Capability Maturity Model avalia maturidade de softwares e processos

últimos artigos

Capability Maturity Model

Você já refletiu acerca da maturidade da gestão e dos processos de sua empresa? Então, gostará de saber que o Capability Maturity Model (CMM) auxilia a diagnosticar os níveis de maturidade de todos os processos.

A implementação do Capability Maturity Model, originalmente restrita à avaliação de maturidade do desenvolvimento de softwares, viabilizou, posteriormente, a geração de valor aos demais processos empresariais. .

O que é Capability Maturity Model?

Capability Maturity Model (ou “modelo de maturidade em capacitação”) é uma iniciativa da Software Engineering Institute (SEI), da Universidade Carnegie Melon, que visa avaliar e melhorar continuamente a capacitação de negócios que produzem softwares.

Uma vez que o projeto do software CMM foi financiado, em grande parte, pelo governo dos Estados Unidos (grande consumidor de softwares), por meio de seu Departamento de Defesa, o modelo foi projetado para permitir a seleção mais adequada de fornecedores.

Apesar de não ser uma norma emitida pelas instituições internacionais como a IEEE ou ISO, ele tem tido ampla aceitação mundial. Para que todas as empresas colham seus benefícios, foi levada para outros mercados mundiais.

Em conclusão, o CMM é conhecido também como Software CMM (SW-CMM). Primeiramente divulgado no início da década de 1990, se tornou um dos modelos mais prestigiados.

Nele, as organizações são enquadradas em 5 diferentes níveis de maturidade que são definidos pelo próprio modelo. Por outro lado, essa estrutura em níveis se baseia nos princípios de qualidade dos produtos.

Entre os referenciais teóricos mais importantes para a sua disseminação encontram-se nomes como o de Philip Crosby, Joseph Juran, Edwards Deming e Walter Shewart.

A repercussão global

O CMM teve tamanha repercussão que os mais variados modelos passaram a se basear diretamente nele. Em princípio, esse é o caso tanto do Trillium quanto do Bootstrap.

Já que sua eficácia estava mais que comprovada, não demorou muito para que outros, tais como o SPICE, também fossem fortemente influenciados. Da mesma forma, o seu modelo é desenvolvido para aplicações específicas em softwares.

Posto que se rege pela busca de qualidade total no contexto de uma organização, ele se baseia, sobretudo, nas experiências da comunidade de desenvolvedores de softwares da indústria estadunidense.

Em seguida, outros elementos importantes foram incorporados por meio da absorção dos conceitos de gestão de processos dos mais consagrados autores em aplicações de processos qualitativos em outras áreas.

De conformidade com esse histórico, os princípios da Total Quality Management (TQM), definidos como uma abordagem centrada na qualidade, foram incorporados com a premissa da participação de todos os membros das equipes de trabalho.

Posteriormente, o foco passou a ser no sucesso do cliente a longo prazo, com sua participação ativa e, também, com os benefícios distribuídos para os integrantes da organização e sociedade em geral.

Como funciona o Capability Maturity Model ?

Em contraste com outros modelos, as organizações são classificadas, pelo CMM, em 5 níveis diferentes, cada qual com as suas próprias características.

Iniciando no Primeiro nível, isto é, o nível das organizações imaturas, não existe nenhuma metodologia implementada, de modo que tudo ocorre desorganizadamente.

Depois que percorremos todos os níveis, percebemos que o último (nível 5) designa as organizações mais maduras.

Anteriormente, essas empresas asseguraram que cada detalhe de seus processos de desenvolvimento fossem apropriadamente definidos, acompanhados e quantificados.

Nesse hiato, uma organização desse nível é capaz de absorver mudanças em todos os seus processos sem, para tanto, prejudicar os seus desenvolvimentos de produtos e/ou serviços.

Os níveis de classificação

Com o propósito de deixar essa divisão em níveis mais clara, resumimos os aspectos mais relevantes de cada nível. Confira:

  • Nível 5: Otimizado. Representa a contínua melhoria dos processos, possibilitada por suas realimentações quantitativas e conduzidas a partir de tecnologias e ideias inovadoras;
  • Nível 4: Gerenciado. Medições detalhadas são efetuadas nos processos de qualidade do produto. Por fim, tanto o produto como o processo são quantitativamente controlados e entendidos;
  • Nível 3: Definido. De acordo com os resultados colhidos, há uma integração e padronização dos processos organizacionais. Isto porque cada projeto usa uma versão adaptada e aproveitada do padrão de software da empresa para a manutenção e o desenvolvimento;
  • Nível 2: Repetitivo. Os processos mais básicos de gestão de projetos são estabelecidos, visando o controle de funcionalidades, cronogramas e custos. Em resumo, a disciplina necessária permite a repetição de sucessos pregressos em projetos com aplicações similares;
  • Nível 1: Inicial. Em síntese, os processos de software são desorganizados e, eventualmente, caóticos. Há poucos processos bem definidos. De fato, o sucesso, nesse nível, depende de “heroísmos” e esforços individuais.

Ainda assim, as empresas no primeiro nível não oferecem garantias de funcionalidade, custos ou prazos.

Com o intuito de evidenciar o progresso organizacional, o modelo CMM demonstra que, no segundo nível, as empresas já conseguem produzir softwares de qualidade dentro de custos previsíveis e prazos definidos.

O terceiro nível demarca excelentes níveis de qualidade, seja nos produtos em si ou nos processos de desenvolvimento.

Em suma, é importante esclarecer que as empresas somente podem ser certificadas em algum dos níveis quando conseguem atingir todas as suas metas. Não existem, em todo o mundo, muitas organizações que tenham atingido os níveis 4 e 5.

Como a adoção do Capability Maturity Model pode melhorar a segurança dentro da empresa?

Não apenas os processos e a qualidade dos produtos podem ser melhorados com o CMM, mas, também, a segurança. Porque novos modos de ataques cibernéticos surgem a cada instante e essa questão preocupa diariamente os líderes empresariais.

Desde que as organizações de todo o mundo se conscientizaram dos riscos representados por essas ameaças a suas operações, não foi possível atingir um nível desejado de maturidade na segurança e proteção dos dados.

Com a finalidade de combater essas ameaças, a falta de um método prático e confiável inviabiliza a fixação de políticas e estratégias capazes de gerenciar e identificar satisfatoriamente os riscos, com agilidade e eficiência.

Os 6 níveis de segurança

Enquanto o Capability Maturity Model Integration (CMMI) disponibiliza referências práticas e especificamente voltadas ao aprimoramento da segurança dentro das empresas, há 6 níveis de referência para embasar as ações destinadas a garantir a segurança. São eles:

  1. Inexistente: a falta total de processos reconhecidos. Nesse nível, as empresas nem mesmo reconheceram que existe um problema a ser superado;
  2. Ad hoc ou Inicial: as empresas já reconheceram a existência de questões a serem trabalhadas. A propósito, não existem ainda processos padronizados. Seja como for, certos enfoques ad hoc tendem a ser individualmente aplicados. Ou seja, o enfoque de gerenciamento é descoordenado;
  3. Repetível (porém, intuitivo): aqui, os processos já evoluíram ao estágio no qual alguns procedimentos similares passam a ser seguidos por diferentes profissionais que, dessa forma, perfazem as mesmas tarefas. Ademais, não há treinamentos formais ou comunicações de procedimentos padronizados. Principalmente, a responsabilidade é deixada com cada indivíduo. Mas existem altos graus de confiança nos conhecimentos individuais, de tal forma que erros podem ocorrer com frequência;
  4. Processos definidos: os procedimentos já foram comunicados, documentados e padronizados por meio de treinamentos. Por exemplo, é obrigatório que os protocolos sejam seguidos por todos. Em contrapartida, é possível que a maioria dos desvios não seja detectável. Similarmente, os procedimentos são pouco sofisticados, embora exista uma importante formalização de práticas;
  5. Mensurável e gerenciado: a fim de mensurar e monitorar a aderência aos protocolos corretos, a gerência adota ações para mitigar os processos que não estejam funcionando bem. Logo após, eles passam a ser melhorados e a fornecer boas práticas. De tal forma que ferramentas e automação são usadas de um modo fragmentado ou limitado;
  6. Otimizado: o refinamento dos processos alçou-os ao nível das melhores práticas. Portanto, as organizações colheram os resultados de aprimoramentos contínuos e da modelagem de sua maturidade em segurança.

Qual é o papel da TI na segurança?

Obviamente, o domínio completo de todos os níveis referentes à qualidade dos produtos, qualidade dos processos ou manutenção de bons níveis de segurança depende, substancialmente, de profissionais altamente capacitados.

Cumpre ressaltar, por fim, que o nível máximo de segurança utiliza a Tecnologia da Informação para automatizar fluxos de trabalho.

Por consequência, a organização de nível 5, segundo os princípios do Capability Maturity Model, disponibiliza ferramentas que otimizam a segurança da infraestrutura e das aplicações, torando-a mais ágil e assertiva na resolução de desafios e eventuais problemas.

Carla Batistella
Carla Batistella
Carla Batistella é formada em Redes de computadores e MBA em gestão de projetos pela FGV, atua há 18 anos com tecnologia da informação, sendo os últimos cinco anos com projetos de compliance de segurança da informação. Estuda Privacidade e Proteção de Dados há algum tempo e é DPO EXIN. Atua em diversos projetos, auxiliando os clientes nas adequações de empresas e seus processos e negócios à LGPD.