Evaluación de Procesos ISO/IEC 15504: Guía para la Mejora y Determinación de la Capacidad, Cheat Sheet of Software Engineering

Download Evaluación de Procesos ISO/IEC 15504: Guía para la Mejora y Determinación de la Capacidad and more Cheat Sheet Software Engineering in PDF only on Docsity!

UNAD

TAREA 4

VERIFICACIÓN Y VALIDACIÓN DE SOFTWARE

INGENIERIA DE SISTEMAS

JHON ANDERSON RODRIGUEZ MARTIN

CC.

BOGOTA 2024

INTRODUCCIÓN

Una forma que tienen los ingenieros para evaluar la calidad de nuestro software es la norma ISO/EIC 15504; en este documento estudiaremos a profundidad el objetivo de esta norma, los 10 partes que la componen, los niveles de madurez que se pueden obtener y, finalmente, se desarrollara una guía sencilla para implementarla.

9. ISO/IEC TS 15504-9:2011 — Parte 9: Perfiles de proceso objetivo — Esta especificación técnica es útil como una versión preliminar de la norma que describe los perfiles de proceso objetivo. 10. ISO/IEC TS 15504-10:2011 — Parte 10: Extensión de seguridad — Esta especificación técnica es muy importante como versión previa de la norma que cubre aspectos de seguridad. ¿Cuáles es la importancia de cada una de las partes de la norma ISO/EIC 15504 SPICE? Parte 1; Conceptos y Vocabulario: Permite realiza un análisis la capacidad de determinación en los procesos para establecer una mejora, identificando las fortalezas, debilidades y riesgos para lograr los objetivos Parte 2: Realización de la evaluación Su importancia se basa en documentar y desarrollar planes evaluativos los cuales puedan comprender los procesos y capacidades implementadas, los niveles más altos de capacidad pueden brindar una mejor confianza para cumplir con los propósitos, pero los niveles más bajo indicaran fuentes de riesgo Parte 3: Guía para la realización de la evaluación. Esta parte cuenta con una gran importancia ya que, proporción una guía la cual está destinada principalmente para el uso de evaluadores y patrocinadores de la evaluación para la orientación los requerimientos o capacidades implementados en la parte anterior Parte 4: Guía sobre el uso para la mejora del proceso y la determinación de la capacidad del proceso. Proporciona métodos de orientación sobre cómo hacer uso de una evaluación de proceso dentro de un programa de mejora para los procesos o capacidad de proceso, este post solo es informativo que ayude a guiar cualquier relación cliente- proveedor en una organización Parte 5: Un ejemplo de modelo de evaluación del proceso Aplica un modelo de evaluación de procesos de indicadores de rendimiento y capacidad del proceso, permitiendo evaluar las calificaciones recopiladas de la evidencia de objetivos, esta parte va dirigida principalmente para patrocinadores y evaluadores. también puede ser útil para los desarrolladores de los móldelos de evaluación Parte 6: Constituye un modelo de evaluación de procesos Define la capacidad de la estructura con el propósito del proceso modelos de gestión que cumpla con los requisitos acordados. ya que, son indispensables para su aplicación Parte 7: Define las condiciones para una evaluación de madurez organizacional; Su importancia, realiza una arquitectura de un modelo de madurez en relación entre la evaluación de la capacidad del proceso y la determinación de la madurez organizacional demostrando la capacidad de cambiar y adaptar el desempeño de los procesos que son fundamentales para respaldar los objetivos comerciales en la organización. para ello se clasifican en una escala del 0 al 5, donde 5 es la organización innovadora. Parte 8: Proporciona un ejemplo de un modelo de evaluación de procesos de gestión de servicios de TI Plantea una relación de modelos para evaluar que se cumplan con los requisitos definidos en la parte 2, para ello es posible que se necesiten diferentes modelos

y método para abordar las diferentes necesidades comerciales, su alcance en la parte 5 y 6 ayuda en las situaciones de evaluación en gestión de servicios de procesos del ciclo de vida de un sistema Parte 9. Perfiles de proceso objetivo Emplea una base para evaluar los procesos los cuales deberán cumplir para alcanzar un nivel de capacidad adecuada dentro de los niveles de madurez. estos se determinarán por el cumplimiento en una medida progresiva de toda la organización en base a un perfil de procesos concreto para cada nivel. se establecen 3 niveles de capacidad siguiendo el modelo de certificación propuesto por AENOR ¿Cuáles son las actividades que como evaluador de software realizaría en cada una de las 10 partes de la norma ISO/EIC 15504 SPICE? Parte 1: al ser la parte donde se entienden los conceptos básicos, yo organizaría capacitaciones con expertos en la norma para todas las personas interesadas. Parte 2, 3 y 5: En estas etapas, organizaría varias sesiones de trabajo con interesados claves de la compañía que conozcan el software a profundidad y haríamos la evaluación en conjunto, usando como base el ejemplo detallado en la parte 5; usaría algún experto certificado en esta ISO como facilitador. Parte 4: esta parte solo la aplicaría cuando el software ya haya sido evaluado al menos una vez y se hayan hecho correcciones de este; ejecutaría esta evaluación para una versión 2.0 del software. Parte 6 y 7: En conexión con las partes 2, 3 y 5, correría una evaluación PAM inicial para tener la línea base de madurez y luego correría otra evaluación PAM después de cada mejora del software y así llevar indicadores de evolución de la calidad de este; usando los ejemplos detallados en la parte 6. • Parte 8: Junto con los mismos interesados claves usados en la parte 2, 3 y 5 correría una evaluación de los servicios de IT para el software en cuestión, tanto antes de las mejores como después de versión lanzadas y así determinar indicadores de evolución en la calidad de estos. Parte 9: junto con los expertos de proceso y después de la parte 2, yo reuniría a este equipo para mapear el proceso actual (as is) y definir un proceso mejorado (to be) basado en las herramientas de la norma ISO 15504. Parte 10: Finalmente, después de correr todos los assesment tanto de calidad de software como de proceso haría una última verificación de características de seguridad antes de liberar la versión final mejorada. ¿Cuál es el orden lógico para aplicar cada una de las partes de la norma ISO/EIC 15504 SPICE? ¿Y por qué? El orden lógico es: Primero se debe aplicar la parte 1 para contextualizar al equipo implementador de los conceptos básicos de la norma, luego sigue la parte 2 que es el centro de esta ISO ya que

familiarizarse con la terminología y la estructura del conjunto de documentos y luego hacer referencia a las partes apropiadas del conjunto para el contexto en el que proponen realizar una evaluación. ISO/EIC 15504-2: Tecnología de la información — Evaluación de procesos — Parte 2: Realización de una evaluación ISO/IEC 15504-2:2003 define los requisitos para realizar la evaluación del proceso como base para su uso en la mejora del proceso y la determinación de la capacidad. La evaluación de procesos se basa en un modelo bidimensional que contiene una dimensión de proceso y una dimensión de capacidad. La dimensión del proceso la proporciona un modelo de referencia de proceso externo, que define un conjunto de procesos caracterizados por declaraciones de propósito y resultados del proceso. La dimensión de capacidad consiste en un marco de medición que comprende seis niveles de capacidad de proceso y sus atributos de proceso asociados. El resultado de la evaluación consiste en un conjunto de calificaciones de atributos de proceso para cada proceso evaluado, denominado perfil de proceso, y también puede incluir el nivel de capacidad alcanzado por ese proceso. También identifica el marco de medición para la capacidad del proceso y los requisitos para: realizar una evaluación, modelos de referencia de procesos, modelos de evaluación de procesos, verificar la conformidad de la evaluación de procesos. Los requisitos para la evaluación de procesos definidos en ISO/IEC 15504-2:2003 forman una estructura que: facilita la autoevaluación, proporciona una base para su uso en la mejora del proceso y la determinación de la capacidad, tiene en cuenta el contexto en el que se implementa el proceso evaluado, produce una calificación del proceso, aborda la capacidad del proceso para lograr su propósito, es aplicable en todos los dominios de aplicación y tamaños de organización, y puede proporcionar un punto de referencia objetivo entre organizaciones. El conjunto mínimo de requisitos definido en esta parte asegura que los resultados de la evaluación sean objetivos, imparciales, consistentes, repetibles y representativos de los procesos evaluados. Los resultados de las evaluaciones de procesos conformes pueden compararse cuando los alcances de las evaluaciones se consideran similares. ISO/EIC 15504-3: Tecnología de la información. Evaluación de procesos. Parte 3: Orientación para realizar una evaluación. Todas las partes proporcionan un marco para la evaluación de procesos. Este marco puede ser utilizado por organizaciones involucradas en la planificación, gestión, seguimiento, control y mejora de la adquisición, suministro, desarrollo, operación, evolución y soporte de productos y servicios.

La parte 3 de esta ISO proporciona orientación sobre el cumplimiento del conjunto mínimo de requisitos para realizar una evaluación contenida en la norma. Proporciona una descripción general de la evaluación del proceso e interpreta los requisitos a través de la provisión de orientación sobre: realización de una evaluación, el marco de medición para la capacidad del proceso, modelos de referencia del proceso y modelos de evaluación del proceso, selección y uso de herramientas de evaluación, competencia de los evaluadores, verificación de la conformidad. La parte 3 también proporciona un proceso de evaluación documentado ejemplar que cumple con los requisitos de 4.2 en ISO/IEC 1550 4 - 2. ISO/EIC 15504-4: Tecnología de la información. Evaluación de procesos. Parte 4: Orientación sobre el uso para la mejora de procesos y la determinación de la capacidad de procesos. ISO/IEC 15504 proporciona un marco para la evaluación de procesos. Este marco puede ser utilizado por organizaciones involucradas en la planificación, gestión, seguimiento, control y mejora de la adquisición, suministro, desarrollo, operación, evolución y soporte de productos y servicios. La parte 4 brinda orientación sobre cómo utilizar una evaluación de procesos conforme dentro de un programa de mejora de procesos o para la determinación de la capacidad de procesos. Dentro de un contexto de mejora de procesos, la evaluación de procesos proporciona un medio para caracterizar una unidad organizacional en términos de la capacidad de los procesos seleccionados. El análisis de los resultados de una evaluación de procesos conforme con los objetivos comerciales de una unidad organizacional identifica las fortalezas, las debilidades y los riesgos relacionados con los procesos. Esto, a su vez, puede ayudar a determinar si los procesos son efectivos para lograr los objetivos comerciales y proporcionar los impulsores para realizar mejoras. La determinación de la capacidad del proceso se ocupa del análisis de la salida de una o más evaluaciones de procesos conformes para identificar las fortalezas, debilidades y riesgos involucrados en la realización de un proyecto específico utilizando los procesos seleccionados dentro de una unidad organizativa determinada. Una determinación de la capacidad del proceso puede proporcionar una entrada fundamental para la selección del proveedor, en cuyo caso a menudo se denomina "determinación de la capacidad del proveedor". La parte 4 también describe los procesos de PI y PCD y cómo implementarlos, y brinda orientación sobre la utilización de la evaluación del proceso, seleccionando los modelos de referencia del proceso, estableciendo la capacidad objetivo, definiendo la entrada de la evaluación, infiriendo el riesgo relacionado con el proceso a partir de la salida de la

ISO/EIC 15504-6:

Tecnología de la información — Evaluación de procesos — Parte 6: Un modelo ejemplar de evaluación de procesos del ciclo de vida del sistema ISO/IEC 15504 proporciona un marco para la evaluación de la capacidad del proceso. Este marco puede ser utilizado por organizaciones involucradas en la planificación, gestión, seguimiento, control y mejora de la adquisición, suministro, desarrollo, operación, evolución y soporte de productos y servicios. La parte 6 describe un modelo de evaluación de procesos (PAM

• Process Assesment Model) ejemplar para los procesos del ciclo de vida del sistema, conforme a los requisitos de ISO/IEC 15504-2 para un PAM. El PAM ejemplar de la parte 6 de esta norma ISO se deriva del modelo de referencia de procesos (PRM) definido en ISO/IEC 15288, asociado con los atributos de proceso definidos en la parte 2 de la norma

15504. El PAM resultante es un PAM bidimensional que proporciona indicadores para guiar la interpretación de los propósitos y resultados del proceso como se define en ISO/IEC 15288, y los atributos del proceso como se define en ISO/IEC 15504-2. Se puede utilizar para realizar una evaluación de procesos conforme a ISO/IEC 15504-2, ya sea en el contexto de un programa de mejora de procesos o para la determinación de la capacidad del proceso. ISO/IEC TR 15504-6: describe la estructura general del PAM con su dimensión de proceso (derivada de ISO/IEC 15288) y dimensión de capacidad (derivada del marco de medición definido en ISO/IEC 15504- 2), indicadores de desempeño del proceso (prácticas base y productos de trabajo) para 26 procesos extraídos de ISO/IEC 15288, indicadores de capacidad de proceso (prácticas genéricas, recursos genéricos y productos de trabajo genéricos) que caracterizan, para cualquier atributo de proceso de la dimensión de capacidad, cuáles son las características esperadas que demuestran el logro de ese atributo de proceso. La parte 6 de esta ISO también incluye la demostración de la conformidad del PAM con los requisitos de la parte 2, las características detalladas de los productos de trabajo y los productos de trabajo genéricos, orientación para adaptar el PAM y definir indicadores de evaluación adicionales. ISO/EIC TR 15504-7: Tecnología de la información. Evaluación de procesos. Parte 7: Evaluación de la madurez organizacional. ISO/IEC 15504 proporciona un marco para la evaluación de procesos. Este marco puede ser utilizado por organizaciones involucradas en la planificación, gestión, seguimiento, control y mejora de

la adquisición, suministro, desarrollo, operación, evolución y soporte de productos y servicios. ISO/IEC TR 15504-7: define las condiciones para una evaluación de la madurez organizacional; define un marco para determinar la madurez organizacional, basado en los perfiles de capacidad del proceso derivados de la evaluación del proceso, y define las condiciones bajo las cuales dichas evaluaciones son válidas. La parte 7 define la madurez organizacional como una expresión de la medida en que una organización implementa procesos consistentemente dentro de un alcance definido que contribuye al logro de sus objetivos comerciales (actuales o proyectados). Un Modelo de Madurez Organizacional se basa en uno o más Modelos de Evaluación de Procesos especificados y aborda los dominios y contextos para el uso de los Modelos de Referencia de Procesos de los que se derivan los Modelos de Evaluación de Procesos. La evaluación de la madurez de la organización se lleva a cabo mediante la realización de la evaluación del proceso como se especifica en ISO/IEC 15504-2. Las condiciones específicas se definen en ISO/IEC TR 15504-7:2008 en relación con el alcance del proceso de la evaluación de madurez organizacional, el alcance organizacional de la evaluación (que debe especificarse como representación de los elementos caracterizados por la calificación de madurez organizacional), y la estrategia de recopilación de datos (que debe garantizar que los resultados de la evaluación sean representativos del alcance de la organización). Al finalizar la evaluación, el conjunto de perfiles de procesos establecidos para la organización determina la calificación del nivel de madurez organizacional en base al marco definido en ISO/IEC 15504-7, como se especifica en el Modelo de Madurez Organizacional correspondiente. ISO/IEC TR 15504-7: también contiene orientación sobre la implementación de los requisitos para construir un modelo de madurez organizacional; en la realización de evaluaciones de madurez organizacional; y en la aplicación de clasificaciones de madurez organizacional para la mejora de procesos y la determinación de capacidades. ISO/EIC TS 15504-8: Tecnología de la información. Evaluación de procesos. Parte 8: Un modelo ejemplar de evaluación de procesos para la gestión de servicios de TI. ISO/IEC TS 15504-8: proporciona un ejemplo de un modelo de evaluación de procesos de gestión de servicios de TI (PAM) para usar en la realización de una evaluación de conformidad de acuerdo con

de uno o más estándares de seguridad específicos del dominio, ni extender ISO/IEC 15504 para usarlo como un estándar de seguridad contra el cual para verificar el cumplimiento. El objetivo es proporcionar a los evaluadores los medios y la información necesaria para medir la capacidad de los procesos y también definir posibles acciones de mejora del proceso cuando el software/sistema en desarrollo está relacionado con la seguridad. ISO/IEC TS 15504-10: como documento independiente, se puede utilizar junto con los modelos de evaluación de procesos las parte 5 y/o 6 por evaluadores experimentados con un apoyo mínimo de expertos en el dominio de la seguridad. ISO/IEC TS 15504-10: se desarrolla independientemente de cualquier estándar de seguridad específico que defina principios, métodos, técnicas y productos de trabajo de seguridad. Sin embargo, los elementos de los estándares de seguridad relevantes pueden asignarse a la extensión de seguridad y la extensión de seguridad está destinada a ser extensible para incluir requisitos de estándares de seguridad específicos. La influencia de la extensión de seguridad en la evaluación de los procesos en ISO/IEC 15504-5 e ISO/IEC TR 15504-6 se describe en ISO/IEC TS 15504-10:2011. Para cada proceso contenido en ISO/IEC 15504 - 5 e ISO/IEC TR 15504-6, hay una indicación de cuestiones adicionales que deben tenerse en cuenta en el momento de la evaluación. Los problemas se proporcionan por medio de párrafos que indican relaciones específicas entre los procesos ISO/IEC 15504-5 e ISO/IEC TR 15504-6 y los procesos ISO/IEC TS 15504-10:2011, así como también resaltan los aspectos relevantes a considerar para mejorar. la integridad de la fase de recopilación de datos de la evaluación. De esta forma, un evaluador puede utilizar ISO/IEC TS 1550 4 - 10:2011 para comprobar si, al evaluar un proceso ISO/IEC 15504-5 o ISO/IEC TR 15504-6, se han detectado algunos aspectos relevantes relacionados con el entorno de desarrollo de la seguridad. se ha perdido

CONCLUSIONES

• La norma ISO/IEC 15504 da un acercamiento estructurado a la verificación de software con pasos muy claros para cubrir todas las dimensiones de un sistema, desde los procesos, pasando por la calidad de las funcionalidades e, inclusive, una revisión general de seguridad de la información
• Las partes 1,2,5, y 6 son de naturaleza más normativa mientras las partes 3, 4 y 5 son no normativas, las partes 8,9 y 10 son más nuevas y adicionales en la norma.
• La parte 2 de la norma es la más clave ya que define el proceso completo de evaluación en detalle.