Evolución en la certificación del desarrollo software

Software is eating the world.Esta afirmación de Marc Anderssen viene a constatar que la transformación digital está provocando que todo se “softwarice”. De hecho, como señala Carlos Manuel Fernández, asesor estratégico de TI de AENOR, “en el siglo XXI el software es el motor para la gestión de los datos (bases de datos, Business Intelligence, Big data, apps, etc.), por lo que es necesario utilizar las mejores prácticas para su diseño y construcción”.

En la actualidad, las organizaciones invierten alrededor del 30 % del presupuesto de tecnologías de la información y las comunicaciones (TIC) en tareas de aseguramiento de calidad y pruebas. Además, las organizaciones deben reaccionar de una manera muy ágil, y tener procesos y técnicas institucionalizados que produzcan software de forma controlada y segura. Dentro de estas buenas prácticas para las TIC, las que resultan más adecuadas por el consenso internacional que supone su creación y utilización, son las que desarrolla ISO y que se recogen de forma integrada en el Modelo Dinámico para el Gobierno y Gestión de las TIC de AENOR (ver figura 1).

Dentro del Modelo, una parte importante es la que se ocupa de la creación y desarrollo de software tomando como base los procesos del ciclo de vida descritos en el estándar ISO/IEC 12207 sobre el ciclo de vida de desarrollo de software, que para el caso de micropymes se concretan en el modelo ISO 29110; y para el caso de organizaciones que van desde pymes a grandes compañías; se basaban anteriormente en la Norma ISO/IEC 15504 (conocida como SPICE), que actualmente ha sido reemplazada por la Norma ISO/IEC 33000.

El propósito de la nueva familia de estándares ISO/IEC 33000 es proporcionar un enfoque estructurado para la evaluación de los procesos, con el objetivo de permitir a una organización:

• comprender el estado de sus propios procesos buscando la mejora de los mismos;
• determinar la idoneidad de sus propios procesos para un requerimiento en particular o para un conjunto de requerimientos;
• determinar la idoneidad de los procesos de otra organización para un contrato específico o para un conjunto de contratos.

La evaluación del proceso incluye la determinación de las necesidades del negocio, una evaluación (medición) de los procesos utilizados por una organización y el análisis del estado actual de dichos procesos. Por otro lado, los resultados del análisis se utilizan para determinar la capacidad de los procesos empleados por una organización y para guiar las actividades de mejora de dichos procesos en caso de ser necesarias.

La serie ISO/IEC 33000 nace con el objetivo de ampliar, unificar y sustituir el trabajo que se venía aplicando bajo el paraguas de la ISO/IEC 15504, en la que AENOR cuenta con la experiencia de más de 10 años de certificación. Para ello, la ISO/IEC 33000 presenta una nueva estructura como la que se observa en la Figura 2, compuesta por diferentes normas. El aspecto principal de esta estructura es que la ISO/IEC 33000 identifica tres elementos clave (columnas):

• Un proceso de evaluación, que determina los pasos que hay que realizar para llevar a cabo la evaluación de los procesos.
• Un marco de medición, que determina las métricas que hay que tomar de los procesos y cómo valorar sus evidencias.
• Unos modelos de procesos, tanto de referencia, como de evaluación y madurez, que determinan los procesos que se pueden evaluar y cómo utilizar el valor de las métricas para escalarlos a unos valores de capacidad para los procesos y de madurez para la organización.

Sin embargo, en cada una de estas partes, la Norma ISO/IEC 33000 identifica los requisitos para cada uno de estos elementos clave, pero no los instancia, o lo que es lo mismo, no hace una propuesta de cuáles son los procesos y modelos concretos que hay que utilizar para evaluar la madurez de las organizaciones en el sector del desarrollo de software. Y es por ello por lo que nace el Modelo MMIS 2.0, con el objetivo de complementar la ISO/IEC 33000, como se observa en la parte inferior de la Figura 2 y adaptarlo al caso de concreto de la evaluación de los procesos de desarrollo de software.

El Modelo de Referencia de Procesos propuesto proporciona una colección estructurada de procesos que son útiles para el desarrollo del software, los cuales forman parte de los niveles de madurez que se pueden observar en la Figura 3. Cada uno de estos procesos esta descrito en términos de su objetivo o propósito que hay que conseguir; los resultados del proceso esperados para conseguir dicho propósito; y el conjunto de tareas y productos de trabajo, que son una guía para alcanzar los resultados del proceso.

Como se puede observar en la Figura 3, el nuevo modelo MMIS 2.0 propone un total de 21 procesos relacionados con el desarrollo de software, repartidos a lo largo de los cinco niveles de madurez posibles, que son:

• Nivel 1: cuando la organización tiene identificados los dos procesos que lo forman y los ejecuta en sus proyectos, pero sin realizar ningún tipo de gestión de los mismos ni de los productos resultantes.
• Nivel 2: cuando la organización demuestra la gestión de la ejecución de los procesos del nivel 1 y 2, así como de los productos de trabajo asociados.
• Nivel 3: cuando la organización demuestra además la efectiva definición y despliegue de los procesos de nivel 3 y anteriores.
• Nivel 4: cuando la organización, además, demuestra un efectivo análisis y control cuantitativo de los procesos que considera fundamentales para la consecución de sus objetivos de negocio.
• Nivel 5: cuando la organización, además, demuestra innovación de los procesos que considera fundamentales para conseguir sus objetivos de negocio.

Desde que en 2015 se publicara la parte de la ISO/IEC 33000 que sustituía a ISO/IEC 15504, AENOR y AQCLab comenzaron a trabajar para actualizar su Modelo de Madurez de Ingeniería de Software y adecuarlo, así, a las nuevas necesidades del mercado. Además de actualizarse a la nueva ISO/IEC 33000, las motivaciones para crear esta nueva versión del modelo MMIS fueron:

• Utilizar un modelo de procesos actualizado y específico para el desarrollo de software, como es el de la Norma ISO/IEC 12207:2017.
• Mantener retrocompatibilidad o compatibilidad hacia atrás, para que las empresas que ya tenían implantada la ISO/IEC 15504 pudieran dar el salto a la ISO/IEC 33000 sin problemas.
• Estar alineado con las nuevas versiones de otras normas como la ISO/IEC 27001, ISO/IEC 20000 o ISO 9001.
• Adaptarse a las nuevas tendencias en el desarrollo de software, como son los frameworks ágiles, la integración continua, el devops, etc.
• Seguir manteniendo un esquema de madurez organizacional similar a CMMI pero basado en estándares internacionales ISO (open estándar), más pragmático y económico.

Todo ello, puede aplicarse a todo tipo de empresas, desde grandes corporaciones, como ha sido el caso reciente de Telefónica Soluciones, como a pequeñas y medianas empresas, tal y como se registra en el portal www.iso33000.es

Entre los principales objetivos que persiguen las organizaciones para evaluarse, mejorar y certificarse bajo este Modelo MMIS 2.0, podemos destacar:

• Mejorar la productividad y el nivel de calidad del software.
• Tener una ventaja competitiva y un elemento diferenciador de la competencia.
• Establecer una cultura organizativa común respecto a cómo trabajar.
• Incrementar el grado de satisfacción de los clientes.
• Poder mantener controlado el crecimiento en la organización.
• Reducir el número de incidencias y correctivos.
• Y cumplir con la normativa para concursos y licitaciones.

Desde Telefónica Empresas hemos estado siempre muy preocupados por ofrecer una marca diferencial en los servicios que lanzamos hacia nuestros clientes. En nuestra factoría software, apostamos por la calidad como marca a través del Modelo de Madurez de Ingeniería del Software de AENOR. Así, cuando durante 2017 iniciamos una revisión de los procesos para alinearnos con CMMI, con la vista en la ISO 15504, decidimos ir un poco más allá y embarcarnos de la mano de AENOR en evolucionar hacia la ISO 33000, como muestra de la apuesta por la calidad. Para nosotros fue crucial ser capaces de llevar a cabo todo este proceso de manera integrada con el resto de sistemas de calidad TIC que tenemos en funcionamiento en todos los ámbitos, para dotar al conjunto de una coherencia que sirva para tener una diferenciación real en términos de calidad.

Desde el punto de vista técnico, los beneficios de la implantación de la ISO 33000 se han notado en dos vertientes complementarias. Por un lado, se ha conseguido una estandarización de prácticas muy necesaria en un área donde la mayoría de proyectos tienen tecnologías muy diferentes. Disponer de marcos iguales de trabajo en la entrega de documentación y código, y sistemas de seguimiento similares e incluso idénticos, ha redundado en una mayor agilidad en los desarrollos, reducir los reprocesos y facilitar la transferencia de conocimiento, permitiendo confeccionar equipos más flexibles. Por otro lado, se ha logrado un control integral del proyecto, en los casos en los que Telefónica actúa como integrador, donde uno de nuestros partners realiza las tareas de desarrollo. Aplicando los procesos según la presente norma, conseguimos una trazabilidad completa en todo el ciclo de vida del desarrollo. De esta manera reducimos la incertidumbre y los riesgos, con el consiguiente aumento de la confianza.

Asimismo, en ambos casos se ha logrado introducir métricas de calidad objetivable, no sólo las más tradicionales relacionadas con el número de defectos, severidad, rapidez de corrección, etc.; sino que conseguimos introducir métricas de calidad de software muy relevantes para la mejora continua.

En definitiva, la certificación ISO 33000 ha supuesto para nosotros consolidar nuestro modelo de gestión y gobierno TIC, y se ha erigido en una palanca de competitividad, con una importante mejora de nuestros procesos software y de nuestra gestión de proyectos, que nos ha permitido ser más eficientes y eficaces, y ofrecer un mejor servicio a nuestros clientes.