Avanzar rápido sin inconvenientesDesarrollo de software de alta velocidad en empresas altamente reguladaspor Greg Hughes, director general de Serena Software (ahora, Micro Focus®)

Informe oficialMicro Focus Solutions Business Manager (SBM)Deployment AutomationDimensions CMChangeMan ZMF

Índice página

Presión por avanzar rápido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Por qué avanzar rápido puede traer inconvenientes: prácticas frente a políticas y sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Riesgos de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Riesgos de cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Riesgos de rendimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Avanzar rápido sin inconvenientes: las mejores prácticas para la empresa . . . 7¿Por qué Micro Focus? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Conclusiones y resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1www.microfocus.com

Hoy en día, las empresas se ven sometidas a una enorme presión por acelerar la velocidad de

innovación de software debido a la competencia y a la oportunidad de explotar tecnologías

innovadoras, como los dispositivos móviles . Esta presión conlleva que las organizaciones de

desarrollo de aplicaciones apliquen una serie de prácticas modernas, desarrolladas en pequeñas

empresas, al ciclo de vida de desarrollo del software (SDLC) .

En la carrera por ofrecer software más rápido, las pequeñas empresas pueden permitirse adoptar

los principios de Facebook: “avanzar rápido con inconvenientes”. Sin embargo, con el fin de

avanzar más rápido y adoptar las prácticas de desarrollo actuales, las grandes empresas deben

evitar el aumento de los riesgos de seguridad, cumplimiento y rendimiento en el ciclo de vida

del desarrollo de software . La gestión de los riesgos del SDLC es particularmente importante en

sectores muy regulados y que manejan información confidencial, como los servicios financieros,

el gobierno, la salud, la automoción y la defensa .

En muchas empresas altamente reguladas, el software privativo garantiza procesos empresariales

diferenciados, productos únicos y servicios más valorados . Los riesgos en el ciclo de vida de

desarrollo del software pueden poner en peligro valiosos activos empresariales, como:

La propiedad intelectual

La reputación y la confianza del cliente

El estatus legal y normativo

El capital financiero

¿Cómo debe ser la gestión ejecutiva en los sectores altamente regulados para garantizar que sus

equipos de desarrollo de aplicaciones adoptan las prácticas de desarrollo actuales al tiempo que

gestionan los riesgos de seguridad, cumplimiento y rendimiento? En otras palabras, ¿qué pueden

hacer las empresas para “avanzar rápido sin inconvenientes”?

Presión por avanzar rápido

Vivimos en una época de cambios constantes y vertiginosos impulsados por la innovación de

software .

El desarrollo de software es más estratégico y esencial que nunca, lo que tiene como consecuencia

una presión enorme por reducir los tiempos del ciclo de desarrollo . En respuesta, los equipos de

desarrollo de aplicaciones de todos los sectores están adoptando prácticas actuales como:

¿Cómo deben actuar los responsables ejecutivos de sectores altamente regulados para garantizar que sus equipos de desarrollo de aplicaciones adoptan las prácticas de desarrollo actuales al tiempo que gestionan los riesgos de seguridad, cumplimiento y rendimiento?

2

Informe oficialAvanzar rápido sin inconvenientes

El desarrollo Agile, que enfatiza con frecuencia la entrega de software funcional para satisfacer a los clientes y aborda los requisitos cambiantes, incluso en las fases avanzadas del desarrollo (Kent Beck, 2001).

El desarrollo paralelo, que permite que varios desarrolladores trabajen en las funciones en paralelo y fusionen los cambios después en una sola “línea central” (Appleton, 2003).

La integración continua, que fomenta las pruebas de integración y compilación automatizadas y frecuentes de ramas paralelas para identificar los defectos con prontitud y reducir las tareas de rectificación (Fowler, 2006).

La entrega continua, que se centra en el uso de la automatización, la práctica de controles estrictos de las versiones y la colaboración para acelerar la implantación de los cambios del software a través de un canal de despliegue hasta la fase de producción (Farley, 2011).

Lean, que se adapta a los principios del sistema de producción de Toyota para el desarrollo de software, incluidos los paneles Kanban, que eliminan el gasto innecesario (es decir, las actividades que no aportan valor al cliente) y los lotes pequeños (Jez Humble, 2014) (Vodde, 2009).

DevOps, cuyo objetivo es mejorar la colaboración y los objetivos compartidos entre los equipos de desarrollo y operaciones para abordar las metas conflictivas entre ambos equipos (Gene Kim, 2015).

El desarrollo de software innovador es fundamental para desbloquear el potencial de las

tecnologías innovadoras . Según la investigación realizada por McKinsey & Co ., las tecnologías

innovadoras tienen “el potencial para impulsar un impacto económico de entre 14 billones y

33 billones de dólares estadounidenses al año en 2025” (James Manyika, 2013) . Esta tecnología

incluye:

Los dispositivos móviles: el iPhone 4, a un precio de 400 USD, equivale en rendimiento a la supercomputadora más rápida de 1975, que costó 5 millones de USD.

La inteligencia artificial: el rendimiento de la capacidad informática se ha multiplicado por cien desde el Deep Blue de IBM (que fue el campeón de ajedrez en 1997) hasta Watson (el campeón de Jeopardy en 2011).

El Internet de las cosas: en los últimos cinco años, ha habido un aumento del 300 % en los dispositivos interconectados entre máquinas.

La tecnología en la nube: la relación precio-rendimiento de un servidor público en la nube se duplica cada 18 meses.

Adoptar las prácticas de desarrollo actuales se ha convertido en una cuestión de supervivencia .

Por qué avanzar rápido puede traer inconvenientes: prácticas frente a políticas y sistemas

Los desarrolladores de software deberían tener liberad para adoptar las prácticas actuales con el

fin de hacer mejor su trabajo.

Sin embargo, aunque estas prácticas conllevan ventajas, los sistemas y las políticas relacionadas

con ellas son habitualmente muy débiles e introducen vulnerabilidades en el ciclo de vida de

desarrollo del software que pueden ser especialmente problemáticas para las grandes empresas

en sectores altamente regulados .

El desarrollo de software innovador es fundamental para desbloquear el potencial de las tecnologías innovadoras.

3www.microfocus.com

Estas vulnerabilidades incluyen:

Permitir la proliferación de múltiples repositorios de código fuente abierto (por ejemplo, GIT o SVN).

Dejar que los desarrolladores configuren y administren sus repositorios de código fuente sin los sistemas de seguridad adecuados ni una política global.

Controles de acceso, protección de contraseña y mecanismos de autenticación de mala calidad para un equipo de desarrollo distribuido globalmente.

Controles y aplicación de procesos débiles como:

– Gestión de cambios

– Pruebas y controles de calidad automáticos

– Ciclo de vida de desarrollo seguro y análisis de seguridad estática

– Control del uso del módulo de código fuente abierto

– Gestión de la incorporación de empleados y proveedores

Procesos altamente manuales

Falta de un registro de eventos detallado y de trazabilidad, lo que conlleva un soporte de auditoría débil

Separación insuficiente de la autorización de tareas y funciones

Aunque las pequeñas empresas pueden adoptar los principios de Facebook: “avanzar rápido

con inconvenientes”, las grandes empresas, especialmente aquellas pertenecientes a los sectores

altamente regulados, necesitan avanzar rápido sin inconvenientes .

Mientras los desarrolladores de software adoptan nuevas prácticas para acelerar la comercialización

de las funciones, los ejecutivos y los accionistas deben ocuparse de que se gestionen adecuadamente

los riesgos en el SDLC .

Para equilibrar estos principios contradictorios, los ejecutivos deben aplicar la filosofía de gestión

de riesgos empresariales (ERM) en el SDLC . Aplicar la gestión de riesgos empresariales al SDLC

requiere que los equipos de desarrollo de aplicaciones, gestión de cambios, seguridad y riesgo de

TI, y auditoría colaboren y trabajen estrechamente con los expertos del sector .

Aplicar la filosofía de gestión de riesgos empresariales en el SDLC comienza con la identificación

de los riesgos de seguridad, cumplimiento y rendimiento en el desarrollo de software .

Aplicar la filosofía de gestión de riesgos empresariales en el SDLC comienza con la identificación de los riesgos de seguridad, cumplimiento y rendimiento en el desarrollo de software.

4

Informe oficialAvanzar rápido sin inconvenientes

Las amenazas cibernéticas son un problema creciente en los sectores altamente regulados.

Riesgos de seguridad

El 12 de enero de 2010, Google reveló mediante una publicación en un blog que había sido víctima

de un ciberataque muy sofisticado que tenía como objetivo su propiedad intelectual más valiosa:

su código fuente (Drummond, 2010) . El ataque, posteriormente conocido como la “Operación

Aurora”, se originó en China y su objetivo era robar o quizás incluso modificar el código fuente

de docenas de empresas estadounidenses de diversos sectores delicados como el software, la

defensa o los servicios financieros. El ataque fue uno de los primeros ejemplos de una “amenaza

persistente avanzada”, una sigilosa red de malware que se infiltra silenciosamente en una red,

busca la propiedad intelectual valiosa y, cuando se dan las condiciones adecuadas, la roban antes

de que salten las alarmas .

Según Dmitri Alperovitch, vicepresidente de McAfee Labs, “los sistemas de gestión de código

fuente estaban muy abiertos . Nadie había pensado en protegerlos hasta entonces, pero eran la

joya de la corona de muchas empresas por varios motivos . De hecho, son mucho más valiosos que

cualquier dato identificable personal o financiero que posean y al que dediquen mucho tiempo

y esfuerzo en proteger” (Zetter, 2010) .

Las amenazas cibernéticas son un problema creciente en los sectores altamente regulados, como

demuestra el director general de JP Morgan Chase, que declaró que el banco duplicará su gasto en

seguridad cibernética de 250 millones a 500 millones de dólares estadounidenses al año, después

de una reciente vulneración muy notoria (Tracy, 2014) .

Estas amenazas cibernéticas provienen de dos fuentes de categorías diferentes con distintas

motivaciones: las internas y las externas a la empresa:

Las internas: después de lo ocurrido con Edward Snowden, las organizaciones se están dando cuenta de los enormes daños que pueden causar las personas que tienen permiso para acceder a la información, como empleados, proveedores y equipos externos. Aunque las amenazas internas no siempre tienen malas intenciones, ya que, con frecuencia, se causan daños desde dentro por mero desconocimiento. El autor ha descubierto recientemente el caso de un cliente del sector de servicios financieros que contaba con un desarrollador que enviaba por correo electrónico el código fuente a su propia casa.

Las externas: las amenazas externas tienen mayor financiación, sofisticación y organización. Normalmente se clasifican en estos cuatro tipos:

1. Patrocinadas por el estado

2. Crimen organizado

3. Activistas

4. Terroristas

5www.microfocus.com

Existe una amplia variedad de amenazas a la seguridad del SDLC, como:

El robo de la propiedad intelectual: el código fuente puede ser la propiedad intelectual más importante creada por una empresa. En la “Operación Aurora”, Google, Adobe, Juniper Networks y Rackspace confirmaron que sus sistemas habían sido atacados. Los medios de comunicación publicaron que, además de estas, también hubo decenas de empresas importantes que sufrieron ataques.

Los cambios no autorizados al código fuente (la “puerta trasera”): los atacantes que consiguen acceder al código fuente pueden instalar “puertas traseras”, lo que les permite “dirigir y controlar” las funciones fundamentales.

La utilización del código fuente para identificar las vulnerabilidades: estudiar el código fuente robado puede dar información suficiente a los atacantes para encontrar nuevas vulnerabilidades en los sistemas que fijen como objetivo.

La corrupción a lo largo del proceso hasta la fase de producción: en la mayoría de empresas, trasladar el código finalizado desde el desarrollo hasta las operaciones es un proceso manual sin control que se paraliza por las noches y durante los fines de semana. Las aplicaciones de varios niveles requieren cambios coordinados en los que intervienen muchas personas, plataformas y entornos, como mainframe, sitios web, sistemas en la nube, bases de datos, etc. Si estos cambios no se realizan correctamente, los sistemas pueden quedar expuestos a las vulnerabilidades en cada paso manual.

Riesgos de cumplimiento

Desde la promulgación de la ley Sarbanes-Oxley (SOX) en 2002, la gestión de la conformidad con

la normativa es una exigencia creciente en el SDLC . La creciente diversidad de las normativas en

los diferentes niveles (estatal, federal e internacional) hace que sea más difícil mantenerse al día

con los cambios necesarios en el SDLC, especialmente en los sectores altamente regulados como:

Los servicios financieros: la ley de confidencialidad Gramm-Leach-Bliley (GLBA), Dodd-Frank, Basel III

Las aseguradoras: la regla de modelos de auditoría

Transacciones: la norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

La sanidad: la ley de portabilidad y responsabilidad de los seguros médicos (HIPAA), la ley de cuidados de la salud asequibles

La automoción: ISO26262

El gobierno: los estándares federales de procesamiento de la información y la ley federal de gestión de la seguridad de la información (FIPS, FISMA)

La industria aeroespacial y de defensa: la ley de control de exportaciones

El cumplimiento de la nueva normativa es costoso . Por ejemplo, se calcula que la norma Reg

SCI de SEC (cumplimiento e integridad de los sistemas), que se aplica a 44 entidades, supondrá

un gasto inicial de 242 millones de USD en total, junto con otros 191 millones de USD en gastos

anuales .

El riesgo de incumplimiento es un problema grave para los ejecutivos de los sectores altamente

regulados . Las molestias y los gastos causados por un litigio son demasiado graves para los equipos de

gestión y las sanciones impuestas por las instituciones de gobierno pueden ser enormes .

La creciente diversidad de las normativas en los diferentes niveles (estatal, federal e internacional) hace que sea más difícil mantenerse al día con los cambios necesarios en el SDLC.

6

Informe oficialAvanzar rápido sin inconvenientes

El ciclo de vida de desarrollo del software para sistemas críticos es el objetivo principal de estas

normativas (Epps y Norris, 2012) (MSDN, 2006) . El cumplimiento de la normativa requiere

la adopción de prácticas de desarrollo seguro y de procesos de gestión rigurosos como la

autorización, la segregación de tareas, el control de cambios y el soporte de las auditorías (por

ejemplo, el registro y la realización de informes) .

Además de la conformidad normativa, el cumplimiento de las leyes es otro problema para

el SDLC . Los desarrolladores de software están utilizando cada vez más el código fuente que

está disponible en línea de manera gratuita para cumplir plazos exigentes . ¿Cómo se rastrea

y se supervisa todo este código fuente? ¿Cómo se aseguran las empresas de que se siguen las

restricciones de las licencias? Y, finalmente, ¿cómo se aseguran las empresas de que este software

se corrige y se actualiza cuando es necesario?

Riesgos de rendimiento

La definición de rendimiento utilizada aquí es muy amplia: el rendimiento significa que el

software realiza aquello para lo que se ha diseñado . Los riesgos de rendimiento se dan en el SDLC

cuando no se llevan a cabo las pruebas adecuadas y se pueden sortear antes de que el código

llegue a producción . El proceso de lanzamiento que traslada el código de la fase de desarrollo a la

de producción es uno de los pasos más peligrosos del SDLC .

Uno de los ejemplos más catastróficos del riesgo del rendimiento es el caso de Knight Capital

(Heusser, 2012) . Knight Capital era una empresa de negociación de alta frecuencia y uno de los

principales operadores de bolsa de Estados Unidos . En junio de 2012, la Bolsa de Valores de

Nueva York obtuvo permiso para lanzar su programa RLP para negociar acciones de empresas

minoristas e informó a las empresas de intercambio de valores, entre ellas, Knight Capital, de que

dicho programa estaría disponible desde el 1 de agosto .

Debido a las prisas por conseguir que su software comercial estuviera preparado para esa fecha,

Knight Capital cometió un terrible error que causó la pérdida de aproximadamente 440 millones

de dólares estadounidenses en los primeros 30 minutos . Esta enorme pérdida hizo tanto daño a la

empresa que tuvo que ser adquirida por la competencia (Getco LLC) .

Además de la conformidad normativa, el cumplimiento de las leyes es otro problema para el SDLC.

7www.microfocus.com

A medida que las empresas adoptan nuevas prácticas para acelerar el desarrollo de aplicaciones, las empresas de sectores muy regulados deberían adoptar un enfoque disciplinado y programático para garantizar la seguridad, el cumplimiento y el rendimiento del SDLC.

En el artículo “Trying to Be Nimble, Knight Capital Stumbles” (Knight Capital tropieza en su

intento de ganar agilidad), publicado en el New York Times, la competencia puso en duda el

enfoque agresivo de Knight Capital (Silver-Greenberg, 2012) . “El plazo entre la aprobación del

software y su implementación fue increíblemente rápido”, declaró un directivo de otra empresa

de intercambio de valores .

Un análisis detallado del error indicó que Knight Capital implementó erróneamente en la

producción un módulo de software de prueba que ejecutaba sus propias operaciones en lugar de

responder a operaciones externas (Nanex Research, 2012) . Este módulo de software de prueba,

que nunca debería haberse implementado en la producción, se incluyó accidentalmente en el

paquete de lanzamiento y se activó en el sistema real de la bolsa de valores de Nueva York .

Avanzar rápido sin inconvenientes: las mejores prácticas para la empresa

A medida que las empresas adoptan nuevas prácticas para acelerar el desarrollo de aplicaciones,

las empresas de sectores muy regulados deberían adoptar un enfoque disciplinado y programático

para garantizar la seguridad, el cumplimiento y el rendimiento del SDLC . La siguiente lista ofrece

las cinco mejores prácticas a tener en cuenta con este fin.

1. Adoptar herramientas sencillas para los desarrolladores. Esta es la regla número uno por un motivo: si a los desarrolladores no les gustan las herramientas elegidas, evitarán utilizarlas. Y no importará nada más. La tecnología de gestión de riesgos debe actuar como una protección invisible para los desarrolladores. El desarrollo de aplicaciones quedará “excluido” de los sistemas proporcionados por TI si no permiten las prácticas avanzadas que el equipo elija o si su uso es demasiado engorroso. Las herramientas deben adoptar las prácticas de desarrollo actuales y ser compatibles con las interfaces de usuario modernas.

2. Actualizar el nivel de control del proceso en el SDLC de manera integral. En muchas empresas, el SDLC se compone de muchos productos distintos sin una base sólida de gestión del flujo de trabajo entre productos. Las herramientas sólidas de gestión de procesos facilitan la coordinación de las actividades y de la información entre las herramientas y proporcionan el control de acceso y el seguimiento de eventos necesarios para la gestión del riesgo. Las áreas clave de los procesos entre productos son:

La imposición del uso de las prácticas del ciclo de vida de desarrollo seguro, por ejemplo, el análisis de la seguridad y del código abierto

La gestión sólida de los cambios, como las peticiones de cambios en el código fuente para lograr la integridad

La gestión del lanzamiento, como, por ejemplo, garantizar que se siguen los pasos aprobados por el comité de asesoramiento en materia de cambios (CAB)

La incorporación y la salida de empleados y proveedores

8

Informe oficialAvanzar rápido sin inconvenientes

3. Automatizar siempre que sea posible. Sustituir los pasos manuales por la automatización permite las repeticiones, disminuye los gastos y reduce la probabilidad de errores (ya sean intencionales o no). En algunos casos, la automatización supone muchas ventajas: aumenta la velocidad de las operaciones y reduce los costes, garantizando el control y la trazabilidad. Por ejemplo, en la mayoría de empresas, la implementación de aplicaciones es un proceso intenso y laborioso que involucra a muchas personas por la noche y durante los fines de semana. Los productos de automatización de la implementación de aplicaciones pueden eliminar cientos de pasos manuales, sustituyéndolos por un proceso estandarizado, auditable y automatizado.

4. Controlar la “proliferación de repositorios” y crear un “sistema de gestión de código fuente optimizado” centralizado. Esta es la consecuencia de la regla número uno. Demasiadas empresas dejan que el número de repositorios de código fuente crezca sin control porque los desarrolladores pueden configurar fácilmente sus propios sistemas basados en código abierto, como GIT y Subversion. La gestión de configuración y cambios de software (SCCM) debe estar centralizada y “optimizada”, por ejemplo, configurada de forma segura, administrada correctamente e instalada en un servidor seguro e independiente (McAfee Labs, 2010). La selección de proveedores es fundamental, ya que no todos los productos de SCCM admiten un nivel suficiente de seguridad y control, como controles de acceso integrados y estrictos, auditorías y registros detallados (con objeto de identificar los comportamientos anómalos, proporcionar capacidad de auditoría y respaldar los análisis forenses posteriores a incidentes), la revisión integral entre compañeros y las líneas de base. Las empresas de mayor rendimiento se centran en las prácticas de controles estrictos de versiones (Puppet Labs, 2014). Por ejemplo, Google tiene un repositorio de código único que admite 15 000 ingenieros y 5500 aprobaciones de código y pruebas automatizadas a diario. Si los ejecutivos de Google pueden controlar la proliferación del repositorio, cualquiera puede hacerlo.

5. Seguir utilizando el mainframe para los sistemas transaccionales principales. Muchas empresas siguen aumentando su capacidad de mainframe, entre otras razones, por la seguridad incomparable que proporcionan estos sistemas. Las vulnerabilidades de mainframe (según NIST y US-CERT) se encuentran en cifras de un solo dígito, en comparación con las miles de Windows, Linux o UNIX.

¿Por qué Micro Focus?

Durante los últimos 35 años, Serena (ahora, Micro Focus) se ha centrado en la misión de ayudar a

grandes empresas muy reguladas a mejorar el ciclo de vida del desarrollo de software, realizando

entregas de software más rápidas y con menor riesgo .

Micro Focus comprende los problemas únicos de las grandes empresas altamente reguladas,

ya que da servicio a más de la mitad de las empresas de la lista Fortune 100 de distintos sectores,

como aseguradoras, banca comercial, transacciones, gestión de activos, gubernamentales,

hospitales y planes de sanidad, defensa y seguridad nacional, y telecomunicaciones . Por ejemplo,

los clientes de Micro Focus de EE . UU . incluyen:

8 de los 10 principales bancos

5 de las 5 principales empresas aeroespaciales y de defensa

6 de las 10 empresas de seguros de vida principales

3 de las 3 principales empresas de seguros sanitarios y gestión de cuidados

Micro Focus comprende los problemas únicos de las grandes empresas altamente reguladas, ya que da servicio a más de la mitad de las empresas de la lista Fortune 100 de distintos sectores, como aseguradoras, banca comercial, transacciones, gestión de activos, gubernamentales, hospitales y planes de sanidad, defensa y seguridad nacional, y telecomunicaciones.

9www.microfocus.com

Para satisfacer las demandas de estas empresas líderes en sus sectores, Micro Focus proporciona

al cliente servicios galardonados y excepcionales con un personal con gran experiencia,

compuesto por empleados de servicio al cliente con una permanencia media de 11 años . Este

enfoque hacia el cliente se ve recompensado por una gran fidelidad: los 100 clientes principales

llevan trabajando con Micro Focus un promedio de 18 años .

Los cuatro productos principales de Micro Focus aceleran la adopción de las mejores prácticas en

el SDLC:

Micro Focus Solutions Business Manager (SBM): una plataforma de flujo de trabajo para actualizar el nivel de control del proceso en todo el SDLC.

Micro Focus Deployment Automation: para automatizar la etapa de implementación de aplicaciones.

Micro Focus Dimensions CM: un sistema de gestión de cambios de software (SCM) ampliable, rastreable, seguro y sencillo para los desarrolladores que sirve para controlar la proliferación del repositorio.

Micro Focus ChangeMan ZMF: el mainframe de SCM líder para las aplicaciones transaccionales esenciales.

Micro Focus se centra en la primera regla de las mejores prácticas: garantizar que todos los

productos resulten sencillos para los desarrolladores . Los desarrolladores de software de Micro

Focus utilizan los productos de la propia empresa para el SDLC y emplean consejos asesores de

clientes, grupos de usuarios virtuales y eventos para obtener los comentarios de los clientes .

Las soluciones de Micro Focus abordan la complejidad del SDLC empresarial, mediante la

integración con soluciones de terceros (de código abierto, patentados, de mainframe) y los

procesos personalizados fácilmente adaptables .

Solutions Business Manager En una gran empresa, el ciclo de vida de desarrollo del software se compone de flujos de

trabajo entre equipos especializados que se comunican entre diferentes áreas funcionales en

las que se usan distintas herramientas . En el proceso de liberación de software, por ejemplo,

están involucrados las funciones de desarrollo, control de calidad y operaciones, y entre las

herramientas utilizadas se incluyen la gestión del código fuente, las bases de datos de fallos y la

gestión de las pruebas. Otros flujos de trabajo incluyen la gestión del cambio, el seguimiento de

defectos y problemas, la gestión de los proveedores y la incorporación de empleados .

Muchas organizaciones tienen estos flujos de trabajo en estado “no gestionado” y dejan que los

empleados utilicen una colección ad hoc de tecnologías (como correo electrónico u hojas de

cálculo) para compatibilizar la coordinación necesaria para realizar su trabajo . Sin embargo,

aunque parezca que ahorran una pequeña cantidad de dinero, hay una serie de costes ocultos y

problemas con este enfoque de “no gestión” .

Las soluciones de Micro Focus abordan la complejidad del SDLC empresarial, mediante la integración con soluciones de terceros (de código abierto, patentados, de mainframe) y los procesos personalizados fácilmente adaptables.

10

Informe oficialAvanzar rápido sin inconvenientes

Las empresas más grandes deberían pasar de los flujos de trabajos “no gestionados” a otros

“gestionados” en sus SDLC mediante una aplicación de procesos para obtener las siguientes

ventajas:

Impulsar un proceso uniforme y estándar

Realizar un seguimiento de los pasos para cumplir las políticas y normativas, y contar con registros con fines de auditoría

Proporcionar transparencia y rendición de cuentas, de forma que se muestre quién está haciendo qué y quién no

Eliminar y corregir los obstáculos en los procesos para que mejoren continuamente

Automatizar y organizar medidas para reducir el tiempo empleado en las actividades que no aportan valor

Tradicionalmente, las aplicaciones basadas en procesos en el SDLC se han desarrollado a través

de uno de estos dos enfoques: si existen, mediante la adquisición de una aplicación empaquetada

o un servicio SaaS, o a través de la creación de un sistema propio . Los sistemas propios

están construidos de diversas formas: aplicaciones de desarrollo personalizado en lenguajes

de programación modernos, además de herramientas de creación de guiones en productos

individuales o, incluso, utilizando Lotus Notes y SharePoint .

Con frecuencia, las aplicaciones empaquetadas son inflexibles, ya que resulta difícil

personalizarlas o adaptarlas a futuros cambios . Los sistemas propios suelen ser difíciles de

mantener y pueden carecer de funciones empresariales básicas como la seguridad y los controles

de acceso .

Micro Focus ofrece una “tercera vía” para desarrollar aplicaciones basadas en procesos para

la gestión de flujos de trabajo en el SDLC: el empleo de la plataforma de automatización de

procesos de gestor de negocios Solutions Business Manager . Solutions Business Manager es

una plataforma de gestión de procesos empresariales (BPM) para TI diseñada desde cero para

automatizar procesos clave durante el desarrollo de aplicaciones, la gestión de lanzamientos y las

operaciones de TI, así como necesidades más amplias de servicios de TI .

Los clientes de Micro Focus suelen aplicar la plataforma Solutions Business Manager en tres fases

progresivas (consulte la Tabla 1):

1. Lograr resultados a corto plazo en el SDLC

2. Aplicar Solutions Business Manager para gestionar procesos más amplios de TI

3. Ampliar Solutions Business Manager en los procesos empresariales vinculados con TI

Micro Focus ofrece una “tercera vía” para desarrollar aplicaciones basadas en procesos para la gestión de flujos de trabajo en el SDLC: el empleo de la plataforma de automatización de procesos de gestor de negocios Solutions Business Manager.

11www.microfocus.com

Solutions Business Manager ofrece las siguientes ventajas como plataforma de gestión de flujos de

trabajo de procesos:

Crear rápidamente aplicaciones basadas en procesos. Comience con una de las plantillas de procesos básicas y, a continuación, utilice Composer (un diseñador de aplicaciones basado en procesos unificado) para perfeccionarla. Composer es un diseñador completamente visual que modela todos los aspectos de una aplicación, incluidos flujos de trabajo humanos, flujos de trabajo de sistemas, integraciones, formularios dinámicos, interacción del usuario, reglas empresariales, funciones, privilegios, informes y dependencias.

Personalizar y adaptar fácilmente. Los analistas empresariales pueden modificar fácilmente flujos de trabajo, formularios, datos, integraciones, reglas, privilegios y otros elementos de clasificación con Solutions Business Manager Composer, e implantarlos sin perjudicar la integridad del proceso ni extraviar historiales ni datos. Opcionalmente, los cambios se pueden aplicar a elementos de procesos en curso. Las versiones de los cambios de procesos se controlan automáticamente en las fases de diseño y ejecución, y es posible realizar reversiones fácilmente.

Integración con otros sistemas. Utilizar el motor de organización incorporado para gestionar integraciones sofisticadas con otros sistemas a través de servicios web y API basadas en REST. Recopilar información de distintas fuentes y entregarla a los usuarios en tiempo real. Automatizar pasos que anteriormente requerían interacción manual.

Composer es un diseñador completamente visual que modela todos los aspectos de una aplicación, incluidos flujos de trabajo humanos, flujos de trabajo de sistemas, integraciones, formularios dinámicos, interacción del usuario, reglas empresariales, funciones, privilegios, informes y dependencias.

Fase Ejemplos

1. Lograr resultados a corto plazo en el SDLC. Actualizar el nivel de control de procesos de SDLC suele ser una buena oportunidad para Solutions Business Manager.

Micro Focus ofrece plantillas de procesos para diversos flujos de trabajo de SDLC, entre los que se incluyen:

Gestión de problemas y defectos

Gestión de peticiones de cambio

Gestión de trabajos y proyectos

Gestión de casos de prueba

Gestión de código abierto

Gestión de lanzamientos: Micro Focus proporciona una aplicación integrada en la parte superior de la plataforma Solutions Business Manager para la gestión de lanzamientos. Micro Focus Release Control ayuda a madurar el proceso de gestión de lanzamientos, e incrementa la transparencia, la trazabilidad y el control.

2. Aplicar Solutions Business Manager para gestionar los procesos más amplios de TI. Es una excelente plataforma para la gestión de procesos de TI.

Gestión de servicios de TI. Micro Focus Service Manager, por ejemplo, es una aplicación integrada en la parte superior de la plataforma Solutions Business Manager que ayuda a impulsar el progreso hacia la gestión de procesos basada en ITIL para gestionar incidentes, cambios y problemas

Gestión de la seguridad. Por ejemplo, gestión de incidentes de seguridad o gestión de certificados

Gestión y seguimiento de activos

Provisión para servidores

Investigación de causas

3. Ampliar Solutions Business Manager en los procesos empresariales vinculados con TI. Los usuarios más activos de Solutions Business Manager lo amplían para gestionar multitud de procesos empresariales.

Recursos humanos: contratación y despido de empleados, gestión de trabajadores externos, aprovisionamiento de nuevos empleados

Ventas: proceso de elaboración de presupuestos, aprobación de descuentos, referencias de clientes

Finanzas: reembolso de gastos de viaje, aprobación de peticiones de viaje, peticiones de compra, peticiones de inversión en capital

Legal: aprobación de copias, celebración de litigios

Específicos del sector: procesamiento de reclamaciones, gestión de ensayos clínicos

Tabla 1.

12

Informe oficialAvanzar rápido sin inconvenientes

Aprovechar las soluciones completas de informes y auditoría. Eliminar obstáculos de procesos con una biblioteca integrada de listas, distribución, tendencias, informes y consolas. Los usuarios finales pueden crear informes eficaces para gestionar y medir el trabajo automatizado en Solutions Business Manager con los asistentes de creación y edición de fácil uso. Además, Solutions Business Manager ofrece auditorías de cambios completas, con identificación y elaboración de informes de cambios automáticas, por lo que proporciona soporte para el control de normativas.

Modelo privilegiado basado en procesos ampliable y personalizable con Solutions Business Manager Composer. Los diseñadores de procesos pueden definir la seguridad basada en funciones a nivel de aplicación hasta los niveles de datos y campo, y acciones de flujos de trabajo específicas para satisfacer los requisitos de cumplimiento de normativas y seguridad. Además, el motor de entrada única (SSO) de Solutions Business Manager garantiza que la identidad de los usuarios participantes se propague de forma segura a través de cualquier flujo de trabajo de sistemas desencadenado para conservar la integridad de las transacciones.

Compatibilidad con toda la gama de dispositivos de usuario (móvil, tablet y PC). Esto incluye aprobaciones de acceso rápido y notificaciones puntuales en el momento y el lugar de trabajo de los usuarios.

Solutions Business Manager y sus aplicaciones de procesos son la base de una estrategia para

actualizar el control de procesos en el SDLC de manera integral, y aplicar esa eficiencia a TI y al

resto de la empresa .

Deployment AutomationComo ya se ha señalado, muchas empresas caminan hacia un enfoque de desarrollo de software

de gran velocidad para lanzar aplicaciones nuevas y mejoradas . El desarrollo rápido de software

impulsa los ingresos, ya que el software no aporta beneficios económicos hasta que está en manos

de los usuarios .

Actualmente, sin embargo, la mayoría de empresas utiliza un proceso de implantación de

aplicaciones de forma manual en gran medida . Esto implica el uso de guiones personalizados

detallados para cada nivel de aplicaciones (por ejemplo, bases de datos, web, servidor) y puede

requerir que docenas de personas pasen horas al teléfono .

Es imposible que este laborioso proceso de implantación pueda hacer frente a una mayor

frecuencia de lanzamientos de software sin incrementar significativamente el riesgo de que se

produzcan errores en el rendimiento o vulneraciones de la seguridad . Además, las empresas

sujetas a regulaciones estrictas deben ofrecer soporte para el seguimiento detallado y la

separación de tareas necesarios para el cumplimiento de requisitos, algo difícil en un proceso

manual .

Solutions Business Manager y sus aplicaciones de procesos son la base de una estrategia para actualizar el control de procesos en el SDLC de manera integral, y aplicar esa eficiencia a TI y al resto de la empresa.

13www.microfocus.com

La solución de Micro Focus pasa por automatizar la implantación de aplicaciones con Deployment

Automation .

El uso de Deployment Automation ofrece las siguientes ventajas:

Simplificar, estandarizar y automatizar las implantaciones de las aplicaciones más complejas y de varios niveles en todos los entornos

Implantar de forma óptima las aplicaciones en servidores distribuidos físicos, virtuales y en la nube muy heterogéneos

Reducir los fallos en las aplicaciones de producción en el centro de datos hasta en un 90 %

Reducir el tiempo y el coste de la gestión de implantaciones hasta en un 80 %

Entre las funciones de Deployment Automation se incluyen:

Editor gráfico fácil de utilizar que sirve para automatizar los procesos y las implantaciones

Implantaciones basadas en modelos que se realizan a través de instantáneas de la aplicación

Repositorio de elementos que proporciona capacidades de seguimiento y almacenamiento seguros

Visibilidad completa e informes de auditoría y conformidad de uso inmediato

Arquitectura de modelos auxiliares con compatibilidad inmediata con la mayoría de entornos de aplicación

Compatibilidad con notificaciones, autorizaciones y seguridad basada en funciones

Integración perfecta con herramientas de terceros: gestión de cambios y configuraciones de software (SCCM), compilación y lanzamiento, control de calidad, servicio de ayuda técnica y tickets.

Deployment Automation es el componente clave de una estrategia para automatizar el SDLC

siempre que sea posible .

Dimensions CM Dimensions CM está considerado uno de los sistemas de gestión de cambios y configuraciones

de software líderes, con una fuerte implantación en empresas altamente reguladas, en las que es

necesario controlar de manera absoluta el proceso de desarrollo y los elementos de software .

Sin embargo, desde hace unos 5 o 10 años, a medida que los equipos de desarrollo de grandes

empresas han ido adoptando las prácticas modernas de las pequeñas empresas, el uso de

conjuntos independientes de las herramientas de control de versiones de código abierto

Subversion y GIT se ha ido incrementando rápidamente .

Deployment Automation es el componente clave de una estrategia para automatizar el SDLC siempre que sea posible.

14

Informe oficialAvanzar rápido sin inconvenientes

La consiguiente “proliferación de repositorios” ha causado muchos problemas para las empresas

sujetas a regulaciones estrictas:

Varios repositorios de código fuente y otros elementos crean problemas potenciales de seguridad, acceso y pérdida de datos.

El control sobre las políticas que rigen el acceso al código fuente es intrínsecamente débil.

La adhesión a un proceso de desarrollo documentado (por ejemplo, las comprobaciones de seguridad estáticas) está en peligro.

La gestión de cambios y configuraciones se realiza manualmente mediante el etiquetado y la eliminación de diferencias durante el control de entrada y la fusión en herramientas de código abierto.

Las herramientas de código abierto realizan un seguimiento de los cambios a través de archivos de registro en lugar de bases de datos completas como lo hace una verdadera herramienta de SCCM, lo que limita las funciones de seguimiento y auditoría.

Micro Focus, que advirtió esta situación hace años, ha realizado una gran inversión en ingeniería

para crear una verdadera herramienta de SCCM fácil de utilizar y eficaz para los desarrolladores

que, al mismo tiempo, garantiza que no existan riesgos en las áreas de procesos y control

de elementos esenciales para las empresas altamente reguladas . El resultado es el mayor

lanzamiento de Micro Focus en siete años: Dimensions CM 14 .

Dimensions CM 14 tiene muchas características que a los desarrolladores les encantan:

Función de fusión y bifurcación visual de gran capacidad.

Proceso de revisión por pares optimizado e integrado.

Acceso de alta velocidad a través de WAN mediante caché de biblioteca local.

Integración con los principales entornos de desarrollo integrados (IDE), como Eclipse y Visual Studio, y con la cadena de herramientas modernas de entrega continua (Jenkins, Hudson, Chef, Puppet...).

Compatibilidad con el desarrollo de tecnología móvil.

Dimensions CM 14 también incluye funciones muy apreciadas por los equipos de operaciones,

control de calidad y auditoría:

Control de acceso estricto que permite gestionar quién puede hacer qué, sobre qué elementos actúa, cuándo y por qué.

Seguimientos de auditoría completos para actividades de desarrollo, lo que facilita la conformidad con estándares como ISO9000, la integración de modelos de madurez de capacidades (CMMI), etc.

Gestión de peticiones de cambio integrada con grados de control configurables.

Capacidad de ampliación a miles de usuarios simultáneos, cientos de terabytes de almacenamiento y millones de revisiones de archivos. Dimensions admite el equilibrio de carga para alta disponibilidad y failover para la recuperación tras fallos (DR).

Un cliente de Serena (ahora, Micro Focus) Una de las cooperativas de crédito más grandes y de más rápido crecimiento de EE. UU. trabajó con Micro Focus para ofrecer soporte para sus aplicaciones móviles, que cada vez son más populares. El equipo de desarrollo utiliza prácticas modernas para lograr una innovación rápida y capacidad de respuesta ante el cliente, pero los equipos de auditoría y conformidad normativa requieren trazabilidad y seguridad. La cooperativa de crédito utiliza ChangeMan ZMF para ofrecer soporte para aplicaciones de sistemas transaccionales, Dimensions CM para los demás entornos y Solutions Business Manager para posibilitar el control de procesos.

15www.microfocus.com

Dimensions CM actúa como nodo central de la empresa, aportando seguridad y conformidad

normativa, para la gestión de código fuente fuera del entorno de mainframe . Migrar todo el

código fuente (incluido el que se almacena en repositorios de código fuente abiertos como GIT

y Subversion) a un único repositorio de Dimensions CM seguro ofrece a las empresas seguridad

y conformidad normativa en lo que respecta a la confidencialidad, integridad y capacidad de

auditoría:

Confidencialidad: Dimensions CM admite numerosos mecanismos de autenticación con un estricto control de acceso basado en funciones. GIT y Subversion proporcionan un soporte mínimo para el estricto control de acceso basado en funciones, una autenticación limitada y difícil, y un nivel de autorización precario (por ejemplo, repositorios completos para GIT).

Integridad: Dimensions cuenta con controles herméticos y eficaces para los datos en proceso y en reposo, accesos integrados a etapas, aprobaciones y procesos de revisión. En GIT y Subversion, esto requiere una consolidación significativa, personalizaciones y herramientas de terceros. Dimensions utiliza una arquitectura centralizada de alta velocidad para garantizar la integridad de los datos.

Capacidad de auditoría: Dimensions proporciona un seguimiento de auditoría completo de quién hizo qué, cuándo y por qué con un registro de transacciones completo en un sistema de gestión de bases de datos relacional (RDBMS). GIT y Subversion solo proporcionan un seguimiento de auditoría básico en forma de registro de confirmación, y no identifican registros de por qué se realizaron cambios sin herramientas de terceros.

Dimensions CM es la solución ideal para controlar la proliferación de repositorios

ChangeMan ZMF El mainframe (que existe desde 1960) continúa en expansión, especialmente en el caso de grandes

clientes que lo utilizan para aplicaciones transaccionales complejas . Según una encuesta de

investigación realizada por BMC, el 90 % de los grandes distribuidores de mainframe esperan

que el uso de MIPS crezca o se estabilice durante los dos próximos años (BMC 2014) . Las dos

razones principales citadas para la inversión continua en el mainframe fueron las ventajas de la

disponibilidad de plataformas de mainframe y los beneficios para la seguridad.

En la era de la conectividad ininterrumpida a Internet, las características de disponibilidad

del mainframe (por ejemplo, la virtualización de hardware y software, la redundancia o el

intercambio en caliente) y las tecnologías de seguridad (por ejemplo, coprocesadores de cifrado de

hardware) lo convierten en el servidor de datos centralizado para empresas sujetas a regulaciones

estrictas, como aquellas relacionadas con transacciones, banca, seguros y telecomunicaciones .

Las aplicaciones móviles dirigen un creciente volumen de transacciones al mainframe . Por

ejemplo, los clientes de bancos consultan su saldo más frecuentemente cuando pueden acceder

a él con mayor facilidad . Muchos equipos de mainframe observan que el desarrollo de nuevas

aplicaciones móviles y el soporte para otras existentes son una prioridad .

Las aplicaciones móviles dirigen un creciente volumen de transacciones al mainframe.

16

Informe oficialAvanzar rápido sin inconvenientes

ChangeMan ZMF es la solución de gestión de cambios, configuración y versiones de software en

z/OS más amplia y totalmente integrada . Durante casi 20 años, las empresas altamente reguladas

han confiado en ChangeMan ZMF para gestionar y automatizar el proceso de migración de

cambios de software de la fase de desarrollo a cualquier entorno de prueba y, a continuación,

al entorno de producción .

ChangeMan ZMF está diseñado para desarrolladores, evaluadores y encargados de versiones:

Los desarrolladores pueden elegir entre distintas interfaces de usuario, incluidas las interfaces tradicionales de ISPF o un cliente de Windows. Los usuarios del IDE de RDz basado en Eclipse pueden acceder a la funcionalidad de ZMF sin salir de su IDE. El análisis de impacto amplio y el desarrollo paralelo seguro mejoran la productividad.

Los evaluadores valoran enormemente las aprobaciones y las notificaciones integradas completas y las funciones para asegurar la integridad y la estabilidad de la entrega de código. La promoción a través de entornos de prueba está rigurosamente controlada.

Para reducir el riesgo, los encargados de versiones utilizan el calendario de lanzamientos incorporado, la programación de lanzamientos automatizada, la implantación automatizada en los entornos de prueba y producción, y las funciones de reversión. La capacidad de auditoría está garantizada gracias a la aplicación de la integridad del origen al destino.

Uno de los mayores beneficios de Micro Focus para empresas altamente reguladas es la línea

de productos interplataforma que ofrece soporte de ciclo de vida de desarrollo de software de

mainframe para aplicaciones móviles. A medida que incrementa la influencia del mainframe

sobre nuevas aplicaciones, como dispositivos móviles, muchas empresas descubren que la

coordinación del ciclo de vida de desarrollo de su software en áreas clave como la gestión de

lanzamientos representa una función cada vez más crucial . Micro Focus es un partner tecnológico

ideal para estas empresas .

Conclusiones y resumen

Las grandes empresas adoptan prácticas de desarrollo de software modernas de alta velocidad,

entre las que se incluyen:

Agile

Integración continua o entrega continua

DevOps

Lean

Pregunta: ¿Qué prácticas de desarrollo modernas adopta su empresa para aumentar la velocidad del desarrollo de software? Sin embargo, al mismo tiempo que adoptan estas prácticas modernas, las empresas altamente

reguladas deben gestionar tres riesgos clave del ciclo de vida del desarrollo de software:

A medida que incrementa la influencia del mainframe sobre nuevas aplicaciones, como dispositivos móviles, muchas empresas descubren que la coordinación del ciclo de vida de desarrollo de su software en áreas clave como la gestión de lanzamientos representa una función cada vez más crucial. Micro Focus es un partner tecnológico ideal para estas empresas.

17www.microfocus.com

Seguridad

Conformidad normativa

Rendimiento

Pregunta: ¿Cuáles son los mayores riesgos en el ciclo de vida del desarrollo de software de su empresa? ¿Cómo se identifican y abordan estos riesgos? Hay cinco mejores prácticas que los ejecutivos deben considerar para agilizar la entrega de

software y gestionar riesgos . Los representantes del desarrollo de aplicaciones, seguridad y

auditoría, y gestión de cambios de TI deben implicarse en el desarrollo de una solución .

Estas cinco mejores prácticas son:

1. Adoptar herramientas sencillas para los desarrolladores

2. Actualizar el nivel de control del proceso en el SDLC de manera integral

3. Automatizar siempre que sea posible

4. Controlar la “proliferación de repositorios” con un “sistema de gestión de código fuente consolidado” central

5. Continuar utilizando el mainframe en sistemas transaccionales centrales

Preguntas: ¿Su empresa tiene una iniciativa en torno a una o más de estas mejores prácticas? ¿Progresa con rapidez y urgencia? ¿Quién es el responsable de impulsar las iniciativas? Micro Focus es un partner tecnológico ideal para ejecutivos de empresas sujetas a requisitos

estrictos que desean aumentar la velocidad de la innovación de software .

Los cuatro productos principales de Micro Focus aceleran la adopción de las mejores prácticas en el SDLC:

Solutions Business Manager para mejorar el control de procesos a través del SDLC

Deployment Automation para automatizar la implantación de aplicaciones

Dimensions CM para controlar la proliferación de repositorios

ChangeMan ZMF para ofrecer soporte para los sistemas de transacción de mainframe centrales

Micro Focus se integra con sistemas de terceros y acerca el mainframe a dispositivos móviles a través del SDLC

Micro Focus proporciona un servicio al cliente óptimo centrado en el SDLC

Pregunta: ¿Cómo puede Micro Focus ayudar a su empresa a avanzar rápido sin inconvenientes?

Micro Focus es un partner tecnológico ideal para ejecutivos de empresas sujetas a requisitos estrictos que desean aumentar la velocidad de la innovación de software.

162-ES0081-002 | S | 04/17 | © 2017 Micro Focus. Reservados todos los derechos. Micro Focus y el logotipo de Micro Focus, entre otros, son marcas comerciales o marcas comerciales registradas de Micro Focus o sus compañías subsidiarias y filiales en Reino Unido, Estados Unidos y en otros países. El resto de marcas son propiedad de sus respectivos propietarios.

Argentina+54 11 5258 8899

Chile+56 2 2864 5629

Colombia+57 1 622 2766

México+52 55 5284 2700

Panamá+507 2 039291

España+34 91 781 5004

Venezuela+58 212 267 6568

Micro FocusSedes corporativasReino Unido+44 (0) 1635 565200

www.microfocus.com

Referencias

Appleton, Stephen Berczuk y Brad . 2003 . Software Configuration Management Patterns: Effective Teamwork, Practical Integration (Patrones de gestión de configuraciones de software: trabajo en equipo efectivo, integración práctica). Addison-Wesley .

BMC . 2014 . 2014 Annual Mainframe Research Results (Resultados de la investigación anual sobre mainframe de 2014) . Survey Findings, BMC Software, Inc .

Drummond, David . 2010 . google .com . 12 de enero . http://googleblog.blogspot.com/2010/01/new-approach-to-china.html

Epps, Cindy Van y Nick Norris . 2012 . Software Development Compliance—Overview (Conformidad normativa del desarrollo de software: descripción general). 28 de septiembre . https://jazz.net/library/article/856

Farley, Jez Humble y David . 2011 . Continuous Delivery: Reliable Software Releases through Build, Test, and Deployment Automation. (Entrega continua: lanzamiento fiable de software a través de la automatización de las compilaciones, las pruebas y la implantación). Pearson Education, Inc .

Fowler, Martin . Mayo de 2006 . Continuous Integration (Integración continua) . www.martinfowler.com

Gene Kim, Patrick Debois, John Willis, Jez Humble, Damon Edwards, John Allspaw . 2015 . The DevOps Cookbook . Se publicará en 2015 . Borrador inicial del proyecto revisado por el autor .

Heusser, Matthew . 2012 . Software Testing Lessons Learned from Knight Capital Fiasco (Lecciones de pruebas de software a partir del fracaso de Knight Capital). 14 de agosto . www.cio.com/article/2393212/agile-development/software-testing-lessons-learned-from-knight-capital-fiasco.html

James Manyika, Michael Chui et . al . 2013 . Disruptive technologies: Advances that will transform life, business, and the global economy (Tecnologías problemáticas: avances que transformarán vidas, empresas y la economía global). McKinsey&Co .

Jez Humble, Joanne Molesky y Barry O’Reilly . 2014 . Lean Enterprise: How High Performance Organizations Innovate at Scale. (Empresas eficaces: cómo innovan las empresas de alto rendimiento a escala) O’Reilly Media .

Kent Beck, et . al . 2001 . Manifesto for Agile Software (Manifiesto sobre el software de Agile). http://agilemanifesto.org/

McAfee Labs . 2010 . Protecting Your Critical Assets: Lessons Learned from “Operation Aurora” (Protección de activos esenciales: lecciones de la “Operación Aurora”). McAfee .

MSDN . 2006 . Regulatory Compliance Demystified: An Introduction to Compliance for Developers (Desmitificación de la conformidad normativa: una introducción a la conformidad normativa para desarrolladores). Marzo . http://msdn.microsoft.com/en-us/library/aa480484.aspx

Nanex Research . 2012 . The Knightmare Explained (Historia de la pesadilla de Knight) . 3 de agosto . www.nanex.net/aqck2/3525.html

Puppet Labs . 2014 . “2014 State of DevOps Report .” (Informe de 2014 sobre el estado de Devops) .

Silver-Greenberg, Jessical . 2012 . Trying to Be Nimble, Knight Capital Stumbles (El capital de Knight tropieza antes de echar a correr). 2 de agosto . http://dealbook.nytimes.com/2012/08/02/trying-to-be-nimble-knight-capital-stumbles/?_r=2

Tracy, Ryan . 2014 . wsj.com . 10 de octubre . www.wsj.com/articles/j-p-morgans-dimon-to-speak-at-financial-conference-1412944976

Vodde, Craig Larman y Bas . 2009 . Scaling Lean & Agile Development (Ampliación del desarrollo de Lean y Agile). Pearson Education .

Zetter, Kim . 2010 . Report: Google Hackers Stole Source Code of Global Password System. 20 de abril . www.wired.com/2010/04/google-hackers/

www.microfocus.com