1 qualidade nas tecnologias de informação dr. carlos fortunato consultor da qualidade em...
TRANSCRIPT
1
Qualidade nas Tecnologias de Informação
Dr. Carlos Fortunato
Consultor da Qualidade em Tecnologias de Informação
Pode aceder a esta apresentação noWeb Site: http://jcmfortunato.no.sapo.pt
na página sobre serviços
16/05/2006 Versão 1
2
2
Certificação do Sistema de Gestão da Qualidade
• ISO 9001:2000 - Sistemas de gestão da qualidade
Certificação do Sistema de Gestão da Segurança da Informação
• BS 7799-2:2002 - Especificações para sistemas de gestão da segurança da informação
A Certificação
3
3
Entidades certificadoras especializadas em tecnologias de informação:
• ISO 9001:2000 - Tickit (http://www.tickit.org); 9001 + 12207, interpretação exigente, ex: Walkthrough
• BS 7799-2:2002 - - BSI - British Standards (ISO/IEC 17799) Institution (http://www.bsi-global.com) - bancos, seguradoras, etc. Norma nacional, na Grã-Bertanha, Holanda, Austrália, Nova Zelândia, Suécia e Dinamarca.
Entidades certificadoras
4
4
Expresso 06/05/2006 - Anúncio Psicoteste
ISO/IEC 17799
5
5
Principais normas relacionadas com TI:• ISO/CEI 12207 - Software life cycle processes• ISO/IEC 17799 - Code of pratice for information
security management
Normas militares:• DOD - Departement of Defense (EUA) - ex:
http://www.software.org/Quagmire/descriptions/dod-std-2167a.asp
• AQAP - Allied Quality Assurance Publication (Nato)
http://www.nato.int/docu/standard.htm
Normas TI
6
6
Processos primários 5.1 Aquisição - Def. Req., Pedir Prop., Contrat, Monit. Fornec., Aceitação 5.2 Fornecimento - Rever Req,. Prep. Proposta, Contrato, Planeamento,
Execução e Controlo, Revisão e Avaliação, Entrega e Conclusão 5.3 Desenvolvimento- Met. Implement., Req. Sist., Arquit. Sist., Req. Tec.,
Desenho, Codificação e Testes, Integração, Testes, … - evidências!!! 5.4 Exploração - Plan., Testes software Op., Doc., Apoio Utilizador 5.5 Manutenção - Metodologia, Gestão Problemas, Migrações
Processos de suporte 6.1 Documentação 6.2 Gestão da configuração - controlo de versões e modificações 6.3 Garantia da qualidade - recursos e processos da qualidade 6.4 Verificação- Plan, Contrat, Process, Req, Desenho, Código, Integraç. 6.5 Validação - validação com testes de utilização 6.6 Revisão 6.7Auditoria 6.8 Resolução de problemas
ISO 12207 - Os processos TI
7
7
Metodologias vs NormasRequisitos ISO 9001:2000 12207 Metodologia ACE4.2 Requisitos dadocumentaçãoComo são aprovados?Como são identificadas asalterações?Como são distribuídos?Como é prevenida autilização dos obsoletos?O que são registos daqualidade?Como são identificados?Como são armazenados?
6.1 Documentationprocess
6.2 Configurationmanagement process
MGP – Manual deGestão doProjecto
5.5 Responsabilidades eautoridadeDefinição dasresponsabilidadesComunicação interna(cliente)
7.1 Managementprocess
MGP
6.3 InfraestruturaAssegurar e manter ainfraestrutura
7.2 Infrastructureprocess
MGP
8
8
Metodologias vs Normas
Requisitos ISO 9001:2000 12207 Metodologia ACE6.4 Ambiente de trabalho MGP7.1 Plan. Da realização doprodutoPlaneamentoObjectivos da qualidadeEstabelecer processos(metodologias)Critérios de aceitaçãoEvidências decumprimento dosrequisitos
7.1 ManagementProcess
MGP
7.2 Process. Relac.c/clienteRequisitos definidosComunicação com ocliente
7.1 ManagementProcess
MGP
9
9
Metodologias vs NormasRequisitos ISO 9001:2000 12207 Metodologia ACE6.4 Ambiente de trabalho MGP7.3Concepção/desenvolvimento7.3.1 Etapas7.3.1 Revisões,verificações e validações7.3.1 Responsabilidades7.3.3 Critérios deaceitação7.3.4 Revisão
5.3.1.1 If not stipulatedin the contract, the
developer shall defineor select a software life
cyle…5.3.13 Software
acceptance support6.6 Join review process
MetodologiaMGP
7.3.2 e 7.3.3 Requisitos 5.3.2 Systemrequirement analysis
5.3.4 Systemarchitectural design
5.3.4 Softwarerequirement analysis
DesenhoFuncional
10
10
Metodologias vs NormasRequisitos ISO 9001:2000 12207 Metodologia ACEA 9001 é omissa quanto àdocumentação técnica
5.3.5 Softwarearchitectural design
5.3.6 Software detaileddesign
5.3.8 SoftwareIntegration
5.3.12 Softwareinstallation
Manual Técnico
7.3.5 VerificaçãoTestes de Verificação
5.3.7 Sotfware codingand testing
5.3.10 Systemintegration
6.4 Verification process
Relatório Testesde Validação
7.3.5 ValidaçãoTestes de Utilização
5.3.9 Softwarequalification testing
5.3.11 Systemqualification testing
5.3.13 Softwareacceptance support
6.5 Validation process
Relatório Testesde ValidaçãoRelatório dos
Testes de Cargae IntegraçãoRelatório deControlo daQualidade
11
11
Metodologias vs Normas
Requisitos ISO 9001:2000 12207 Metodologia ACENa 9001 não faz parte dosciclos de vida do projecto,apenas na 12207 ponto 6
6.7 Audit process MetodologiaAudit
7.5 Produção e fornec.serviço7.5.1 características …7.5.1 instruções…7.5.1 equipamentos …7.5.1 indicadores …7.5.1 actividades …
5.4 Operation process DesenhoFuncionalManuais
MetodologiaMGP
7.5.3 identificação erastreabilidade
6.1 Documentationprocess
MGP
8.3 Controlo prod. nãoconforme
6.8 – Problemresolution process
MGPG_04 – resolução
de problemas
12
12
Metodologias vs Normas
PessoasGestão da Mudança
(Comunicação)
ProcessosMelhoria dos Processos
(Requisitos)
TecnologiasSoluções Tecnológicas
T y pe n am e he reT y pe t i t le he re
T y pe n am e he reT y pe t i t le he re
T y pe n am e he reT y pe t i t le he re
T y pe n am e he reT y pe t i t le he re
13
13
A comunicação
Pessoaso saber fazer, e o saber fazer fazer
ISO 9001:2000
7.2.3 - … estabelecer e implementar formas eficazes de comunicação com os clientes …7.3.1 - … responsabilidades e autoridades para a concepção e o desenvolvimento … gerir as interfaces entre os diferentes grupos envolvidos na concepção e no desenvolvimento para assegurar comunicação eficaz e clara atribuição de responsabilidades ...
Mourinho
Ronaldinho
14
14
Responsabilidade
Quadro de Responsabilidades
X – executaA – aprovaAC – aprova em conjuntoI – é informadoV - verifica
DesignaçãoCoorden.Cliente
Coorden. Fornec.
Comissão Acompanh
Chefe Proj. Cliente
Chefe Proj. Fornec
Equipa Proj.
Fase 0: Preparação do ProjectoActas de Reuniões (G01) I I I VA XI XIPlano Global do Projecto (G22) AC AC I X XPlano Detalhado do Projecto (G24) I I I I XVA IPlano da Qualidade do Projecto (G25) AC ACV I X XGestão de Problemas (G04) I I I VA XI XIActa de aceitação do Plano da Qualidade do Projecto (G01 e/ou G25) A I XFicha de Controlo da Qualidade (G27) I X
15
15
Comunicação no PQ
Comunicações Eficazes•Todas as comunicações - serão ser feitas através dos respectivos Chefes de Projecto•Pedidos de alterações - ao projecto, serão sempre objecto de adenda à proposta •As actas de reuniões - se não tiverem uma resposta às mesmas ao fim de 2 dias, são consideradas como aprovadas•Meio de comunicação privilegiado - e-mail •Plano de comunicação •Reunião de Progresso – reunião esporádica (cada 4 a 6 semanas), •Reunião de Coordenação/Integração – reunião quinzenal, composta por toda a Equipa de Projecto•Reunião de Final de Fase - com a participação da Direcção de Projecto e outros convidados
16
16
Responsabilidades
ProjectoBife com ovo a cavalo
A galinha Ginger está
Envolvida
A vaca Cornélia está
Commited
Responsabilidade
17
17
Comunicação
Comunicações Eficazes???
•Apresentação - Sou do CL e estamos a divulgar uma nova modalidade de venda de livros. R: ?•Interesse - O CL oferece livros de grandes autores a baixo preço, que pode escolher numa revista trimestral. O que acha da ideia? R: Não sei... •Demonstração - Mostrar livro e revista•Arremate - Basta ser sócio e pagar 35$00 mês, que depois pode usar para adquirir os seus livros. Tem que ficar sócio durante um ano. Qual é seu nome? R: Não estou interessada ou tenho que falar com o meu marido ...
18
18
Comunicação
Comunicações Eficazes!
•Apresentação - Estamos a fazer um inquérito de carácter cultural. Gosta de musica? R: Adoro. Que tipo de musica aprecia? R: Romântica. Gosta de ler? Sim. Que tipo de livros costuma comprar? R: Romances. De bons autores? R: Sim. Quanto gasta por mês em média? R: 40$00.•Interesse - O que acha da ideia da venda directa de livros de autores consagrados, do produtor ao consumidor final, sem intermediários, e a preços mais baixos? R: Excelente. Aderia a uma ideia destas? R: Claro. •Demonstração - O CL que está a lançar uma campanha de angariação de sócios, mas não queremos que fique já sócia, pois vai fazer um período experimentar de 1 ano em que paga 35$00 por mês, que depois pode usar para adquirir os seus Livros. Mostrar livro e revista•Arremate - Qual é seu nome? R: Maria X.
19
19
Requisitos
RequisitosDesenho
ProgramaçãoTestes Unitários
Testes de AceitaçãoManutenção
Quanto mais tarde se descobrir um erro nos requisitos, maior será o seu custo
125
1050
100
Estado do ProjectoCustos
“Qualidade: grau de satisfação de requisitos dado por um conjunto de características intrínsecas
Requisito: necessidade ou expectativa expressa, geralmente implícita ou obrigatória”
(Fonte: Norma NP EN ISO 9000:2000)
20
20
SEGURANÇA DA INFORMAÇÃO
• Confidencialidade – prevenção da divulgação não autorizada da informação;
• Integridade – prevenção das modificações não autorizadas da informação;
• Disponibilidade – prevenção de situações que originem a indisponibilidade de acesso à informação.
ISO/IEC - 17799
Segurança - O que é?
21
21
CERT/CC
Vulnerabilities reported
1995 - 2005
ISO 17799 -Vulnerabilidades
Year 1995 1996 1997 1998 1999Vulnerabilities 171 345 311 262 417Year 2000 2001 2002 2003 2004 2005Vulnerabilities 1.090 2.437 4.129 3.784 3.780 5.990
22
22
Ano Cibercrimes• 1988 6
• 1989 132
• 1990 252
• 1991 406
• 1992 773
• 1993 1.334
• 1994 2.340
• 1995 2.412
• 1996 2.573
• 1997 2.134
• 1998 3.734
• 1999 9.859
• 2000 21.756
• 2001 52.658
• 2002 82.094
• 2003 137.529
http://www.cert.org/stats/cert_stats.html#vulnerabilities
ISO 17799 - Crimes
23
23 http://www.csoonline.com/releases/ecrimewatch04.pdf
ISO 17799 - Actualizações
24
24
17799 - abordagem global e integrada da segurança da informação:
• Security policy - definição, objectivos, comprometimento, princípios (legais, formação, prevenção, import. gestão, sanções, responsab.)
• Organizacional security - estrutura, acesso a terceiros, outsourcing
• Asset classification and control
• Personnel security - verific., termo confidenc., formação, incidentes
• Physical and environmental security - áreas seguras, segurança equipamentos, controlo geral
• Communications and operations management - resp. e proced. operac., control mudanças de operação, incident, segregação taref., amb. produtivo e de desenv. separados, ...
• Acess control
• Systems development and maintenance
• Business continuity management - plano contingência
• Compliance - conformidade com requisitos legais
ISO 17799 - Visão global
25
25
Os contratos de outsoucing deverão assegurar:
01 – Identificação dos requisitos legais, quando aplicável;
02 - Definição clara das responsabilidades de todas as partes envolvidas;
03 - Garantia da integridade dos dados da empresa, nomeadamente através de planos de testes e aprovações quando aplicável;
04 - Realização de um plano de contingência para o arranque em produtivo, quando aplicável;
05 - Realização de plano de contingência para assegurar os serviços contratados, em caso de eventual anomalia que inviabilize a disponibilidade de acesso aos dados, quando aplicável;
06 - Compromisso formal, que garanta a confidencialidade dos dados da empresa;
07 - Descrição do nível de segurança física implementado, para equipamentos em outsourcing;
08 - Garantia do direito de auditar ou de mandatar terceiros para a realização de auditorias;
ISO 17799 - Outsourcing (1)
26
26
09 - Inclusão da política geral da empresa em termos de segurança;
10 - Que é implementada protecção de equipamentos, software e informação, incluindo:
• a)- procedimentos para proteger o equipamento e o software;
• b)- procedimento para verificar se foram perdidos ou modificados dados;
• c)- procedimento para recuperação da documentação ou a sua destruição em fim de contrato;
• d)- integridade e disponibilidade da informação;
• e)- restrições à cópia e divulgação da informação.
• f)- Descrição do serviço que estará disponível;
• g)- Níveis de serviço definidos como objectivo a atingir e níveis de serviço que não são aceitáveis.
• h)- Condições para a mudança de staff pelos prestadores de serviços ...
ISO 17799 - Outsourcing (2)
27
27
1 - A certificação do SGQ é pela NP EN ISO 9001:2000
2 - É possível certificar o Sistema de Gestão da Segurança da Informação, da empresa através da BS 7799-2:2002
3 - A ISO/IEC 12207 e 17799, são utilizadas em Portugal para introduzir as boas práticas, quando tal é necessário
4 - O Plano da Qualidade do Projecto ajuda a equipa, definindo as linhas de orientação para a execução do projecto
5 - Nunca esquecer as relações humanas e comunicação
Resumo - Questões Chave
28
28
Qualidade vs Produtividade
“4.2.4 – Os registos devem ser estabelecidos e mantidos para proporcionar evidências ...”
(Fonte: Norma NP EN ISO 9001:2000)
O Sistema de Gestão da Qualidade, necessita de ser suportado por evidências
O Plano da Qualidade do Projecto, além de outros elementos, indica o conjunto mínimo de documentos que têm que ser apresentados
Têm mesmo que existir documentos???
29
29
Qualidade vs Produtividade
É importante ter a ferramenta certa
•Templates•Metodologias
específicos•Sistemas Pré-Configurados
•...
30
30
Metodologia - ASAP
31
31
Metodologias
EvaluationEvaluation ProjectPreparationProject
Preparation RealisationRealisation FinalPreparation
FinalPreparation
GoLiveGoLive SustainSustainBusiness
BlueprintBusinessBlueprint
Ascendant SAPAscendant SAP
AcceleratedSAPAcceleratedSAP
+ PwC Content Enhancements
+ PwC New Phases
32
32
Metodologia R3 ACE
Metodologia R3 ACE
Pre
para
ção
do
Pro
ject
o
Des
enho
Con
cept
ual
Pro
tóti
po
Fun
cion
al
Pro
tóti
poG
loba
l
Pre
para
ção
do
Sist
ema
Pro
duti
vo
Arr
anqu
ee
Opt
imiz
ação
do
Sist
ema
Gestão da Mudança
Gestão do Projecto
Fases da Implementação do Projecto
Metodologia R3 ACE
Pre
para
ção
do
Pro
ject
o
Des
enho
Con
cept
ual
Pro
tóti
po
Fun
cion
al
Pro
tóti
poG
loba
l
Pre
para
ção
do
Sist
ema
Pro
duti
vo
Arr
anqu
ee
Opt
imiz
ação
do
Sist
ema
Gestão da Mudança
Gestão do Projecto
Fases da Implementação do Projecto
33
33
Metodologias - ACE (1)
Metodologias de Assessment
•ACE Estudos de Implementação•ACE AUDIT – Metodologia ACE de Auditoria a Sistemas SAP
Metodologias de Implementação de Projectos, Evolução e Produtos Complementares
•ACE IPSAP – Metodologia para Implementação de Projectos SAP•ACE BW – Metodologia ACE para Implementação de Projectos de BW com SAP •ACE PORTALS – Metodologia ACE para SAP Portals •ACE FORMA – Metodologia para Formação de Utilizadores SAP•ACE DEVELOP – Metodologia para Projectos de Desenvolvimento•ACE UPGRADE – Metodologia ACE para Upgrade de Sistemas SAP•ACE MIGRA – Metodologia ACE de Migração de Sistemas SAP•ACE SpeedRace - Metodologia ACE para Projectos SAP baseados em Templates•ACE INTEGRA – Metodologia ACE para Integração de Componentes •ACE Ligth RACE – Metodologia ACE para Pequenos Projectos
34
34
Metodologias - ACE (2)
Metodologias de Gestão de Projectos e Gestão da Mudança Metodologias
•ACE Gestão de Projectos•ACE Gestão da Mudança
Metodologias de Apoio e Manutenção Metodologias
•AMS - Apoio e Manutenção de Sistemas
Metodologias de Outsourcing Metodologias
•ASP – Application Service Provider
35
35
Metodologias - ACE IPSAP
Desenho Conceptual do Sistema
Desenho Conceptual do Sistema
ProtótipoFuncional
Preparação doSistema Produtivo
Arranque e Optimização
Sistema
Arranque e Optimização
Sistema
ProtótipoGlobal
Preparaçãodo Projecto
Preparaçãodo Projecto
0.5.Reuniã
o de
KickOff
1.6.Validação Desenho
Conceptual
1.4.Conectividade
1..5Levantamento de Necess. deDesenvolv. à
medida
1.1.Formação da
Equipa de Projecto
1.2.Análise dos Processos
Actuais
1.3.DeterminaçãoCobertura R/3
2.2.Prototipagem Dados-Mestre
e outros
2.3.Prototipagem Procedimento
sCorrentes
2.4.Prototipagem
ProcedimentosPeriódicos
2.1.Prototipagem
Estruturas Organizativas
2.5.Validação Protótipo Funcional
3.7.Validação Protótipo
Global
4.9.Controlo
Qualidade do
Sistema Produtivo
4.2.Documentaçã
o de utilização
4.3.Formação
dos Utilizadores
4.4.Implement.
Procedi/os de Reorganização e Arquivo
Dados
4.5.Organização Administração do Sistema
5.2.Acompanha/
o dos Utilizadores
5.3.Afinação da Paramentriz.
5.4.Optimização
dos Procediment
os
5.1.Arranque
4.7.Criação de ambiente produtivo
4.6.Realização de
Testes de Integração
4.8.Análise da Carga do Sistema
4.1.Implementaçã
o Infraestruturas
0.3.Instalação do
Sistema de Desenvol.
0.2.Preparação da Logística do Projecto
0.1.Elaboração do MGP e
Planeamento
0.4.Preparação
da reunião de KickOff
Ad
jud
ica
çã
o d
a P
rop
os
ta 3.2.Construção
de Interfaces
3.3.Configuração
de Formulários e
relatórios
3.4.Refinamento da Parametrização
3.1.Planeamento
de Infraestrutura
s
3.6.Implementaçã
odo Sistema de Autorizações
3.5.Desenvolvi/
os adicionais
5.5.Aceitação
do Sistemao
36
36
Metodologia - ACE IPSAP
0 – Preparação do Projecto
Esta fase tem como seu principal objectivo o planeamento das acções a realizar, a identificação dos interlocutores, a confirmação do âmbito e objectivos da proposta, bem como das condições necessárias para a
realização do projecto. Actividades0.1. Elaboração do Manual de Gestão do Projecto e Planeamento 0.2. Preparação da Logística do Projecto0.3. Instalação do Sistema de Desenvolvimento0.4. Preparação da Reunião de Kickoff0.5. Reunião de Kickoff
37
37
Metodologia - ACE IPSAP
0 – Preparação do Projecto
Meios e Ferramentas•Proposta•Metodologia•Manual de Gestão do Projecto (IP_G25);•Plano Global do Projecto (IP_G22);•Plano Detalhado do Projecto (IP_G24); •Plano da Qualidade do Projecto (IP_G33); •Template de apresentação (Templ_Apresent)•Procedimentos de Gestão do Projecto e da Qualidade (G_25_PGP);•Check list de Verificação de Sistemas (T_88);•Ficha técnica de Instalação (T_87)•Protocolo de Aceitação (G_35); •Acta de Reunião (G_01).•Ficha de Controlo da Qualidade (G_27)
38
38
Metodologia - ACE IPSAP
0 – Preparação do Projecto
Resultados•Apresentação do projecto na reunião de Kickoff. •Manual de Gestão do Projecto e respectivos anexos e sua aceitação, através da rubrica do Cliente neste documento ou através de Protocolo de Aceitação do MGP – Manual de Gestão do Projecto (G_35) ou Acta de Reunião (G_01), ou outro documento com evidência equivalente.
39
39
Plano da Qualidade Projecto
Prazo é Prazo !
40
40
Plano da Qualidade Projecto1. INTRODUÇÃO2. ENQUADRAMENTO DO PROJECTO2.1 Objectivos do Projecto2.2 Âmbito do Projecto2.3 Factores Críticos de Sucesso3. DEFINIÇÃO DO SERVIÇO A PRESTAR3.1 Características da Solução Proposta3.2 Serviços Propostos4. METODOLOGIA DE EXECUÇÃO DO PROJECTO5. OBJECTIVOS DA QUALIDADE DO PROJECTO6. QUADRO DE RESPONSABILIDADES E REGISTOS DA QUALIDADE7. MONITORIZAÇÃO E MEDIÇÃO DO PROCESSO7.1 Linhas de Orientação para o Controlo da Qualidade7.2 Actividades de Controlo de Qualidade7.3 Métricas8. PLANEAMENTO DO PROJECTO8.1 Plano do Projecto8.2 Estrutura da Equipa do Projecto8.3 Afectação dos Recursos
41
41
Plano da Qualidade Projecto9. COMUNICAÇÃO E PLANO DE REUNIÕES DE ACOMPANHAMENTO9.1 Comunicação9.2 Reuniões de Acompanhamento10. CONDIÇÕES DE ACEITAÇÃO DO PROJECTO11. AMBIENTE E FERRAMENTAS DE TRABALHO11.1 Locais de trabalho11.2 Ferramentas Informáticas de Apoio12. CONTROLO DA DOCUMENTAÇÃO12.1 Arquivo12.2 Codificação dos documentos do projecto12.3 Templates13. INFRAESTRUTURAS13.1 Hardware13.2 Rede e software13.3 Acesso ao SAP13.4 Esquema de directorias na Rede13.5 Segurança de Dados14. ANEXOS14.1 Metodologia e Normas de Programação14.2 Planeamento do Projecto
42
42
1 - As falhas na comunicação e definição de requisitos, são um dos maiores problema nos projectos
2 - Tem que existir uma metodologia definida, para cada linha de serviço. Se não existir pode ser especificada na proposta.
3 - A simplicidade é amiga do sucesso
4 - Simplificar garantindo o essencial
5 - Criação de aceleradores é essencial
6 - Dificuldade de utilizar as metodologias internacionais nos pequenos projectos
Resumo - Questões Chave