Implementación del área de proceso de gestión de riesgos de CMMI v1.3 utilizando metodologías ágiles

Abstract

La naturaleza de la competitividad de los mercados, la evolución y continuo crecimiento de las tecnologías de la información, así como una sociedad que se vuelve más demandante cada día exigiendo productos de mayor calidad y planteando nuevos desafíos a la industria, generan distintos tipos de eventos, lo que posiciona a la gestión de riesgos en un lugar de extrema importancia. Evaluar el alcance y rango de respuestas disponibles que se pueden dar a los riesgos y decidir cuál es la acción más apropiada en un contexto determinado es el corazón de la gestión de riesgos. Responder a los riesgos de forma eficiente se debe traducir en beneficios para los individuos tanto a nivel personal como laboral y para las organizaciones donde trabajan. Las empresas enfrentan una gran variedad de riesgos que pueden alterar el curso o resultado de sus operaciones. Sus resultados esperados pueden estar descritos por medio de una misión o conjunto de objetivos. Los riesgos que impactan una organización pueden interponerse en el camino de lograr sus metas, pueden representar una oportunidad, o bien pueden crear incertidumbre en el futuro cercano. La gestión de riesgos debe ofrecer una solución que se aproxime a la evaluación, control y monitoreo de los distintos tipos de riesgos que pueden ocurrir a nivel organizacional. En el mundo del aseguramiento de la calidad del software los riesgos ocurren de forma permanente y es por ello que la identificación y control de estos es una tarea fundamental. McAfee es una compañía de software relacionada con la seguridad informática. Se encarga de entregar y proveer soluciones y servicios que ayudan a asegurar sistemas, redes y dispositivos móviles alrededor del mundo. En McAfee Labs las prácticas de desarrollo de software están orientadas hacia las metodologías ágiles y los equipos de trabajo han considerado que la aplicación de prácticas ágiles ha sido suficiente para minimizar la ocurrencia de riesgos. Sin embargo, los riesgos existen y se han hecho evidentes, lo que refleja que una adecuada gestión de riesgos no puede omitirse. Los métodos ágiles no plantean lineamientos formales para identificar problemas potenciales o una manera sistemática para identificar los riesgos así como su posible control o resolución y es aquí donde CMMI v1.3 juega un rol importante. CMMI v1.3 es un modelo de madurez de mejora de procesos para el desarrollo de productos y servicios. Básicamente propone un conjunto de mejores prácticas para cubrir el ciclo de vida de un proceso de desarrollo de software. A pesar de que se ha catalogado como un modelo riguroso con respecto a las metodologías ágiles, CMMI define un área de proceso dedicada a la gestión de riesgos, cuyas prácticas proveen un marco formal para institucionalizar la gestión de riesgos en un área específica de la organización. Pero esta nueva versión 1.3 de CMMI incluye además sugerencias para llevar a cabo una gestión de riesgos de la mano con el uso de métodos ágiles, aunque sin indicar específicamente cómo hacerlo. El propósito de este trabajo de tesis es formular, diseñar y poner en marcha una estrategia de gestión de riesgos adoptando prácticas ágiles en la unidad de aseguramiento de la calidad de contenido de la división de gestión de riesgos y cumplimiento de McAfee Labs de modo que se pueda cumplir con el nivel de capacidad 2 de CMMI v1.3.