(Artículo preparado para difusión interna en la Red Científica Peruana -RCP)
El “cumplimiento proactivo” describe una forma nueva e innovadora de alcanzar el proceso de cumplimiento (cumplimiento con los requisitos necesarios para alcanzar una certificación). De forma simple, implica mirar más allá de la necesidad inmediata de pasar una auditoría y aprovechar el cumplimiento para impulsar la excelencia operacional de las TI. La auditoría ya no es el proceso policíaco y juzgador en que se convirtió años atrás, hoy se le considera un proceso de consultoría y consejería.
El cumplimiento proactivo llama a desplegar la mezcla correcta de herramientas y recursos necesarios para entregar servicios de TI seguros y de alta calidad. Desde una perspectiva de cumplimiento y de auditoría, una red más segura permite a las organizaciones anticiparse y planear para el cumplimiento y la auditoría con bastante anticipación lo que producirá deficiencias mínimas o nulas. Desde una perspectiva de negocio, el resultado neto es una mejor disponibilidad de los sistemas y los datos necesarios para operar el negocio.
Cambiar esta mentalidad de reactiva a proactiva no es un reto pequeño. En este documento se examina cómo las organizaciones pueden utilizar el Capability Maturity Model -CMM para ayudar a impulsar este cambio. Este documento explora cómo una organización puede transitar desde los niveles más bajos del modelo, donde el foco es típicamente el alineamiento de procesos y mecanismos para evaluar riesgos, hasta los niveles más altos donde las necesidades de los diferentes ejecutivos confluyen y se enfocan en la disponibilidad de datos y sistemas. Se proveen guías para los tipos de solución que se pueden implementar en cada etapa del modelo de madurez con el fin de satisfacer el cumplimiento a la vez que se logra la excelencia operacional. Asimismo se examina los beneficios de tal excelencia operacional sobre la base de una reciente investigación del IT Policy Compliance Group. Finalmente, este documento resalta cómo una empresa Fortune 500 obtuvo ahorros monetarios significativos en las áreas de auditoría, preparación y pruebas a medida que avanza hacia la adopción de un enfoque verdaderamente proactivo hacia el cumplimiento.
CMM -Modelo de Capacidad y Madurez
El Modelo de Capacidad y Madurez es una metodología que en sus inicios fue solo utilizada para desarrollar y refinar el proceso de desarrollo del software de una organización. CMM se emplea hoy además como modelo de evaluación de los procesos de una organización.
Este modelo establece un conjunto de prácticas o procesos clave agrupados en =C3=81reas Clave de Proceso (KPA – Key Process Area). Se enfoca en qué debe hacerse más que en cómo hacer las cosas. Para cada área de proceso define un conjunto de buenas prácticas que habrán de ser:
- Definidas en un procedimiento documentado
- Provistas (la organización) de los medios y formación necesarios
- Ejecutadas de un modo sistemático, universal y uniforme (institucionalizadas)
- Medidas Verificadas.
Las características que debe cumplir cada práctica son:
- Compromiso de la realización.
- La capacidad de realización.
- Las actividades realizadas.
- Las mediciones y el análisis.
- La verificación de la implementación.
Según este modelo, los cinco niveles de madurez -o gestión basada en valor- en que puede ubicarse una empresa son los siguientes:
- Inicial (procesos particulares, caóticos, o pocos procesos definidos)
- Repetible (están establecidos procesos básicos y existe un cierto nivel de disciplina para atenerse a esos procesos)
- Definido (todos los procesos están definidos, documentados, estandarizados e integrados entre sí)
- Gestionado (medición de los procesos y su calidad mediante la colección de datos detallados)
- Optimizado (se adopta y está implementada la mejora continua de los procesos mediante la retroalimentación cuantitativa y a través del establecimiento de pilotos de nuevas ideas y tecnologías)
CMMI consta de tres constelaciones:
CMMI para el Desarrollo (CMMI-DEV o CMMI for Development). En él se tratan procesos de desarrollo de productos y servicios. CMMI para la adquisición (CMMI-ACQ o CMMI for Acquisition), Versión 1.2. En él se tratan la gestión de la cadena de suministro, adquisición y contratación externa en los procesos del gobierno y la industria. CMMI para servicios (CMMI-SVC o CMMI for Services), está diseñado para cubrir todas las actividades que requieren gestionar, establecer y entregar Servicios.
El enfoque de CMMI-SVC es la entrega del servicio más que su desarrollo (CMMI-DEV) (CMMI=C2=AE for Services, Version 1_2.pdf). Los beneficios de CMMI-SVC son, entre otros: eficiencia; reputación; cumplimiento; valor.
CMMI-SVC proporciona las mejores prácticas que los proveedores de servicio pueden emplear cuando:
- Deciden qué servicios deberían proveer, definir servicios estándar, y hacer que las personas los conozcan.
- Asegurarse de que cuentan con todo lo que necesitan para entregar el servicio, incluyendo gente, procesos, consumibles, y equipos.
- Get new systems in place, change existing systems, retire obsolete systems, all while making sure nothing goes terribly wrong with the service
- Fijar nuevos acuerdos, cuidar los requerimientos de servicio, y operar los sistemas que apoyan los servicios.
- Asegurarse de que cuentan con los recursos necesarios para entregar los servicios y que los servicios están disponibles cuando se les requiera -a un costo apropiado.
- Manejar los que va mal -y prevenir que vaya mal en primer lugar, si es posible.
- Asegurar que están listos para recuperarse de desastres potenciales y que se recuperen los servicios si ocurre el desastre.
Si no estamos trabajando con el CMMI, ¿estaremos trabajando con el CIMM (Capability Im-Maturity Model)?
El CIMM afirma que las organizaciones pueden y deben ocupar los niveles por debajo del nivel CMM 1 cuando:
Nivel | Descripción | Característica |
0. Negligente | Indiferente | Fallar en permitir que un proceso de desarrollo exitoso tenga éxito. Todos los problemas se perciben como técnicos. Las actividades de gerencia y aseguramiento de la calidad son considerados demasiado y superfluas para la tarea del proceso de desarrollo de software. |
1. Obstructivo | Contra productivo | Se imponen procesos contra productivos. Los procesos se definen rígidamente y se enfatiza la adherencia a la forma. Abundan ceremonias rituales. La gestión colectiva se opone a la asignación de responsabilidades. Status quo =C3=BCber alles (las cosas que sigan como están, por sobre todas las cosas). |
2. Desdeñoso | Arrogante | Indiferencia institucionalizada por la buena ingeniería de software. Cisma completo entre las actividades de desarrollo de software y las de mejora de los procesos de software. Carencia completa de un programa de entrenamiento. |
3. Debilitador | Sabotaje | Abandono total de la propia cartera, desacreditación conciente de los esfuerzos de mejora del proceso de software de organizaciones similares. Premiar el fracaso y los malos resultados. |