Madurez del ciclo de vida del desarrollo de software seguro: OWASP Software Assurance Maturity Model (SAMM)

Abstract

La finalidad de este trabajo es analizar y describir el modelo de madurez del aseguramiento del software SAMM de OWASP. En la actualidad, la seguridad de los sistemas de información es un aspecto clave para asegurar la prestación de servicios seguros, resilientes y confiables, así como para garantizar algunos derechos fundamentales de las personas como puede ser la privacidad y la protección de los datos personales. De forma paralela, se observa un aumento en el número de vulnerabilidades de los productos software, que crece año tras año. En este contexto, las organizaciones empiezan a ser conscientes de la necesidad de gestionar la seguridad en el desarrollo de software y precisan de poner en marcha programas de mejora de la seguridad en el desarrollo de software. El modelo de madurez SAMM constituye un instrumento de especial utilidad para implementar un programa de seguridad consistente. El presente trabajo analiza este modelo de madurez y su aplicación para gestionar la seguridad en el desarrollo de software. Como conclusión principal, SAMM facilita en gran medida la puesta en marcha de un programa de mejora de la seguridad del software de cualquier organización, siendo especialmente útil para proporcionar orientación a aquellas organizaciones con poca o nula madurez en materia de seguridad del software.

The main purpose of this paper is to analyze and describe the OWASP SAMM software assurance maturity model. Currently, the security of information systems is a key aspect to ensure the provision of secure, resilient and reliable services, as well as to guarantee some fundamental rights of individuals such as privacy and personal data protection. At the same time, the number of vulnerabilities in software products is increasing year after year. In this context, organizations are becoming aware of the need to manage security in software development and need to implement programs to improve security in software development. The SAMM maturity model is a particularly useful tool for implementing a consistent security program. This paper analyzes this maturity model and its application to manage safety in software development. As a main conclusion, SAMM greatly facilitates the implementation of a software safety improvement program in any organization, being especially useful to provide guidance to those organizations with little or no software safety maturity.

La finalitat d'aquest treball és analitzar i descriure el model de maduresa de l'assegurament de programari SAMM de OWASP. En l'actualitat, la seguretat dels sistemes d'informació és un aspecte clau per assegurar la prestació de serveis segurs, resilients i fiables, així com per garantir alguns drets fonamentals de les persones com pot ser la privacitat i la protecció de les dades personals. De forma paral·lela, s'observa un augment en el nombre de vulnerabilitats dels productes programari, que creix any rere any. En aquest context, les organitzacions comencen a ser conscients de la necessitat de gestionar la seguretat en el desenvolupament de programari i precisen de posar en marxa programes de millora de la seguretat en el desenvolupament de programari. El model de maduresa SAMM constitueix un instrument d'especial utilitat per implementar un programa de seguretat consistent. El present treball analitza aquest model de maduresa i la seva aplicació per gestionar la seguretat en el desenvolupament de programari. Com a conclusió principal, SAMM facilita en gran mesura la posada en marxa d'un programa de millora de la seguretat del programari de qualsevol organització, sent especialment útil per a proporcionar orientació a aquelles organitzacions amb poca o nul·la maduresa en matèria de seguretat del programari.