CMM
CMM
CMM
INTRODUCCIN El Modelo de Capacidad y Madurez o CMM (Capability Maturity Model), es un modelo de evaluacin de los procesos de una organizacin. Este modelo est basado en conceptos de calidad total y mejora continua. Fue desarrollado inicialmente para los procesos relativos al software por la Universidad CarnegieMellon. para el SEI (Software Engineering Institute).
El SEI es un centro de investigacin y desarrollo patrocinado por el Departamento de Defensa de los Estados Unidos de Amrica y gestionado por la Universidad Carnegie-Mellon. Este modelo tambin puede ser utilizado como referencia para llevar a cabo auditorias y evaluaciones internas en organizaciones que desarrollan y/o mantienen software.
Antecedentes Histricos.
A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados Unidos de Amrica, desarroll una primera definicin de un modelo de madurez de procesos en el desarrollo de software, que se public en septiembre de 1987. Este trabajo evolucion al modelo CMM o SW-CMM (CMM for Software), cuya ltima versin (v1.1) se public en febrero de 1993.
Descripcin.
Este modelo establece un conjunto de prcticas o procesos clave agrupados en reas Clave de Proceso (KPA - Key Process Area). Para cada rea de proceso define un conjunto de buenas prcticas que habrn de ser:
Definidas en un procedimiento documentado.
RETOS A SUPERAR
RESULTADO
RETOS A SUPERAR
RESULTADO
CARACTERSTICAS
RETOS A SUPERAR
RESULTADO
Riesgo Mximo.
CARACTERSTICAS
RETOS A SUPERAR
RESULTADO
Riesgo Medio.
CARACTERSTICAS Se recolectan mtricas importantes del proceso y del producto de software, adems que estos procesos estn cuantitativamente entendidos y controlados.
RETOS A SUPERAR Controlar el cambio de la tecnologa, el anlisis de problemas, prevencin de problemas RESULTADO Productividad y calidad alta. Riesgo Mnimo.
CARACTERSTICAS
Existe un mejoramiento continuo del proceso basado en la retroalimentacin cuantitativa del proceso y de nuevas ideas y tecnologas piloto
RETOS A SUPERAR
Optimizacin de intensos procesos desarrollados por personas Manteniendo la organizacin a un nivel mximo. Productividad y calidad total. Riesgo Nulo.
RESULTADO
reas de procesos clave: (Key Process Areas, KPA) identifica una serie de actividades relacionadas que, cuando se realizan en conjunto, alcanzar un grupo de objetivos de consideracin importante. Objetivos: Los objetivos de un rea de proceso clave resumen los estados que deben existir para aquella rea de proceso clave de haber sido puesta en prctica funcione de un modo eficaz y durable. De acuerdo al grado de los objetivos cumplidos ser la capacidad de cumplimiento de la organizacin y corresponder al nivel de madurez. Los objetivos significan el propsito que se desea alcanzar al implantar mejores prcticas en un proceso en particular.
Mejores Prcticas: Son las prcticas que deben ser llevadas a cabo por es dueo del proceso para alcanzar las metas u objetivos del proceso. Prctica clave: Es la actividad que se encuentra integrada dentro del proceso; esta actividad debe ser realizada apropiada y oportunamente para asegurarse de cubrir la debilidades que afectan el logro de objetivos.
2 Plan de seguridad de TI
Trasladar los requerimientos de informacin del negocio, la configuracin de TI, los planes de accin del riesgo de la informacin y la cultura sobre la seguridad en la informacin a un plan global de seguridad de TI. El plan se implementa en polticas y procedimientos de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las polticas y procedimientos de seguridad se comunican a los interesados y a los usuarios.
3 Administracin de identidad
Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicacin de negocio, operacin del sistema. desarrollo y mantenimiento) deben ser inidentificables de manera nica. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio definidas y documentadas y con requerimientos de trabajo. Los derechos de acceso del usuario son solicitados por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se implementan y se mantienen actualizadas medidas tcnicas y procedimientos rentables, para establecer la identificacin del usuario, realizar la autenticacin y habilitar los derechos de acceso.
10 Seguridad de la red
Garantizar que se utilizan tcnicas de seguridad y procedimientos de administracin asociados (por ejemplo, frewalls, dispositivos de seguridad, segmentacin de redes, y deteccin de intrusos) para autorizar acceso y controlar los flujos de informacin desde y hacia las redes.
0 No-existente cuando
La organizacin no reconoce la necesidad de la seguridad para TI. Las responsabilidades y la rendicin de cuentas no estn asignadas para garantizar la seguridad. Las medidas para soportar la administrar la seguridad de TI no estn implementadas. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI. Hay una total falta de procesos reconocibles de administracin de seguridad de sistemas.
1 Inicial cuando
La organizacin reconoce la necesidad de seguridad para TI. La conciencia de la necesidad de seguridad depende principalmente del individuo. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de Ti ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.
5 Optimizado cuando
La seguridad en TI es una responsabilidad conjunta del negocio y de la gerencia de TI y est integrada con los objetivos de seguridad del negocio en la corporacin. Los requerimientos de seguridad de TI estn definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado. Los usuarios y los clientes se responsabilizan cada vez ms de definir requerimientos de seguridad, y las funciones de seguridad estn integradas con las aplicaciones en la fase de diseo. Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. Se llevan a cabo valoraciones de seguridad de forma peridica para evaluar la efectividad de la implementacin del plan de seguridad. La informacin sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistemtica. Se recolectan e implementan de forma oportuna controles adecuados para mitigar riesgos. Se llevan acabo pruebas de seguridad, anlisis de causa-efecto e identificacin pro-activa de riesgos para la mejora continua de procesos. Los procesos de seguridad y la tecnologa estn integrados a lo largo de toda la organizacin. Los KGIs y KPIs para administracin de seguridad son recopilados y comunicados. La gerencia utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejora continua.