MODELO DE CALIDAD ITMARK

Introducción

Es el primer modelo de calidad internacional diseñado específicamente para las pequeñas y medianas empresas. Es un modelo escalable y muy adecuado para las Empresas del sector TIC

MODELO DE CALIDAD ITMARK

ITMark es el primer modelo de calidad internacional orientado a pequeñas y medianas empresas. Su objetivo principal, es industrializar el desarrollo del software en las pequeñas empresas, con el fin de definir procesos que permitan producir software de calidad a más bajo costo.

ITMark fue creado por la Red de Centros de Excelencia en Software del European Software Institute (ESI). Esta red es una fundación sin ánimo de lucro cuya misión es identificar las necesidades de la industria del software y su impacto en la sociedad.

ITMark divide los procesos a evaluar en la empresa en tres categorías, basando cada una, en estándares internacionales:

·         Procesos de administración del negocio basado en el modelo 10-Squared

·         Procesos de administración de seguridad de la información basado en las normas ISO/IEC27001 e ISO/IEC 27002

·         Procesos de desarrollo y administración de software basado en los niveles de madurez 2 y 3 del modelo CMMI-DEV versión 1.2

ETAPAS DE LA EVALUACIÓN ITMark

La estructura de la evaluación de ITMark la podemos ver en siguiente tabla.

Etapa	Duración
Sesión de Formación	4 horas
Evaluación del Negocio	5-6 horas
Evaluación de la Administración de Seguridad de la Información	3 horas
Evaluación de los procesos de desarrollo de software	1 día y medio

EVALUACIÓN DEL NEGOCIO (GESTIÓN GENERAL)

Para hacer esta evaluación se utiliza el Modelo 10-Squared. Este modelo fue desarrollado por una compañía australiana especializada en banca de inversión y es utilizado para evaluar la madurez de la empresa en su modelo de negocio.

El modelo 10-Squared estudia 10 categorías y cada una de estas categorías están compuestas por 10 elementos, es decir que este modelo se basa en realizar 100 preguntas las cuales se califican de manera cuantitativa. Cada elemento de 10-Squared se identifica con 9 enunciados que tienen una puntuación de -4 hasta +4. La empresa marca el enunciado con el que más se identifique. A continuación explicaremos cada una de las categorías de 10-Squared:

·         Mercado. Definición y alcance del mercado.

·         Gestión. Capacidades del personal administrativo para alcanzar los objetivos del negocio. Definición y comunicación de la política empresarial de la compañía.

·         Productos y servicios. Tener unos productos competitivos y protegidos bajo patentes o derechos de autor.

·         Mercadeo, ventas y distribución. Definición de un plan estratégico de publicidad y de mercadeo, al igual que acciones que incrementen la demanda del producto.

·         Aspectos estratégicos. Análisis, definición y actualización de los aspectos estratégicos de la empresa, algunos son: dirección estratégica (misión, visión y objetivos), plan de negocios, plan de crecimiento y expansión.

·         Análisis financiero. Evaluación de estados financieros (flujo de caja y balance general). Definición de proyecciones de pérdidas y ganancias, de indicadores financieros (indicadores de liquidez, endeudamiento, rentabilidad, etc.), de los controles de gastos y costos y de la inversión de fondos.

·         Perfil y análisis del cliente. Definición del cliente ideal. Definición de estrategias para atraer clientes nuevos y retener a los antiguos.

·         Factores de inversión. Definición de estructura de inversiones, riesgo de inversión, pasivos contingentes entre otros.

·         Desarrollo y producción. Definición, documentación e implantación de los procesos operativos de la empresa y de los procesos de contratación de personal. Definición de un plan de mejora que permita alcanzar los objetivos de la empresa. Evaluación y mejora de la infraestructura de producción y distribución y el grado de automatización.

·         Industria y ambiente macroeconómico. Definición del entorno externo (Tendencias del sector, ambiente político y regulatorio, sindicatos, etc.).

Finalmente se elabora un reporte con los resultados obtenidos como las fortalezas y debilidades encontradas y se propone un plan de mejoramiento por categoría. Los resultados se expresan en una gráfica tal como se muestra en la siguiente figura:

  

EVALUACIÓN DE LA ADMINISTRACIÓN DE SEGURIDAD DE LA INFORMACIÓN

La siguiente fase evalúa el nivel del modelo de madurez de seguridad de la información basándose en las normas ISO 27001 y 27002. La norma ISO 27001 contiene los requisitos para el establecimiento, implementación, operación, revisión, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI). A continuación se pasará a explicar algunos de los componentes de la evaluación.

·         Debe existir un inventario de activos de hardware y software. Para cada elemento del inventario se debe tener información como: descripción, fecha de compra, número de copias (para software), usuario responsable. El inventario debe servir para identificar: software y equipos no autorizados, software no licenciado (más instalaciones que licencias), si existen equipos dañados o software con errores y si se encuentran aún dentro del periodo de garantía. Para cada elemento de hardware y software se debe identificar debidamente el propietario en el inventario.

·         Debe existir una política de clasificación de la información. Las empresas deben de clasificar su información para determinar los niveles de protección según la criticidad de esta. Para clasificar la información se debe tener en cuenta aspectos como la sensibilidad y la disponibilidad. La política de clasificación debe incluir las categorías en las que se clasifica la información (restringida, privada, pública, etc.) y los tipos de información que pueden incluirse en estas.

·         Deben existir roles y responsabilidades bien definidos. Los roles deben estar bien definidos por escrito y deben describir el trabajo, expectativas, derechos y deberes de los empleados y las funciones de estos que estén relacionadas con la seguridad de la información. Además, los permisos sobre la información deben asignarse con base en los roles y responsabilidades de los usuarios. Los usuarios deben tener acceso solo a aquella información que requieren para desarrollar su trabajo diario.

·         El responsable de la seguridad de la información debe ser una persona con entrenamiento especializado en seguridad. Todo el personal de la empresa debe de capacitarse en políticas y procedimientos de seguridad de la información, pero el responsable de ésta debe de recibir un entrenamiento especializado en temas como la seguridad de sistemas operativos y la seguridad en redes.

·         Debe existir un perímetro de seguridad física. La seguridad física se enfoca en la prevención de accesos físicos no autorizados y daños o interferencias a la información. El centro de datos de una empresa debe de estar localizado en áreas seguras, protegida por un perímetro de seguridad y con controles de acceso. El perímetro de seguridad debe de estar protegido por puertas con llave, claves de acceso, guardias de seguridad, sistemas de protección como alarmas y controles de autenticación de accesos y debe de estar protegida contra desastres naturales y accidentes.

·         Deben existir mecanismos para la eliminación segura de información. La información debe destruirse cuando ya no es necesaria, pero siguiendo procedimientos de destrucción definidos y seguros según la clasificación de esta. La destrucción debe ser definitiva dependiendo del carácter de privacidad de la información, desde romper papeles y CDs manualmente, hasta pasarlos por una trituradora de papel o por un artefacto desmagnetizador de CDs.

·         En una red, cada equipo conectado a ella debe tener instalado y configurado un firewall personal. Un firewall personal es un software que da o no da paso al tráfico de entrada y salida de información de un computador. Además de esto, provee información sobre intentos de Ataques y tráfico de la red. Un firewall protege de accesos no autorizados, Salida de información del sistema y ataques a otros sistemas y no protege de ataques que no pasen por él y ataques a la red que provienen del interior de la empresa.

·         Deben existir mecanismos para la protección contra código malicioso. Un código malicioso es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Los códigos maliciosos pueden tener objetivos como robar información y claves ó eliminar archivos e incluso formatear el disco duro. Existen varios tipos de código malicioso, algunos de ellos son: virus, gusanos, caballos troyanos, bombas lógicas, programas espías, entre otros.

Es de gran importancia proteger a la empresa de código malicioso, la opción más al alcance es la del uso de un antivirus. No solo se debe tener uno instalado en todos los equipos sino que también es necesario mantenerlos actualizados y ejecutarlos periódicamente. Existen otros programas para código maliciosos como los antiadware, antispyware, antiphishing, antispam, entre otros, que ayudan a incrementar la protección de la empresa.

·         Deben existir procedimientos de copia de seguridad y restauración de datos. Un backup es una copia alterna que se hace a la información y se almacena en otro lugar diferente con el fin de garantizar el funcionamiento de la compañía si algo falla. Los procedimientos para generar las copias de seguridad deben describir tanto los pasos para hacer un backup, como los pasos requeridos para restaurar los datos perdidos si la información original se pierde o se daña.

·         Las copias de seguridad deben estar etiquetadas y almacenadas en un lugar seguro. Los medios de almacenamiento donde están guardados los backups deben ser marcados adecuadamente de manera que se diferencien de los originales. Igualmente deben de protegerse de cualquier amenaza como ladrones, fuego, agua, polvo, tiempo, peso, calor, frío, campos electromagnéticos, etc. Las copias de seguridad deben ser guardadas en un lugar diferente al de la información original, lo ideal es q se encuentren en otro edificio o otra oficina.

·         Tanto la organización como sus empleados deben firmar acuerdos de confidencialidad. Éstos se firman cuando requiere tener información de los clientes y proveedores o entregarles información de la organización o traspasar su información a terceras partes. Las responsabilidades de seguridad se deben tratar desde que los empleados son contratados para reducir los riesgos de errores humanos, hurto, fraude o uso incorrecto de las instalaciones.

·         La organización debe garantizar el cumplimiento de los derechos de propiedad intelectual (utilización de copias ilegales, etc.). Las organizaciones deben definir políticas y controles para evitar que sus empleados descarguen o distribuyan software, música, videos o documentos ilegales o realicen cualquier otro tipo de actividad ilegal (extorsiones, pornografía, etc.). Algunos de los controles puede ser la restricción de acceso a sitios web de descargas de archivos y denegación de permisos para instalar aplicaciones.

·         Los controles de seguridad sobre los sistemas de información se verifican periódicamente para garantizar su cumplimiento. La organización debe hacer auditorias periódicamente sobre los controles establecidos para garantizar el cumplimiento de las políticas y planes de seguridad de la información.

EVALUACIÓN DE LOS PROCESOS DE DESARROLLO DE SW

La última fase de la evaluación de ITMark está basada en los niveles dos y tres de CMMI.

Nivel 2:

Manejado. En el nivel de madurez 2 se ordena el caos. En el nivel 2 las organizaciones se enfocan en tareas cotidianas referentes a la administración. Cada proyecto de la organización cuenta con una serie de procesos para llevarlo a cabo, los cuales son planeados y ejecutados de acuerdo con políticas establecidas; los proyectos utilizan gente capacitada quienes disponen de recursos para producir salidas controladas; se involucran a las partes interesadas; son monitoreados, controlados y revisados; y son evaluados según la descripción del proceso.

La disciplina del proceso reflejada por el nivel de madurez 2 ayuda a asegurar que existen prácticas y los proyectos son realizados y manejados de acuerdo a los planes documentados. En el nivel de madurez 2 el estado de los artefactos y la entrega de los servicios siguen planes definidos. Acuerdos son establecidos entre partes interesadas y son revisados cuando sea necesario. Los artefactos y servicios son apropiadamente controlados. Estos además satisfacen sus descripciones especificadas, estándares, y procedimientos. Este nivel está enfocado hacia la gestión de proyectos.

Las áreas de proceso del nivel 2 son:

ü  Administración de requerimientos (REQM)

ü  Planeación de proyectos (PP)

ü  Monitoreo y control de proyectos (PMC)

ü  Medición y análisis (MA)

ü  Aseguramiento de calidad de procesos y productos (PPQA)

ü  Administración de acuerdo con proveedores (SAM)

ü  Administración de la configuración (CM)

Administración de requerimientos (REQM). El propósito de esta área es administrar los requerimientos de los productos y los componentes de productos del proyecto e identificar las inconsistencias entre esos requerimientos y los planes y productos de trabajo del proyecto.

Su objetivo específico (SG) es que debe mantener los requerimientos actualizados y probados durante el tiempo de vida del proyecto. Y sus prácticas específicas (SP) para lograr cumplir el objetivo específico (SG) son:

·         Entender los requerimientos

·         Obtener compromiso con los requerimientos

·         Administrar los cambios a los requerimientos

·         Identificar inconsistencias entre productos de trabajo y requerimientos

Planeación de proyectos (PP). El propósito de esta área es establecer y mantener planes que definan las actividades del proyecto34.

Sus objetivos específicos (SG) son:

·         Establecer estimaciones

·         Establecer el plan del proyecto

·         Obtener compromiso con el plan

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Establecer estimaciones

·         Estimar el alcance del proyecto

·         Establecer estimados de atributos de productos de trabajo y tareas

·         Definir el ciclo de vida del proyecto

·         Determinar los estimados de esfuerzo y costo.

ü  Objetivo específico (SG): Establecer el plan del proyecto

·         Establecer el presupuesto y el cronograma

·         Identificar los riesgos del proyecto

·         Planear la gestión de datos

·         Planear los recursos del proyecto

·         Planear los conocimientos y habilidades requeridos

·         Planear la participación de los stakeholders (grupos personas o entidades requeridas para la ejecución de dichas actividades)

·         Establecer el plan del proyecto.

ü  Objetivo específico (SG): Obtener compromiso con el plan.

·         Revisar los planes que afectan el proyecto

·         Conciliar los niveles de trabajo y los recursos

·         Obtener compromiso con el plan

Monitoreo y control de proyectos (PMC). El propósito es proporcionar una comprensión del progreso del proyecto, y poder tomar acciones correctivas apropiadas cuando el desempeño del proyecto se desvíe considerablemente del plan inicial.

Sus objetivos específicos (SG) son:

·         Monitorear el proyecto contra el plan

·         Administrar las acciones correctivas hasta su cierre

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Monitorear el proyecto contra el plan

·         Monitorear los parámetros de planeación del proyecto

·         Monitorear los compromisos

·         Monitorear los riesgos

·         Monitorear la gestión de datos

·         Monitorear la participación de los stakeholders

·         Realizar revisiones de progreso

·         Realizar revisiones de hitos

ü  Objetivo específico (SG): Administrar las acciones correctivas hasta su cierre

·         Analizar problemas

·         Tomar acciones correctivas

·         Administrar las acciones correctivas

Medición y análisis (MA). El propósito es desarrollar y sustentar una capacidad de medición que se utiliza para poder dar soporte a las necesidades de información de la gerencia.

Sus objetivos específicos (SG) son:

·         Alinear las actividades de medición y análisis

·         Proveer los resultados de las mediciones

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Alinear las actividades de medición y análisis

·         Establecer objetivos de medición

·         Especificar las mediciones

·         Especificar los procedimientos de datos

·         Especificar los procedimientos de análisis

ü  Objetivo específico (SG): Proveer los resultados de las mediciones

·         Recolectar los datos de medición

·         Analizar los datos de medición

·         Almacenar los daros y resultados

·         Comunicar los resultados

Aseguramiento de calidad de procesos y productos (PPQA). El propósito es proporcionar al personal y a la gerencia una visión objetiva de los procesos y de los productos de trabajo asociados.

Sus objetivos específicos (SG) son:

·         Evaluar objetivamente los procesos y los productos de trabajo

·         Proporcionar una visión objetiva

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Evaluar objetivamente los procesos y los productos de trabajo.

·         Evaluar los procesos objetivamente

·         Evaluar los productos de trabajo objetivamente.

ü  Objetivo específico (SG): Proporcionar una visión objetiva.

·         Comunicar y asegurar la solución de los no cumplimientos

·         Establecer registros

Administración de acuerdo con proveedores (SAM). El propósito es administrar la adquisición de productos entregados por los proveedores con los cuales se ha realizado un acuerdo formal.

Sus objetivos específicos (SG) son:

·         Establecer acuerdos con los proveedores

·         Cumplir los acuerdos con los proveedores

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Establecer acuerdos con los proveedores

·         Determinar el tipo de adquisición

·         Seleccionar proveedores

·         Establecer acuerdos con los proveedores

ü  Objetivo específico (SG): Cumplir los acuerdos con los proveedores

·         Ejecutar los acuerdos con los proveedores

·         Monitorear los procesos seleccionados de los proveedores

·         Monitorear los productos de trabajo seleccionados de los proveedores

·         Aceptar el producto adquirido

·         Transferir los productos

Administración de la configuración (CM). El propósito es establecer y mantener la integridad de los productos de trabajo utilizando la identificación de configuración, el control de configuración, el registro del estado de configuración y las auditorias de configuración.

Sus objetivos específicos (SG) son:

·         Establecer líneas base

·         Controlar los cambios

·         Establecer integridad

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Establecer líneas base

·         Identificar los ítems de configuración

·         Establecer un sistema de gestión de configuraciones

·         Crear o liberar líneas base

ü  Objetivo específico (SG): Controlar los cambios

·         Realizar seguimiento a las solicitudes de cambio

·         Controlar los ítems de configuración

ü  Objetivo específico (SG): Establecer integridad

·         Establecer registros de administración de configuraciones

·         Realizar auditorías de configuración

Nivel 3: Definido. En el nivel de madurez 3, procesos son caracterizados y entendidos de buena forma, y son descritos en estándares, procedimientos, herramientas, y métodos. El conjunto de procesos estándares de la organización, los cuales son la base para el nivel de madurez 3, es establecido y mejorado continuamente. Estos procesos estándares son usados para establecer consistencia a través de la organización. Los proyectos establecen sus procesos adaptando el conjunto de procesos estándares de la organización de acuerdo a guías de adaptación.

Una diferencia importante entre el nivel 2 y 3 es el alcance de los estándares: la descripción de procesos y los procedimientos. En el nivel de madurez 2, los estándares pueden ser un poco diferentes en cada instancia específica del proceso (por ejemplo sobre un proyecto particular). En el nivel de madurez 3, los estándares, descripción de procesos y procedimientos para un proyecto, son adaptados desde un conjunto de procesos estándares de la organización a un particular proyecto o unidad organizacional y así son más consistentes.

Otra distinción crítica es que el nivel de madurez 3, los procesos son típicamente descritos más rigurosamente que en el nivel 2. Un proceso definido claramente plantea el propósito, entradas, criterios de entrada, actividades, roles, medidas, pasos de verificación, salidas y criterios de salida. En el nivel de madurez 3, procesos son manejados más proactivamente entendiendo las interrelaciones de las actividades y medidas detalladas del proceso, sus artefactos y sus servicios. Las áreas de proceso del nivel 3 son:

ü  Definición de requerimientos (RD)

ü  Solución técnica (TS)

ü  Integración del producto (PI)

ü  Verificación (VER)

ü  Validación (VAL)

ü  Definición de procesos organizacionales (OPD)

ü  Enfoque a procesos organizacionales (OPF)

ü  Entrenamiento organizacional (OT)

ü  Administración integrada del proyecto (IPM)

ü  Administración de riesgos (RSKM)

ü  Análisis y toma de decisiones (DAR)

Definición de requerimientos (RD). El propósito es producir y analizar los requerimientos de cliente, de producto y de componente del producto41.

Sus objetivos específicos (SG) son:

·         Desarrollar los requerimientos del cliente

·         Desarrollar los requerimientos de producto

·         Analizar y validar los requerimientos

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Desarrollar los requerimientos del cliente

·         Obtener las necesidades

·         Desarrollar los requerimientos de cliente

ü  Objetivo específico (SG): Desarrollar los requerimientos de producto

·         Establecer los requerimientos de producto y de componentes del producto

·         Asignar los requerimientos de componentes del producto

·         Identificar los requerimientos de interfaz

ü  Objetivo específico (SG): Analizar y validar los requerimientos

·         Establecer los conceptos operativos y los escenarios

·         Establecer una definición de la funcionalidad requerida

·         Analizar los requerimientos

·         Analizar los requerimientos para alcanzar el equilibrio

·         Validar los requerimientos

Solución técnica (TS). El propósito es diseñar, desarrollar e implementar soluciones para los requerimientos. Las soluciones, los diseños y las implementaciones engloban productos, componentes de producto y procesos del ciclo de vida asociados al producto, individualmente o en combinación, según sea apropiado42.

Sus objetivos específicos (SG) son:

·         Seleccionar las soluciones de componentes de producto

·         Desarrollar el diseño

·         Implementar el diseño de producto

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Seleccionar las soluciones de componentes de producto

·         Desarrollar las soluciones alternativas y los criterios de selección

·         Seleccionar las soluciones de componentes de producto

ü  Objetivo específico (SG): Desarrollar el diseño

·         Diseñar el producto o el componente de producto

·         Establecer un paquete de datos técnicos

·         Diseñar las interfaces usando criterios

·         Realizar los análisis sobre si hacer, comprar o reutilizar.

ü  Objetivo específico (SG): Implementar el diseño de producto

·       Implementar el diseño

·       Desarrollar la documentación de soporte de producto

Integración del producto (PI). El propósito es ensamblar el producto a partir de sus componentes, asegurar que el producto, una vez integrado, funciona correctamente, y entregar el producto.

Sus objetivos específicos (SG) son:

·         Preparar para la integración de producto

·         Asegurar la compatibilidad de la interfaz

·         Ensamblar los componentes de producto y entregar el producto.

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Preparar para la integración de producto

·         Determinar la secuencia de integración

·         Establecer el entorno de integración de producto

·         Establecer los procedimientos y los criterios de integración de producto

ü  Objetivo específico (SG): Asegurar la compatibilidad de la interfaz

·         Revisar la completitud de las descripciones de la interfaz

·         Gestionar las interfaces

ü  Objetivo específico (SG): Ensamblar los componentes de producto y entregar el producto

·         Confirmar la disponibilidad de los componentes de producto para su integración

·         Ensamblar los componentes de producto

·         Evaluar los componentes de producto ensamblados

·         Empaquetar y entregar el producto o el componente de producto

Verificación (VER). El propósito de es asegurar que los productos de trabajo seleccionados cumplen sus requerimientos especificados.

Sus objetivos específicos (SG) son:

·         Preparar la verificación

·         Realizar revisiones entre pares

·         Verificar los productos de trabajo seleccionados

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Preparar la verificación

·         Seleccionar los productos de trabajo a verificar

·         Establecer el entorno de verificación

·         Establecer los procedimientos y los criterios de verificación

ü  Objetivo específico (SG): Realizar revisiones entre pares

·         Preparar las revisiones entre pares

·         Llevar a cabo las revisiones entre pares

·         Analizar los datos de la revisión entre pares

ü  Objetivo específico (SG): Verificar los productos de trabajo seleccionados

·         Realizar la verificación

·         Analizar los resultados de la verificación

Validación (VAL). El propósito es demostrar que un producto o componente de producto se ajusta a su uso previsto cuando se sitúa en su entorno previsto.

Sus objetivos específicos (SG) son:

·         Preparar la validación

·         Validar el producto o los componentes de producto

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Preparar la validación

·         Seleccionar los productos a validar

·         Establecer el entorno de validación

·         Establecer los procedimientos y los criterios

ü  Objetivo específico (SG): Validar el producto o los componentes de producto

·         Realizar la validación

·         Analizar los resultados de la validación

Definición de procesos organizacionales (OPD). El propósito es establecer y mantener un conjunto usable de activos de proceso de la organización y de estándares del entorno de trabajo.

Su objetivo específico (SG) es:

·         Establecer los activos de proceso de la organización

Y sus prácticas específicas (SP) para lograr cumplir el objetivo específico (SG) son:

ü  Objetivo específico (SG): Establecer los activos de proceso de la organización

·         Establecer los procesos estándar

·         Establecer las descripciones de los modelos de ciclo de vida

·         Establecer los criterios y las guías de adaptación

·         Establecer el repositorio de medición de la organización

·         Establecer la biblioteca de activos de proceso de la organización

·         Establecer los estándares del entorno de trabajo

Enfoque a procesos organizacionales (OPF). El propósito es planificar, implementar y desplegar las mejoras de procesos de la organización, basadas en una comprensión completa de las fortalezas y debilidades actuales de los procesos y de los activos de proceso de la organización.

Sus objetivos específicos (SG) son:

·         Determinar las oportunidades de mejora de procesos

·         Planificar e implementar las mejoras de procesos

·         Desplegar los activos de proceso de la organización e incorporar las lecciones aprendidas

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Determinar las oportunidades de mejora de procesos

·         Establecer las necesidades de procesos de la organización

·         Evaluar los procesos de la organización

·         Identificar las mejoras de procesos de la organización

ü  Objetivo específico (SG): Planificar e implementar las mejoras de procesos

·         Establecer planes de acción de procesos

·         Implementar los planes de acción de procesos

ü  Objetivo específico (SG): Desplegar los activos de proceso de la organización e incorporar las lecciones aprendidas

·         Desplegar los activos de proceso de la organización

·         Desplegar los procesos estándar

·         Monitorizar la implementación

·         Incorporar las experiencias relativas al proceso en los activos de proceso de la organización

Entrenamiento organizacional (OT). El propósito es desarrollar las habilidades y el conocimiento de las personas para que puedan realizar sus roles eficaz y eficientemente.

Sus objetivos específicos (SG) son:

·         Establecer una capacidad de formación organizativa

·         Proporcionar la formación necesaria

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Establecer una capacidad de formación organizativa

·         Establecer las necesidades de formación estratégicas

·         Determinar qué necesidades de formación son responsabilidad de la organización

·         Establecer un plan táctico de formación organizativa

·         Establecer la capacidad de formación

ü  Objetivo específico (SG): Proporcionar la formación necesaria

·         Impartir la formación

·         Establecer los registros de formación

·         Evaluar la eficacia de la formación

Administración integrada del proyecto (IPM). El propósito es establecer y gestionar el proyecto y la involucración de las partes interesadas relevantes de acuerdo a un proceso integrado y definido que se adapta a partir del conjunto de procesos estándar de la organización.

Sus objetivos específicos (SG) son:

·         Utilizar el proceso definido del proyecto

·         Coordinar y colaborar con las partes interesadas relevantes

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Utilizar el proceso definido del proyecto

·         Establecer el proceso definido del proyecto

·         Utilizar los activos de proceso de la organización para planificar las actividades del proyecto

·         Establecer el entorno de trabajo del proyecto

·         Integrar los planes

·         Gestionar el proyecto utilizando los planes integrados

·         Contribuir a los activos de proceso de la organización

ü  Objetivo específico (SG): Coordinar y colaborar con las partes interesadas relevantes

·         Gestionar la involucración de las partes interesadas

·         Gestionar las dependencias

·         Resolver los problemas de coordinación

Administración de riesgos (RSKM). El propósito es identificar los problemas potenciales antes de que ocurran para que las actividades de tratamiento de riesgos puedan planificarse e invocarse según sea necesario a lo largo de la vida del producto o del proyecto para mitigar los impactos adversos para alcanzar los objetivos.

Sus objetivos específicos (SG) son:

·         Preparar la gestión de riesgos

·         Identificar y analizar los riesgos

·         Mitigar los riesgos

Y sus prácticas específicas (SP) para lograr cumplir los objetivos específicos (SG) son:

ü  Objetivo específico (SG): Preparar la gestión de riesgos.

·         Determinar las fuentes y las categorías de los riesgos.

·         Definir los parámetros de los riesgos.

·         Establecer una estrategia de gestión de riesgos.

ü  Objetivo específico (SG): Identificar y analizar los riesgos.

·         Identificar riesgos.

·         Evaluar, categorizar y priorizar los riesgos.

ü  Objetivo específico (SG): Mitigar los riesgos.

·         Desarrollar los planes de mitigación de riesgo.

·         Implementar los planes de mitigación de riesgo.

Análisis y toma de decisiones (DAR). El propósito es analizar las decisiones posibles utilizando un proceso de evaluación formal que evalúa alternativas identificadas frente a criterios establecidos.

Su objetivo específico (SG) es:

·         Evaluar las alternativas.

Y sus prácticas específicas (SP) para lograr cumplir el objetivo específico (SG) son:

ü  Objetivo específico (SG): Evaluar las alternativas.

·         Establecer guías para el análisis de decisiones.

·         Establecer criterios de evaluación.

·         Identificar soluciones alternativas.

·         Seleccionar métodos de evaluación.

·         Evaluar alternativas.

·         Seleccionar soluciones.