias necesarias para los requerimientos asociados a la integracin de productos y el desarrollo de procesos. (1) Establecer mecanismo de liderazgo. (2) Establecer incentivos para la integracin. (3) Establecer mecanismos para compatibilizar las responsabilidades laborales con las relacionadas con el hogar.
Pg. 38 de 61
NIVEL 4 - PROCESO GESTIONADO CUANTITATIVAMENTE Introduccin - Los proyectos son gestionados por los nmeros. Las decisiones organizacionales se toman por los nmeros. Los procesos, los servicios y la calidad del producto se miden por los nmeros. Proceso de refinamiento sucesivo(el paso al nivel 4 no es un cambio fcil). No se aaden metas genricas en el nivel 4 a partir del nivel 3. El nivel de madurez podra no probar el beneficio esperado (anlisis de C/B). Lo que hace este nivel de madurez distinto son las dos reas de procesos: Proceso organizacional del desarrollo. Gestin de proyectos cuantitativa.
Objetivos: Entendimiento cuantitativo de la ejecucin de los procesos de la organizacin. Proporcionar, para la gestin cuantitativa de proyectos: Datos de ejecucin de procesos. Lneas Base. Modelos. Necesidades: Compromiso y la participacin de la alta direccin. Alto grado de experiencia. Personal numeroso. Importante: Uso de Herramientas automatizadas para la recogida de datos. Divisin del repositorio de medidas en capas. Experiencia en la recogida de datos.
Pg. 39 de 61
Rendimiento de los Procesos en la Organizacin Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Establecer lneas base y modelos de ejecucin.
(1) (2) (3) (4) (5) Seleccionar procesos. Establecer medidas de ejecucin de procesos. Establecer objetivos de calidad y ejecucin de procesos. Establecer lneas base de ejecucin de procesos. Establecer modelos de ejecucin de procesos.
Lnea base de ejecucin de proceso: Resultados histricos logrados siguiendo un proceso. Uso: comparar ejecucin real vs ejecucin esperada de procesos. Modelo de ejecucin de procesos : Relaciones entre atributos de un proceso y sus productos de trabajo. Uso: estimar o predecir un valor crtico que no puede ser medido por el momento. Medidas; deben proporcionar Rangos vs. datos puntuales, adems indican reas de debilidad a reforzar. Las medidas a considerar son: De proceso: Esfuerzo, tamao ,costo, planificacin. Revisando la productividad en las fases del cv. De producto: Fiabilidad, densidad de defectos.
Gestin Cuantitativa de Proyectos Gestin cuantitativa de los procesos para lograr los objetivos de calidad y ejecucin del proceso establecidos por el proyecto. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Gestionar el proyecto cuantitativamente.
(1) (2) (3) (4) (1) (2) (3) (4) Establecer los objetivos del proyecto. Componer los procesos definidos. Elegir los subprocesos que sern gestionados estadsticamente. Gestionar la ejecucin de proyectos. Elegir las medidas y tcnicas analticas. Aplicar los mtodos estadsticos para comprender la variacin. Monitorizar la ejecucin de los subprocesos elegidos. Archivar los datos de gestin estadstica.
Gestionar de manera estadstica el rendimiento y ejecucin de los de subprocesos.
Pg. 40 de 61
NIVEL 5 - OPTIMIZANDO LOS PROCESOS Introduccin - reas del Nivel 5: Innovacin y Despliegue Organizacional. Anlisis y Resolucin de las Causas. Para satisfacer los objetivos del Nivel 5 se tienen que haber satisfecho los objetivos de los Niveles 2,3 y 4. Objetivos: Mejorar la calidad general de los procesos de la organizacin. Forma de alcanzarlo: Identificar las causas de la variacin. Determinar la raz de las causas de las condiciones identificadas. Hacer pruebas de las mejoras del proceso. Incorporar las mejoras y acciones correctivas en los procesos estndar de la organizacin.
Innovacin y Despliegue Organizacional Seleccin y despliegue de las mejoras incrementales e innovadoras que mejoren los procesos y tecnologas de la organizacin. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Seleccin de mejoras.
(1) (2) (3) (4) (1) (2) (3) Reunir y analizar propuestas de mejoras. Identificar y analizar innovaciones. Pruebas de las mejoras. Seleccionar mejoras para desplegarlas. Plan de despliegue. Gestin de despliegue. Medida de los efectos de mejora.
Desplegar mejoras
Las propuestas de mejora de procesos y mejoras tecnolgicas estn incluidas en este rea de proceso. Etapas a seguir en esta rea de proceso: Presentar las propuestas de mejora. Revisar y analizar las propuestas. Prueba piloto de las propuestas. Medir las mejoras para ver si son efectivas en las pruebas. Planear el despliegue de las mejoras. Desplegar las mejoras. Medir la eficacia de las mejoras a travs de la organizacin o proyecto.
Pg. 41 de 61
Anlisis y Resolucin de las Causas Identificar las causas de los defectos y otros problemas, y tomar acciones preventivas para evitar que sucedan en un futuro. Consta de los siguientes objetivos y practicas especificas. Objetivos Especficos
Determinar las causas de los defectos. Tratar las causas de los defectos.
(1) (2) (1) (2) (3) Seleccionar los datos de los defectos para su anlisis. Analizar las causas. Implementar las acciones propuestas. Evaluar los efectos de los cambios. Guardar los datos.
Etapas a seguir en esta rea de proceso: Buscar los defectos y problemas en la organizacin. Seleccionar los datos a analizar. Analizar las causas. Preparar propuestas para tratar los problemas. Implementar las propuestas. Evaluar los efectos de los cambios.
Pg. 42 de 61
4.3 CMMI EN LA GESTIN DE SERVICIOS DE EXPLOTACIN

Como se ha comentado anteriormente CMMI es una coleccin de buenas prcticas alineadas con el concepto de modelos de madurez. Debido a la herencia de SW/CMM y tal y como se ha visto en la descripcin de las reas de procesos, objetivos y las practicas, est muy orientado hacia desarrollo y mantenimiento de software. Si bien CMMI es la evolucin e integracin de un conjunto de modelos de madures, el desarrollo y mantenimiento de software, fijan en gran medida su lneas de actuacin. En el otro punto nos encontramos con ITIL modelo totalmente orientado a los servicios de mantenimiento y gestin de las operaciones. ITIL y CMMI son dos modelos de madurez claramente distintos pero no mutuamente exclusivos. Las principales diferencias se deben a que CMMI esta focalizado en la madurez de los procesos software a travs de una actividad de mejora continua e ITIL se centra en el entendimiento y desarrollo de todas las reas referentes a la infraestructura de TI, adems de incorporar el ciclo de vida del hardware dentro de una organizacin CUL ELEGIR ITIL CMMI?. No existe razn alguna que nos obligue a decantarnos por un modelo u otro, dado que entre otros aspectos ITIL no ha sido prescrito y el marco de referencia que ITIL conforma es muy similar al de CMMI, por lo que bien podran ser usados de forma conjunta. CMO CONJUGAR ITIL Y CMMI? ITIL, desde el punto de vista de su estructura, se puede entender como un marco objetivo de las reas de gestin, centrado en aquellas que hace bien tales como la Gestin de la Capacidad, la Gestin del Nivel de Servicio y todas las dems incluyendo la Gestin de Release7 (software y hardware). Es en la Gestin de Release (software) donde CMMI entra con todo su potencial y se constituye en el modelo especifico que subyace para la Gestin de Release (en el caso del desarrollo de software) en nuestra organizacin bajo ITIL. El que slo se considere el aspecto software es consecuencia de que CMMI no contempla el elemento hardware.
La versin uno de ITIL no incorporaba el ciclo de vida de hardware dentro de la Gestin de Release, aspecto que ha sido subsanado en las nuevas versiones.
Pg. 43 de 61
CMMI COMO MODELO PARA GESTIONAR SERVICIOS DE EXPLOTACIN Con lo visto anteriormente todo el modelo CMMI slo seria de aplicabilidad para la gestin de las versiones software que se generan en los servicios de explotacin. Entonces, debemos desistir de nuestra idea y tomar como referencia de modelos para la gestin de servicios de explotacin los que se definieron anteriormente, o por otro lado olvidar el marco de accin que se auto-impone el modelo CMMI y usarlo en otros mbitos?. La respuesta es que s, y la mejor forma de comprobarlo es ver si para un servicio de explotacin determinado los objetivos y practicas definidos por el modelo CMMI son de aplicabilidad. Partamos de las reas de procesos, objetivos y practicas de nivel 2, consideremos como servicio de explotacin la gestin de Acuerdos de Nivel de Servicio de explotacin con un proveedor externo, y marquemos las prcticas CMMI que consideremos de aplicabilidad con una A:
objetivos especficos Gestin de Requerimientos prcticas especificas Obtener y comprender los requerimientos. Obtener acuerdo sobre los requerimientos. Gestionar los cambios de requerimientos. Mantener la trazabilidad bidireccional de los requerimientos. Identificar las inconsistencias entre el trabajo real a realizar y los requerimientos. Establecer las Estimaciones Estimar el alcance del proyecto. Establecer las estimaciones de las tareas y productos del trabajo. Definir el ciclo de vida del proyecto. Determinar las estimaciones de esfuerzo y costo. Desarrollar el Plan del Establecer el presupuesto y cronograma. Proyecto. Identificar los riesgos del proyecto. Plan para la gestin de los datos del proyecto. Plan para los recursos del proyecto. Plan para las habilidades y conocimiento necesarias. Plan para involucrar a los participantes. Establecer el plan del proyecto. Obtener Compromiso Revisin de los planes que afectan al proyecto. con el Plan Reconciliar el trabajo y niveles del recurso. Obtener el compromiso sobre el plan. Control del proyecto Control del proyecto para planificacin de parmetros. contra el plan. Supervisar los compromisos. Control de los riesgos del proyecto. Supervisar la gestin de los datos. Supervisar la implicacin de los participantes. Revisiones del progreso. Revisiones de los hitos. Gestionar las Analizar los problemas. acciones correctivas. Adoptar las acciones correctivas. Gestionar la accin correctiva. Establecer los Determinar el tipo de adquisicin. acuerdos con el Seleccin de los proveedores. proveedor. Establecer los acuerdos del proveedor. aplicable
A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A
Gesti n de los Acue d
Supervisin y Control del Proyecto
Planificacin del Proyecto
Gestin de Requerimientos
Pg. 44 de 61
objetivos especficos Satisfacer los acuerdos con el proveedor. Alinear las actividades de medida y anlisis Proporcionar los resultados de la medicin Evaluar los procesos y productos de trabajo objetivamente. Dar una visin objetiva. Establecer las lneas base. Rastrear y controlar los cambios. Establecer la integridad.
prcticas especificas Repasar los productos de COTS. Ejecutar el acuerdo con el proveedor. Aceptar el producto adquirido. Productos de transicin. Establecer los objetivos de la medicin. Especificar las medidas. Especificar los datos a ser recogidos y los procedimientos de almacenamiento. Especificar los Procedimientos de anlisis. Recopilar los datos de la medicin. Analizar los datos de la medicin. Guardar datos y resultados. Comunicar los resultados. Evaluar los procesos objetivamente. Evaluar los productos de trabajo y servicios objetivamente. Comunicar y asegurar la resolucin de los asuntos de no cumplimiento. Establecer registros. Identificar los elementos de la configuracin. Establecer un sistema de gestin de configuracin. Crear un modelo para liberar las lneas bases de configuracin. Dejar rastro de las peticiones de cambio. Controlar los elementos de la configuracin. Establecer los registros de gestin de la configuracin. Realizar auditorias de la configuracin.
aplicable
B A A A A A A A A A A A A A A A A A A A A A A
8
Gestin de la configuracin
Asegurar la calidad Del proceso y del producto
Medicin y Anlisis
El ejercicio se ha desarrollado a un nivel muy bsico, pero incluso a este nivel se observa con claridad la posible aplicabilidad del modelo CMMI para la gestin de servicios de explotacin. Subamos un nivel y veamos si las reas de proceso, objetivos y practicas de nivel 3, son tan vlidas como las de nivel 2 para un servicio de explotacin como el indicado:
objetivos especficos Desarrollo de requisitos del cliente. Desarrollo de requisitos del producto. prcticas especificas Licitar necesidades. Desarrollar los requisitos del cliente. Establecer los requisitos del producto y de los componentes del producto. Asignar los requisitos de los componentes del producto. Identificar las interfaces entre requisitos. Anlisis validacin de Establecer conceptos operacionales y escenarios. requisitos. Establecer una definicin de funcionalidad requerida. Analizar requisitos. Analizar requisitos dentro de un marco de coste-beneficio. Validar los requisitos mediante mltiples mtodos de comprensin. Seleccionar las soluciones Desarrollar en detalle soluciones alternativas y criterios de seleccin. para los componentes del Evolucin operacional de conceptos y escenarios. producto. Seleccionar las soluciones de los componentes del producto. Desarrollar el diseo. Diseo de productos o componentes del producto. Establecer un paquete de datos tcnicos. Desarrollar interfaces usando distintos criterios. Mejorar en el anlisis que nos llevar a hacer, comprar o reutilizar. aplicable
A A A A A A A A A A A A A A A A A
Soluciones Tcnicas
8
Desarrollo de Requisitos
Por la propia definicin de COTS (fragmentos de cdigo), esta practica no seria de aplicabilidad plena para la gestin de servicios de explotacin, salvo que se acotara su alcance al software usado en la gestin de servicios de explotacin.
Pg. 45 de 61
Integracin del Producto
objetivos especficos Implementar el diseo del producto. Preparar la integracin del producto. Asegurar la Compatibilidad de la Interface. Ensamblar los componentes del producto y la entrega del producto. Preparar la verificacin
prcticas especificas Implementar el diseo. Desarrollar documentacin soporte del producto. Determinar la secuencia de integracin.. Establecer el entorno de integracin del producto Establecer los procedimientos y criterios de integracin del producto. Revisar la completitud y descripcin de las interfaces. Gestin de interfaces. Confirmar la preparacin de los componentes del producto para la integracin. Ensamblar los componentes del producto. Evaluar el ensamblado de los componentes del producto. Empaquetar y entregar el producto y los componentes del producto. Seleccionar los productos del trabajo a ser verificados. Establecer el entorno de verificacin. Establecer los procedimientos y criterios de verificacin. Preparar las revisiones puntuales. Conducir las revisiones puntuales. Analizar los datos de las revisiones puntuales. Mejorar la verificacin. Analizar el resultado de la verificacin e identificar las acciones correctivas. Seleccionar los productos a ser validados. Establecer el entorno de validacin. Establecer los procedimientos y criterios de validacin. Mejorar la validacin. Analizar el resultado de la validacin. Establecer las necesidades procesos en la organizacin.. Evaluar los procesos de la organizacin Identificar la mejora en los procesos de la organizacin. Establecer planes de accin para los procesos. Implementar planes de accin para los procesos. Desarrollar procesos en la organizacin.
aplicable
A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A
Verificacin
Mejora en la revisiones puntuales. Verificar del trabajo los productos seleccionados. Preparar la validacin
Validacin
Enfoque de procesos en organizacin
Validar los productos y componentes del producto. Determinar las oportunidades de mejora en los procesos. Planificar e Implementar las actividades de mejora en los procesos.
Incorporar la experiencia que existe dentro de los procesos implantados en la organizacin. Establecer procesos en la Establecer procesos estndar. organizacin. Establecer ciclos de vida en los modelos de descripcin. Establecer criterios patrn y guas. Establecer el repositorio de medidas en la organizacin. Establecer una librera de procesos en la organizacin. Establecer capacidades Establecer las necesidades estratgicas de formacin. de formacin en la Determinar que necesidades formativas que son responsabilidad de la organizacin. organizacin. Establecer un plan de formacin dentro de la organizacin. Establecer capacidades de formacin. Proporcionar la formacin Entregar la formacin. necesaria. Establecer un registro de la formacin. Asegurar la efectividad de la formacin. Usar el proceso definido Establecer el proceso definido para el proyecto. del proyecto. Usar los procesos de la organizacin para planificar las actividades del proyecto. Integracin de planes. Gestin de proyectos usando los planes integrados. Contribuir al establecimiento de los procesos de la organizacin. Coordinacin y Gestionar la participacin de los usuarios relevantes. colaboracin con usuarios Gestionar dependencias. relevantes. Resolver los aspectos relativos s la coordinacin. Usar la visin de proyecto Definir el contexto para la visin del proyecto compartido. compartido para IPPD
Gestin Integrada de los Proyectos para la integracin de productos y el desarrollo de procesos
Entrenamiento y formacin
Definicin de procesos en la organizacin
Pg. 46 de 61
objetivos especficos compartido para IPPD. (Use the Projects Shared Vision for IPPD) Organizar equipos integrados de integracin de productos y desarrollo de procesos. (Organize Integrated Teams for IPPD) Preparar la gestin de riesgos. Identificar y analizar riesgos. Mitigar el riesgo. Establecer la composicin de los equipos.
Equipos Integrados
prcticas especificas Establecer la visin del proyecto compartido.
aplicable
A
Determinar la estructura de los equipos integrados para el proyecto. Desarrollar distribuciones preliminares de requerimientos para los equipos integrados. Establecer los equipos integrados. Determinar las fuentes de riesgo y sus categoras. Definir los parmetros del riesgo. Establecer una estrategia para la gestin del riesgo. Identificar el riesgo. Evaluar, categorizar y priorizar riesgos. Desarrollar planes para mitigar el riesgo. Implementar los planes para mitigar el riesgo. Identificar las tareas de los equipos. Identificar las necesidades de conocimiento y cualidades. Asignar el personal adecuado a los distintos equipos. Establecer una visin compartida. Establecer los compromisos del equipo. Definir roles y responsabilidades. Establecer procedimientos para la operacin. Fijar las interfaces para la colaboracin entre los equipos. Analizar fuentes potenciales de productos. Evaluar y determinar las fuentes de los productos. Monitorizar los procesos de seleccin de proveedores. Evaluar los productos obtenidos de los proveedores seleccionados. Revisar los acuerdos y relaciones fijadas con los proveedores. Establecer guas para el anlisis de decisiones.. Establecer criterios de evaluacin. Identificar soluciones alternativas Seleccionar mtodos de evaluacin. Evaluar alternativas. Seleccionar soluciones. Establecer la visin compartida de la organizacin. Establecer un entorno integrado de trabajo. Identificar la pericias necesarias para los requerimientos asociados a la integracin de productos y el desarrollo de procesos. Establecer mecanismo de liderazgo. Establecer incentivos para la integracin. Establecer mecanismos para compatibilizar las responsabilidades laborales con las relacionadas con el hogar.
A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A
Gestin de Riesgos
Gobernar las operaciones de los equipos.
Gestin Integrada de Proveedores
Analizar y seleccionar las fuentes para los productos. Coordinar el trabajo con los proveedores. Evaluar Alternativas.
Anlisis y Resolucin de Decisiones
Entorno organizativo para la Integracin
Proporcionar integracin de productos y desarrollo de procesos para la infraestructura. (Provide IPPD Infraestructure) Gestin de personas para la integracin.
Si consideramos el valor A como que esas las prcticas puede ser consideradas para los servicios de explotacin, podemos afirmar que CMMI es un modelo vlido para la gestin de los servicios de explotacin. Por supuesto se debern rehacer ajustes en el modelo, y aquellas reas de procesos, objetivos y practicas con marcado carcter y orientacin hacia el desarrollo y mantenimiento de software tendrn que ser revisadas y readaptadas. La pregunta es, cmo llevamos a cabo el desarrollo del modelo?, es decir, si tomamos a CMMI como base de lo que se debe hacer, quin o qu nos va a indicar el cmo?.
Pg. 47 de 61
Podemos CMMI: -
acudir al conjunto de elementos o componentes que forman parte del modelo Notas (Notes). Procesos Relacionados (Related Process). Subpracticas ( Subpractices). Typical work Products. Discipline Amplifications. Generic Practice Elaborations.
Si bien estos elementos son un complemento al modelo CMMI, puede que no llegaran a aportar suficiente informacin sobre el cmo. Por tanto se propone hacer uso de otros modelos o esquemas, tales como: ITIL, su enfoque hacia la explotacin de sistemas le hace una fuente de informacin y conocimiento de primera mano, adems de incorporar el detalle suficiente para sentar las bases del cmo.
Una revisin de ambos modelos puede que nos de una visin de la escasa duplicidad entre ambos por lo que surgir, entre otros, la necesidad de: Un gran esfuerzo de sincronizacin entre ambos. Una clara definicin de interfaces roles y responsabilidades. Todo esto permitir que las mejoras de un modelo impacten positivamente en los aspectos de calidad del otro. Los modelos PSP (Personal Software Process) y TSP (Team Software Process). Estos modelos surgen bajo la premisa de dotar a las actividades software de equipos humanos cualificados y adaptativos, prestando gran atencin a la forma de trabajo en equipo. [4] Si conseguimos desligar la connotacin software de estos modelos y tomamos la filosofa subyacente, estos modelos bien pudieran ser utilizados para todas aquellas rea de proceso, objetivos y practicas, donde el elemento principal son las personas, como por ejemplo el rea de proceso de CMMI Equipos Integrados. Mtodo SIX SIGMA (ver ANEXO B). Si bien su puesta en marcha pudiera resultar o parecer compleja, su implantacin slo puede reportar beneficios. Ya existen resultados contrastados sobre la validez de este modelo para alcanzar niveles de madurez de CMMI Nivel 4 y Nivel 5. [5]
Pg. 48 de 61
5 CONCLUSIONES
Como se ha puesto de manifiesto a lo largo de la exposicin, los servicios de explotacin abarcan mbitos de actuacin muy dispares, adems de incorporar complejidades derivadas de su operatividad y del conjunto de entes (personas incluidas) que intervienen en su ejecucin. Los servicios de explotacin estn al mismo nivel en cuento a necesidad de control que el resto de actividades de TI, sirva de referencia el hecho de que el desarrollo de la ley Sarbanes Oxley (ver ANEXO A) en cuanto a sistemas, implica actividades relacionadas con el gestin de la explotacin de los sistemas de informacin. [5] [6] Este conjunto tan amplio de servicios deben de alguna forma ser controlados y medidos. Este aspecto hace que surjan modelos, entre los cuales estn los descritos en este documento, con sus propios condicionantes y orientaciones: COBIT, surge dentro del mbito de la Auditoria de Sistemas y esta principalmente
orientado al control de las actividades, adems no slo se focaliza en los servicios de explotacin sino que cubre todo el espectro relacionado con los sistemas y tecnologas de la informacin. Adems ltimamente esta sufriendo una transformacin orientndose hacia lo que se conoce como EL GOBIERNO DE LAS TECNOLOGAS DE LA INFORMACIN.
MOF, es un modelo que surge a la sombra de una gran empresa tecnolgica, para dar cobertura a la implantacin de sus propios productos. Aunque esto no de be limitar su uso dado que sus preceptos pueden ser aislados.
ITIL. La marcada orientacin de este modelo hacia los servicios de explotacin dando informacin de cmo se deben acometer estos servicios implica que deba ser considerado como un punto de referencia. En contrapartida la ausencia de un modelo de madurez explcitamente definido puede jugar en contra para su adopcin. CMMI surge como un modelo muy orientado hacia los procesos software, pero como hemos visto tambin es valido para los servicios de explotacin. CMMI debe verse como punto de referencia para saber lo que se debe hacer. El valor intrnsico de CMMI y su conjuncin con otros modelos, tales como, ITIL, SIXSIGMA, PSP o TSP, le da el suficiente apresto para ser valido en la gestin de los servicios de explotacin. Adems la adopcin de CMMI supone una ventaja competitiva para las empresas que prestan servicios de tecnologa frente a otras, dado que van a poder disponer de un modelo de madurez que actuar como medida comparativa de la calidad del servicio que prestan. Sin olvidar la mejora que supone para la empresa el hecho de considerar la mejora continua como parte integral de su operativa de sistemas y tecnologas de la informacin.
Pg. 49 de 61
Si realizamos una sumatoria de todo lo comentado, y le aadimos el hecho de que todos estos modelos, a pesar de tener sus propias definiciones y esquemas para afrontar los objetivos perseguidos, siguen un mismo patrn de comportamiento:
DEFINIR Establecer los fines y objetivos del proyecto
CONTROLAR DEFINIR
MEDIR Identificar el conjunto de rangos potenciales y establecer lneas bases para los distintos niveles. ANALIZAR Evaluar los datos y la informacin, obtenida de los evento. Para identificar patrones de comportamiento. MEJORAR Desarrollar, implementar y evaluar soluciones paliativas para las carencias detectadas. CONTROLAR Asegurar que los problemas estn identificados y que los nuevos mtodos pueden ser aplicados.
MEJORAR
MEDIR
ANALIZAR
Entonces deberemos ver a CMMI, al menos desde el plano terico, como un modelo vlido para la gestin de servicios de explotacin. Queda por delante desarrollarlo y ver su comportamiento en un entorno real.
Solo una ltima advertencia referente al uso que le demos a CMMI: Si adoptamos el modelo CMMI desde el punto de vista de la evaluacin, entendida esta como la bsqueda de lo mnimo exigido para satisfacer el modelo y pasar el test, estaremos llevando a nuestra organizacin al fracaso en cuanto a satisfacer verdaderamente el modelo por la falta de institucionalizacin y no dar un verdadero valor de negocio a nuestra organizacin. Si por el contrario adoptamos un punto de vista de mejora de proceso, entendida esta como la bsqueda de lo mejor para la organizacin y su crecimiento, estaremos aprovechando la esencia del modelo y sus efectos repercutirn para bien en nuestra empresa.
Pg. 50 de 61
6 ANEXO A
LEY SARBANES OXLEY
El incluir este anexo obedece al hecho de que incluso para aspectos regulativos de mbito financieros como la Ley Sarbanes Oxley, se pone de manifiesto la importancia de las tecnologas de la informacin (incluida la gestin de los servicios de explotacin) en los proceso de negocio y la necesidad de su correcto modelado y control, dado que repercuten en el funcionamiento de la organizacin de forma global. La Ley Sarbanes Oxley es promulgada el 30 de julio de 2002, para proteger a los inversores mejorando la ACCURACY y la confianza de las notificaciones corporativas realizadas cumpliendo con las leyes financieras, y otros propsitos. Su mbito de aplicacin es para todas aquellas empresas cuyos valores, acciones y obligaciones, coticen en Wall Street. La Ley es interpretada y reglamentada por la SEC (Securities and Exchange Commission) y el PCAOB (Public Company Accounting Oversight Board). Como secciones de gran impacto y repercusin de la Ley tenemos:
Seccin 302. Corporate Responsibility for Financial Reports. Requiere que el Consejero
Delegado y el Director Financiero certifiquen anualmente que: - Han revisado el informe y no contiene ninguna declaracin falsa. - Son responsables del establecimiento y mantenimiento de los controles internos. - Han diseado controles que aseguren que la informacin tratada por ellos es correcta. - Han evaluado la efectividad de los controles. - Han presentado en el informe las conclusiones sobre la efectividad de los controles internos basados en su evaluacin. - Han comunicado al Comit de Auditoria y a los auditores las deficiencias significativas detectadas en los controles, as como cualquier caso de fraude, material o no, identificado, que implique a la direccin o a los empleados.
Seccin 404. Management Assessment of Internal Controls. Requiere que anualmente la
Direccin prepare un informe de control interno que: - Determine su responsabilidad en establecer y mantener una adecuada estructura de control interno y unos adecuados procedimientos para la elaboracin en tiempo, forma y contenido de la informacin financiera de la sociedad. - Contendr una evaluacin de la efectividad de la estructura de control interno y los procedimientos. El Auditor Externo deber dar una opinin sobre las afirmaciones de la Direccin.
PCAOB Estndar de auditora n 2. Establece, una auditora de control interno sobre el
reporte financiero realizada en conjuncin con una auditora de estados financieros; - Contempla tanto el trabajo que se requiere para auditar el control interno sobre reporte financiero como la relacin de esa auditora con la de los estados financieros, y - Se refiere a la atestacin de la evaluacin de la Direccin de la efectividad del control interno como la auditora del control interno sobre el reporte financiero.
Pg. 51 de 61
La Direccin debe basar su evaluacin de la efectividad del control interno de la compaa sobre reporte financiero en base a un modelo de control reconocido y adecuado establecido por un consejo de expertos. En EEUU, el Committee of Sponsoring Organizations ("COSO") de la Comisin Treadway ha publicado Internal Control Integrated Framework. La publicacin de COSO (en adelante COSO) provee un modelo adecuado para los propsitos de la evaluacin de la Direccin.
METODOLOGA COSO La metodologa COSO establece una definicin de control interno y facilita un modelo en base al cual las empresas puedan evaluar los sistemas de control interno as como mejorarlos, y por tanto sienta las bases para formular el modelo de control interno exigido por la Ley. El control interno se define como un proceso efectuado por el Consejo de Administracin, la Direccin y el resto de personal de un entidad con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras: Operativos: referente a la utilizacin eficaz y eficiente de los recursos de una
entidad.
Financiero: referente a la preparacin y publicacin de estados financieros fiables. Cumplimiento: referente al cumplimiento por parte de la entidad de las leyes y
normas que le sean aplicables.
Pg. 52 de 61
El control interno consta de cinco componentes relacionados entre s e inherentes al estilo de gestin de la empresa: Entorno de control. Evaluacin de riesgos. Actividades de control. Informacin y comunicacin. Supervisin.
Dado que COBIT se formul en lnea con los requerimientos exigidos en la metodologa COSO, ste modelo proporciona una optima plataforma sobre la que construir los requerimientos que sobre tecnologas de la informacin recoge la Ley:
Pg. 53 de 61
Pg. 54 de 61
A partir de la metodologa COSO y de COBIT se puede construir un marco de control que para los procesos de Desarrollo, Cambios a Programas, Acceso a Programas y Datos, y Operaciones. Adems se incluir un proceso denominado Entorno de Control que servir para valorar el estado general del rea de TI.
Entorno de Control de TI Es la extensin del componente del entorno global de control en la organizacin de TI. Representa el tone at the top de la organizacin de TI y debera ser evaluado de una forma similar al entorno de control de la compaa en su conjunto Sub-componentes tpicos clave: - Valores ticos y de integridad. - Compromiso con la competencia y desarrollo de las personas. - Filosofa de la Direccin y estilo de operar. - Estructura de la organizacin. - Asignacin de autoridad y responsabilidad. - Polticas y procedimientos de Recursos Humanos. - Participacin de aquellos encargados del gobierno.
Pg. 55 de 61
Desarrollo
Procesos y controles utilizados por la compaa para desarrollar, configurar, e implementar nuevas aplicaciones con el objetivo de satisfacer los objetivos financieros, operativos, y de cumplimiento del negocio. Sub-componentes tpicos clave: Gestin de programa de actividades de desarrollo. Inicio de proyectos (planificacin de proyectos, definicin del alcance, y requerimientos de aprobacin). Anlisis y diseo, incluyendo especificaciones tcnicas y de negocio. Procedimientos de seleccin de paquetes SW/HW. Pruebas y aseguramiento de la calidad. Conversin de datos. Procedimientos de paso a explotacin. Documentacin de usuario y tcnica, y formacin. La Direccin debera documentar, probar y evaluar los controles para asegurar: El desarrollo y adquisicin de nuevos sistemas se aprueba por un nivel apropiado tanto de la Direccin de TI como del negocio. La metodologa de desarrollo de sistemas tiene controles apropiados y se cumple para el desarrollo o adquisicin de sistemas y aplicaciones utilizadas para el proceso de reporte financiero. Los controles existentes que son afectados por el diseo e implementacin de nuevos sistemas son modificados o rediseados para retener su integridad. Se llevan a cabo las pruebas adecuadas para todos los desarrollos de sistemas y aplicaciones que se utilizan en los procesos de reporte financiero. Todas las pruebas se aprueban por los usuarios y por un adecuado nivel tanto de la Direccin de TI como del negocio. Se desarrolla una documentacin adecuada de sistema, usuario y control para nuevos sistemas y aplicaciones utilizados durante los procesos de reporte de los estados financieros. El desarrollo de interfaces para asegurar que se transfiere los datos completamente y precisamente. El acceso restringido para migrar sistemas y aplicaciones nuevos al entorno de produccin. La informacin migrada a la nueva aplicacin o sistema mantiene su integridad. Se forma a los usuarios en los nuevos sistemas y aplicaciones de acuerdo a un plan de formacin definido.
Cambios a Programas
Procesos y controles utilizados por la compaa para asegurar que las modificaciones a programas son satisfactorias para los objetivos financieros, operativos, y de cumplimiento del negocio. Sub-componentes tpicos clave: Gestin de programa de actividades de cambio. Especificacin, autorizacin, y seguimiento. Construccin, incluyendo controles de los entornos de desarrollo y del cdigo fuente. Pruebas y aseguramiento de la calidad. Autorizacin del paso al entorno de produccin. Documentacin tcnica y de usuario, y formacin. La Direccin debera documentar, probar y evaluar los controles para asegurar: Cualquier cambio a los sistemas y aplicaciones que proporcionan control sobre reporte financiero ha sido adecuadamente autorizado por la Direccin apropiada. Se modifica la documentacin de sistema, usuario y control para reflejar adecuadamente cambios a los sistemas relevantes para el reporte financiero. Se prueban los cambios a aplicaciones y sistemas y se documentan los resultados.
Pg. 56 de 61
Acceso restringido para migrar cambios a sistemas y aplicaciones al entorno de produccin. No se realizan cambios no autorizados a ficheros de sistema de aplicaciones, debidos a la migracin en produccin. Todos los cambios autorizados a sistemas y aplicaciones se migran al entorno de produccin. Se forma a los usuarios sobre los cambios a sistemas y aplicaciones.
Acceso a Programas y Datos (Seguridad)

Procesos y controles implantados para asegurar el que acceso a recursos del sistema y datos es autenticado y autorizado para satisfacer los objetivos financieros, operativos, y de cumplimiento del negocio. Sub-componentes tpicos clave: Polticas y procedimientos. Organizacin y gestin. Administracin de la seguridad de las aplicaciones. Administracin de la seguridad de los datos. Administracin de la seguridad de los sistemas operativos. Seguridad de la red interna. Seguridad de la red perimetral. Seguridad fsica. La Direccin debera documentar, probar y evaluar los controles para asegurar: Se gestiona la seguridad de la informacin para guiar la implementacin consistente de prcticas de seguridad. Los usuarios son conscientes de la posicin de la organizacin con respecto a la seguridad de la informacin ya que pertenece a la informacin de reporte financiero. El acceso lgico a la informacin existente en recursos informticos est restringido adecuadamente por la implementacin de mecanismos de identificacin, autenticacin, y autorizacin. Se han establecido procedimientos de forma que las cuentas de usuario son creadas, modificadas, y borradas a tiempo. Se revisa peridicamente la necesidad de los derechos de acceso. Existe un mecanismo efectivo para registrar la actividad de seguridad, identificar violaciones de seguridad, y escalar y actuar ante ellos a tiempo.
Operaciones
Procesos y controles implantados sobre las operaciones del da a da de los sistemas de TI y aplicaciones para asegurar que los sistemas en produccin son capaces de satisfacer los objetivos financieros, operativos, y de cumplimiento del negocio. Sub-componentes tpicos clave: Polticas y procedimientos. Organizacin y gestin. Planificacin y ejecucin de procesos batch. Gestin de copias de seguridad. Procedimientos de recuperacin de fallos operativos. La Direccin debera documentar, probar y evaluar los controles para asegurar: Existen procedimientos adecuados de realizacin y restauracin de copias de seguridad de forma que los datos, transacciones, y programas que son necesarios para el reporte financiero pueden ser recuperados. Existen procedimientos efectivos y se siguen para probar peridicamente la efectividad del proceso de restauracin y la calidad de los soportes fsicos de las copias de seguridad. Slo las personas autorizadas tienen acceso a las copias de seguridad Los procedimientos de gestin de problemas son efectivos para registrar, analizar, y
Pg. 57 de 61
resolver incidentes, problemas, y errores de sistemas y aplicaciones a tiempo. Los trabajos de sistema, incluyendo trabajos batch e interfaces, para aplicaciones relevantes de reporte financiero o datos son procesados a tiempo de una forma completa y precisa.
Tras esto el siguiente paso es identificar los objetivos de control y objetivos de control detallado que deben ser considerados para el modelo de control de interno:
OBJETIVOS DE CONTROL COBIT
AI-2 Adquisicin y Mantenimiento de Software de Aplicacin AI-3 Adquisicin y Mantenimiento de Arquitectura de Tecnologa AI-4 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin AI-5 Instalacin de Sistemas AI-6 Gestin de Cambios ES-1 Definicin de Niveles de Servicio ES-2 Administracin de Servicios prestados por Terceros ES-5 Garantizar la Seguridad de Sistemas ES-9 Gestin de la Configuracin ES-10 Administracin de Problemas e Incidencias ES-11 Gestin de Datos ES-13 Gestin de Operaciones
X X X X X X
X X X X X X X
X X X X X X X X X X X
Pg. 58 de 61
Accesos a Programas y datos

X X X X X X X X X X
Desarrollo de Programas
Cambios a Programas
Operaciones
7 ANEXO - B
SIX SIGMA
Mtodo que nace en los aos ochenta en Motorola, como un programa de reduccin radical de defectos en los productos que fabricaba. Pero el fenmeno Six Sigma no llega como tal, hasta mediados de los noventa. Un lder como Jack Welch, entonces mximo ejecutivo de General Electric, adopta Six Sigma como filosofa de gestin, impregna a toda la organizacin de esta filosofa y convierte un monstruo en una empresa eficiente, multiplicando varias veces el valor burstil de la compaa. Desde su origen, Six-Sigma se puede entender, interpretar y utilizar bajos diferentes perspectivas: Es una orientacin estratgica, que busca la perfeccin, o casi!, en los procesos empresariales, asociando la variabilidad de los procesos a la insatisfaccin de los clientes y a los costes de la mala calidad. Es una manera global de ver los procesos y sus actividades para trabajar mejor en lugar de trabajar ms. Es un conjunto de valores que cambia la forma tradicional de comprender y gestionar las organizaciones. Es un mtodo estructurado y un conjunto de herramientas para analizar los procesos e identificar oportunidades para mejorar radicalmente su funcionamiento.
Six-Sigma se basa en una serie de factores clave que permiten conseguir resultados importantes y sostenidos y transformar a la organizacin que adopta el modelo: Orientacin al cliente. En Six-Sigma el cliente es lo primero. Focalizacin en procesos. Los esfuerzos de mejora se concentran en el resultado de los procesos. Implantacin por proyecto, fijando objetivos y beneficios para cada proyecto. Medicin, rigurosa y sistemtica, del rendimiento de los procesos y de su eficacia y eficiencia a travs del coste de la mala calidad.
Six-Sigma es un programa en el que participa toda la empresa, desde el vrtice hasta la base. Esquemticamente la organizacin para implantar Six-Sigma, en la empresa seria: La Direccin que selecciona y define los proyectos, garantiza su alineamiento con la estrategia del negocio y se compromete a que dichos proyectos consigan los resultados previstos. A los directivos responsables de los proyectos se les denomina Champions. Los especialistas, Master Black Belts, Black Belts y Green Belts, seleccionados entre los mejores y formados intensamente para que sean capaces de aplicar la metodologa Six-Sigma en el desarrollo de los proyectos.
Pg. 59 de 61
Las personas de la organizacin, quienes participan colaborando con los especialistas en el desarrollo de los proyectos.
La metodologa de mejora de Six-Sigma es conocida como DMAMC por las cinco fases a travs de las cuales discurre un proyecto: definir, medir, analizar, mejorar y controlar. Definir: el objetivo de esta fase es concretar por qu se realiza el proyecto (prueba de la necesidad), cual es el problema a resolver, qu objetivos se quieren alcanzar, cules son los beneficios estimados y quin ser el especialista y el equipo que desarrollar el proyecto. Medir: el objetivo de esta fase es doble. Por una parte, se trata de identificar y seleccionar las variables del proyecto que condicionan su resultado, y por otra, evaluar el rendimiento actual del proceso, utilizando para ello datos vlidos y expresar dicho rendimiento mediante su valor sigma. Analizar: el objetivo final de esta fase es identificar cules son las pocas variables (causas9 que determinan realmente el funcionamiento del proceso y, por tanto, su rendimiento. Esta fase es la que ms se apoya en los mtodos estadsticos. Mejorar, el objetivo es introducir en el proceso los cambios favorables para mejorar radicalmente su rendimiento. Controlar: establecer un mtodo de control del proceso que permita asegurar los resultados obtenidos y mantenerlos en el tiempo.
A L T A D IR E C C IO N
V IS IO N P R IO R ID A D C A M IN O D E FIN IC I N
ENSEAR APO YAR ASESORAR
M ASTER C IN T U R N N E G R O
M E D IC I N A N A L IZ A R M E JO R A R CO NTROLAR
C IN T U R N NEGRO
C IN T U R N NEGRO
C IN T U R N NEGRO
C IN T U R N VERDE
C IN T U R N VERDE
C IN T U R N VERDE
C IN T U R N VERDE
C IN T U R N VERDE
Pg. 60 de 61
COMUNICACIN Y COORDINACIN
CAM PEN
D IR E C C IO N E S F U N C IO N A L E S
D IR E C T O R F IN A N C IE R O
8 REFERENCIAS
[1] COBIT 3 Edicin - Directrices de Auditoria Governance, Control and Audit for Information and Related Technology [2] IT Governance and Its Mechanisms Steven De Haes and Wim Van Grembergen [3] Best Practice For ICT INFRAESTRUCTURE MANAGEMENT (ITIL the key to Managing IT services) [4] Pathways to Process Maturity: The Personal Software Process and Team Software Process. Mapping TSP to CMMI Jim McHale Software Engineering Institute Carnegie Mellon University [5] Using SIX SIGMA to achieve CMMI Levels 4 y 5 CMMI Technology Conference & User Group 17-20 November 2003 Rick Hefner Northrop Grumman [6] PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD AUDITING STANDARD No. 1 References In Auditors' Reports To The Standards Of The Public Company Accounting Oversight Board AUDITING STANDARD No. 2 An Audit Of Internal Control Over Financial Reporting Performed In Conjunction With An Audit Of Financial Statements AUDITING STANDARD No. 3 Audit Documentation And Amendment To Interim Auditing Standards STAFF QUESTIONS AND ANSWERS. Auditing Internal Control Over Financial Reporting: June 23, 2004 October 6, 2004 November 22, 2004 [7] ISACA IT Control Objectives for Sarbanes-Oxley Appendices: Company-level Questionnaire IT Control Objectives
URL
http://www.pcaobus.org http://www.isaca.org http://www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx http://www.sei.cmu.edu/cmmi/ http://www.itil-itsm-world.com/
Pg. 61 de 61

CMMI

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CMMI

Uploaded by

Copyright:

Available Formats

Universidad Politcnica de Madrid Facultad de Informtica Estudios de Doctorado

DESARROLLO DE PROCESOS DE GESTIN DE SERVICIOS DE EXPLOTACIN SIGUIENDO EL MODELO CMMI

Sr. Juan Raggio Prez

Sr. Toms San Feliu Gilabert

Gestin de Servicios de Explotacin bajo CMMI

MODELOS PARA GESTIONAR LA EXPLOTACIN DE LOS SISTEMAS DE TI ..... 7

CMMI MODELO DE GESTIN PARA LOS SERVICIOS DE EXPLOTACIN .... 27

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

3 MODELOS PARA GESTIONAR LA EXPLOTACIN DE LOS SISTEMAS DE TI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Adquirir y mantener la arquitectura tecnolgica

Procedimientos de desarrollo y mantenimiento de sistemas

Instalar y acreditar sistemas

Administrar servicios prestados por terceros

Administrar desempeo y capacidad

Gestin de Servicios de Explotacin bajo CMMI

Garantizar la Seguridad de Sistemas

Apoyar y asistir a los clientes de TI

Administrar problemas e incidentes

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

3.2 EL MODELO ITIL (IT Infrastructure Library)

GESTIN DEL SERVICIO GESTION DE LA APLICACIN

GESTIN DE LA INFRAESTRUCTURA DE ICT

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Procesos y procedimientos operacionales. Estrategias, planes, polticas, estndares y arquitecturas.

Entregables Una estable y segura infraestructura de ICT.

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

3.3 MOF (MICROSOFT OPERATIONS FRAMEWORK)

Gestin de Servicios de Explotacin bajo CMMI

Madurez, y en las que para cada funcin MOF se informa de su estado.

Nivel de M adurez del Proceso

El modelo de proceso MOF para los servicios de explotacin es el siguiente:

Revisin de Acuerdo de Servicio

Gestin de Servicios de Explotacin bajo CMMI

Gestin de Servicios de Explotacin bajo CMMI

Para este modelo de proceso la Matriz de Madurez podra ser la siguiente:

Control y Monitorizacin de Servicios

Gestin de continuidad de Servicio

Adm. de Servicios de Directorio

Gestin de centro de Servicios

Gestin de Nivel de Servicio

Gestin del Cambio

Gestin de Servicios de Explotacin bajo CMMI

REVISIN DE NIVELES DE SERVICIO

Gestin de Servicios de Explotacin bajo CMMI

4 CMMI MODELO DE GESTIN PARA LOS SERVICIOS DE EXPLOTACIN

Gestin de Servicios de Explotacin bajo CMMI

4.1 ESTRUCTURA CMMI POR ETAPAS

relacionadas en un rea de inters).

Institucionalizacin. Resultado de implementar el proceso una y otra vez. Es