Modelo de Madurez y Capacidades (CMM)

MODELO DE MADUREZ (CMM)

INTRODUCCIN El Modelo de Capacidad y Madurez o CMM (Capability Maturity Model), es un modelo de evaluacin de los procesos de una organizacin. Este modelo est basado en conceptos de calidad total y mejora continua. Fue desarrollado inicialmente para los procesos relativos al software por la Universidad CarnegieMellon. para el SEI (Software Engineering Institute).

MODELO DE MADUREZ (CMM)

El SEI es un centro de investigacin y desarrollo patrocinado por el Departamento de Defensa de los Estados Unidos de Amrica y gestionado por la Universidad Carnegie-Mellon. Este modelo tambin puede ser utilizado como referencia para llevar a cabo auditorias y evaluaciones internas en organizaciones que desarrollan y/o mantienen software.

MODELO DE MADUREZ (CMM)

Antecedentes Histricos.
A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados Unidos de Amrica, desarroll una primera definicin de un modelo de madurez de procesos en el desarrollo de software, que se public en septiembre de 1987. Este trabajo evolucion al modelo CMM o SW-CMM (CMM for Software), cuya ltima versin (v1.1) se public en febrero de 1993.

MODELO DE MADUREZ (CMM)

Descripcin.
Este modelo establece un conjunto de prcticas o procesos clave agrupados en reas Clave de Proceso (KPA - Key Process Area). Para cada rea de proceso define un conjunto de buenas prcticas que habrn de ser:
Definidas en un procedimiento documentado.

Provistas (la organizacin) de los medios y formacin necesarios.

Ejecutadas de un modo sistemtico, universal y uniforme (institucionalizadas). Medidas. Verificadas.

MODELO DE MADUREZ (CMM)

Presentacin Del Modelo CMM.

MODELO DE MADUREZ (CMM)

Descripcin de los niveles de CMM.

MODELO DE MADUREZ (CMM)

Descripcin del nivel Inicial 1.

REAS CLAVE CARACTERSTICAS Ninguna El proceso de software es informal y ocasionalmente catico, existen muy pocos procesos definidos y el xito de un proyecto depende del esfuerzo individual de las personas. Manejo de proyectos, planeacin, manejo de la configuracin, control de calidad de software. Productividad y calidad escasa Riesgo Mximo.

RETOS A SUPERAR

RESULTADO

MODELO DE MADUREZ (CMM)

Descripcin del nivel Inicial 1.

REAS CLAVE CARACTERSTICAS Ninguna El proceso de software es informal y ocasionalmente catico, existen muy pocos procesos definidos y el xito de un proyecto depende del esfuerzo individual de las personas. Manejo de proyectos, planeacin, manejo de la configuracin, control de calidad de software. Productividad y calidad escasa Riesgo Mximo.

RETOS A SUPERAR

RESULTADO

MODELO DE MADUREZ (CMM)

Descripcin del nivel Repetible 2.

REAS CLAVE Administracin de requerimientos Planeacin del proyecto Supervisin y seguimiento del proyecto Administracin de subcontratistas Aseguramiento de la calidad del SW. Administracin de la configuracin del SW. Existen procesos bsicos de administracin de proyectos en el seguimiento de los costos, calendarios, tiempos y funcionalidad, existe la disciplina necesaria en el proceso de tal forma que pueden repetirse los xitos de proyectos anteriores.
Formacin prcticas tcnicas (pruebas), enfoque en procesos hacia estndares, etc. Productividad y calidad escasa.

CARACTERSTICAS

RETOS A SUPERAR

RESULTADO

Riesgo Mximo.

MODELO DE MADUREZ (CMM)

Descripcin del nivel Definido 3.

REAS CLAVE Atencin a los procesos de la organizacin. Definicin de los procesos de la organizacin. Programa de entrenamiento. Administracin de la integracin de SW. Ingeniera del producto de SW. Coordinacin entre grupos. Revisin entre partes. El proceso de software tanto para las actividades de administracin y de ingeniera se encuentra documentado, estandarizado e integrado al proceso de software de la organizacin. Medicin de procesos, anlisis de procesos, planes de calidad cuantitativa. Productividad y calidad media.

CARACTERSTICAS

RETOS A SUPERAR

RESULTADO

Riesgo Medio.

MODELO DE MADUREZ (CMM)

Descripcin del nivel Adminidtrado 4.

REAS CLAVE Administracin del proceso cuantitativamente Administracin de la calidad de SW.

CARACTERSTICAS Se recolectan mtricas importantes del proceso y del producto de software, adems que estos procesos estn cuantitativamente entendidos y controlados.

RETOS A SUPERAR Controlar el cambio de la tecnologa, el anlisis de problemas, prevencin de problemas RESULTADO Productividad y calidad alta. Riesgo Mnimo.

MODELO DE MADUREZ (CMM)

Descripcin del nivel Optimizado 5.

REAS CLAVE Prevencin de errores y defectos. Administracin del cambio tecnolgico. Administracin del cambio de proceso.

CARACTERSTICAS

Existe un mejoramiento continuo del proceso basado en la retroalimentacin cuantitativa del proceso y de nuevas ideas y tecnologas piloto

RETOS A SUPERAR

Optimizacin de intensos procesos desarrollados por personas Manteniendo la organizacin a un nivel mximo. Productividad y calidad total. Riesgo Nulo.

RESULTADO

Ejemplo: Para La Evaluacin De Un Objetivo En Auditoria.

MODELO DE MADUREZ (CMM)

Conceptos Clave Para La Aplicacin Del Modelo.

Madurez: Indica el grado de confiabilidad o dependencia que el negocio puede tener en un proceso , al alcanzar las metas y objetivos deseados.
Niveles de Madurez: Es un marco de categoras o niveles que ayuda a proporcionar la disciplina necesaria para comprometerse con la mejora continua. (Es importante mencionar que los niveles de madurez permiten a una organizacin desarrollar la capacidad de evaluar y valorar el impacto que tiene el integrar una prctica nueva, tecnologa actual, o herramientas necesarias para desarrollar una actividad. De ah, que lo importante de introducir nuevas prcticas, no slo es el hecho implementarlas, si no ms bien es el nivel de cumplimiento con respecto a la actividad proceso que se esta evaluando.

MODELO DE MADUREZ (CMM)

reas de procesos clave: (Key Process Areas, KPA) identifica una serie de actividades relacionadas que, cuando se realizan en conjunto, alcanzar un grupo de objetivos de consideracin importante. Objetivos: Los objetivos de un rea de proceso clave resumen los estados que deben existir para aquella rea de proceso clave de haber sido puesta en prctica funcione de un modo eficaz y durable. De acuerdo al grado de los objetivos cumplidos ser la capacidad de cumplimiento de la organizacin y corresponder al nivel de madurez. Los objetivos significan el propsito que se desea alcanzar al implantar mejores prcticas en un proceso en particular.

MODELO DE MADUREZ (CMM)

Mejores Prcticas: Son las prcticas que deben ser llevadas a cabo por es dueo del proceso para alcanzar las metas u objetivos del proceso. Prctica clave: Es la actividad que se encuentra integrada dentro del proceso; esta actividad debe ser realizada apropiada y oportunamente para asegurarse de cubrir la debilidades que afectan el logro de objetivos.

MODELO DE MADUREZ (CMM)

rea De Procesos Clave: Tecnologas de Informacin

MODELO DE MADUREZ (CMM)

Objetivos detallados Garantizar la seguridad de los sistemas
1 Administracin de la seguridad de TI
Administrar la seguridad de T] al nivel ms apropiado dentro de la organizacin, de manera que las acciones de administracin de la seguridad estn en lnea con los requerimientos del negocio.

2 Plan de seguridad de TI
Trasladar los requerimientos de informacin del negocio, la configuracin de TI, los planes de accin del riesgo de la informacin y la cultura sobre la seguridad en la informacin a un plan global de seguridad de TI. El plan se implementa en polticas y procedimientos de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las polticas y procedimientos de seguridad se comunican a los interesados y a los usuarios.

3 Administracin de identidad
Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicacin de negocio, operacin del sistema. desarrollo y mantenimiento) deben ser inidentificables de manera nica. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio definidas y documentadas y con requerimientos de trabajo. Los derechos de acceso del usuario son solicitados por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se implementan y se mantienen actualizadas medidas tcnicas y procedimientos rentables, para establecer la identificacin del usuario, realizar la autenticacin y habilitar los derechos de acceso.

MODELO DE MADUREZ (CMM)

4 Administracin de cuentas del usuario

Garantizar que la solicitud, establecimiento, emisin, suspensin, modificacin y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario. Debe incluirse un procedimiento que describa al responsable de los datos o del sistema como otorgar los privilegios de acceso. Estos procedimientos deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y d emergencia. Los derechos y obligaciones relacionados al acceso a los sistemas e informacin de la empresa son acordados contractual mente para todos los tipos de usuarios. La gerencia debe llevar a cabo una revisin regular de todas las cuentas y los privilegios asociados.

5 Pruebas, vigilancia y monitoreo de la seguridad

Garantizar que la implementacin de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser reacreditada peridicamente para garantizar que se mantiene el nivel seguridad aprobado. Una funcin de ingreso al sistema (logging) y de monitoreo permite la deteccin oportuna de actividades inusuales o anormales que pueden requerir atencin. El acceso a la informacin de ingreso al sistema est alineado con los requerimientos del negocio en trminos de requerimientos de retencin y de derechos de acceso.

6 Definicin de incidente de seguridad

Garantizar que las caractersticas de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de administracin de problemas o incidentes. Las caractersticas incluyen una descripcin de lo que se considera un incidente de seguridad y su nivel de impacto. Un nmero limitado de niveles de impacto se definen para cada incidente, se identifican las acciones especficas requeridas y las personas que necesitan ser notificadas.

7 Proteccin de la tecnologa de seguridad

Garantizar que la tecnologa importante relacionada con la seguridad no sea susceptible de sabotaje y que la documentacin de seguridad no se divulgue de forma innecesaria, es decir, que mantenga un perfil bajo. Sin embargo no hay que hacer que la seguridad de los sistemas dependa de la confidencialidad de las especificaciones de seguridad.

MODELO DE MADUREZ (CMM)

8 Administracin de llaves criptogrficas

Determinar que las polticas y procedimientos para organizar la generacin, cambio, revocacin, destruccin, distribucin, certificacin, almacenamiento, captura, uso y archivo de llaves criptogrficas estn implantadas, para garantizar la proteccin de las llaves contra modificaciones y divulgacin no autorizadas.

9 Prevencin, deteccin y correccin de software malicioso

Garantizar que se cuente con medidas de prevencin, deteccin y correccin (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de toda la organizacin para proteger a los sistemas de informacin y a la tecnologa contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado internamente, etc.).

10 Seguridad de la red
Garantizar que se utilizan tcnicas de seguridad y procedimientos de administracin asociados (por ejemplo, frewalls, dispositivos de seguridad, segmentacin de redes, y deteccin de intrusos) para autorizar acceso y controlar los flujos de informacin desde y hacia las redes.

11 Intercambio de datos sensitivos

Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a travs de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de envo, prueba de recepcin y no rechazo del origen.

MODELO DE MADUREZ (CMM)

Modelo de madurez Garantizar la seguridad de los sistemas

La administracin del proceso de Garantizar la seguridad de los sistemas que satisfaga el requerimiento de negocio de TI de mantener la integridad de la informacin y de la infraestructura de procesamiento y minimizar el impacto de vulnerabilidades e incidentes de seguridad es:

0 No-existente cuando
La organizacin no reconoce la necesidad de la seguridad para TI. Las responsabilidades y la rendicin de cuentas no estn asignadas para garantizar la seguridad. Las medidas para soportar la administrar la seguridad de TI no estn implementadas. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI. Hay una total falta de procesos reconocibles de administracin de seguridad de sistemas.

1 Inicial cuando
La organizacin reconoce la necesidad de seguridad para TI. La conciencia de la necesidad de seguridad depende principalmente del individuo. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de Ti ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.

2 Repetible pero intuitivo cuando

Las responsabilidades y la rendicin de cuentas sobre la seguridad, estn asignadas a un coordinador de seguridad de TI. pero la autoridad gerencial del coordinador es limitada. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen informacin relevante respecto a la seguridad, sta no se analiza. Los servicios de terceros pueden no cumplir con los requerimientos especficos de seguridad de la empresa. Las polticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son inadecuadas. Los reportes de la seguridad de TI son incompletos, engaosos o no aplicables. La capacitacin sobre seguridad est disponible pero depende principalmente de la iniciativa del individuo. La seguridad de TI es vista primordialmente como responsabilidad.

MODELO DE MADUREZ (CMM)

3 Proceso definido cuando

Existe conciencia sobre la seguridad y sta es promovida por la gerencia. Los procedimientos de seguridad de TI estn definidos y alineados con la poltica de seguridad de TI. Las responsabilidades de la seguridad de TI estn asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un anlisis de riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas contra intrusos). Existe capacitacin en seguridad para TI y para el negocio, pero se programa y se comunica de manera informal.

4 Administrado y Medible cuando

Las responsabilidades sobre la seguridad de TI son asignadas, administradas e implementadas de forma clara. Regularmente se lleva a cabo un anlisis de impacto y de riesgos de seguridad. Las polticas y prcticas de seguridad se complementan con referencias de seguridad especficas. El contacto con mtodos para promover la conciencia de la seguridad es obligatorio. La identificacin, autenticacin y autorizacin de los usuarios est estandarizada. La certificacin en seguridad es buscada por parte del personal que es responsable de la auditoria y la administracin de la seguridad. Las pruebas de seguridad se hacen utilizando procesos estndares y formales que llevan a mejorar los niveles de seguridad. Los procesos de seguridad de TI estn coordinados con la funcin de seguridad de toda la organizacin. Los reportes de seguridad estn ligados con los objetivos del negocio. La capacitacin sobre seguridad se imparte tanto para TI como para el negocio. La capacitacin sobre seguridad de TI se planea y se administra de manera que responda a las necesidades del negocio y a los perfiles de riesgo de seguridad. Los KGIs y KPIs ya estn definidos pero no se miden an.

5 Optimizado cuando
La seguridad en TI es una responsabilidad conjunta del negocio y de la gerencia de TI y est integrada con los objetivos de seguridad del negocio en la corporacin. Los requerimientos de seguridad de TI estn definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado. Los usuarios y los clientes se responsabilizan cada vez ms de definir requerimientos de seguridad, y las funciones de seguridad estn integradas con las aplicaciones en la fase de diseo. Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. Se llevan a cabo valoraciones de seguridad de forma peridica para evaluar la efectividad de la implementacin del plan de seguridad. La informacin sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistemtica. Se recolectan e implementan de forma oportuna controles adecuados para mitigar riesgos. Se llevan acabo pruebas de seguridad, anlisis de causa-efecto e identificacin pro-activa de riesgos para la mejora continua de procesos. Los procesos de seguridad y la tecnologa estn integrados a lo largo de toda la organizacin. Los KGIs y KPIs para administracin de seguridad son recopilados y comunicados. La gerencia utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejora continua.