Software">
Owasp-Samm V2
Owasp-Samm V2
Owasp-Samm V2
E0 E1 E2 E3 E4 E5 E6
Modelo de Madurez de OWASP para Aseguramiento de Programas, basado en una Plataforma Abierta
Concientiza y Educa sobre cómo diseñar, desarrollar e implementar Software Seguro (Estrategia de
Seguridad de Software) a través de un modelo de autoevaluación
Apoya el Ciclo de Vida completo del software y es Independiente de la Tecnología y de los Procesos
Es de naturaleza evolutiva e impulsado por el Riesgo. No existe una única receta que funciona para todas las
organizaciones
• MENOR RIESGO: La principal ventaja es la reducción general del riesgo en una organización y el aumento de su confianza
• SOFTWARE MÁS SEGURO: Introducir la seguridad en el proceso de desarrollo supone un enfoque proactivo que resulta en un
software más seguro, ya que, al haberse considerado la seguridad desde un primer momento, permite detectar y solucionar
tempranamente las fallas.
• MENOR COSTO: La detección temprana de fallas trae aparejada una reducción de costos, ya que las modificaciones, el tiempo y la
complejidad de su solución son menores.
• MITIGACIÓN DE ERRORES: También permite identificar causas y evitar que se repitan errores comunes de seguridad, por lo que
se ve reducida la probabilidad de vulnerabilidades en el producto final.
• REDUCIR VULNERABILIDADES: Incluir conceptos de seguridad en la etapa de diseño también puede ayudar a mitigar el impacto
de la explotación de alguna vulnerabilidad no detectada en el ciclo de desarrollo.
• CONCIENTIZACIÓN: Genera conciencia de seguridad en los equipos involucrados en el ciclo de desarrollo
• MEDICIÓN DEL ESTADO ACTUAL: Hace posible obtener mediciones tangibles sobre el estado de la seguridad en el software. Esto
permite la toma de decisiones informadas en lo que refiere a seguridad, así como su conocimiento y registro
• ADOPCIÓN GRADUAL: Es un sistema flexible, que permite una adopción gradual proponiendo tres niveles de madurez
• DESVENTAJA: El dinero gastado en SEGURIDAD, en el corto plazo, es dinero que no se invierte en el NEGOCIO.
Programa de Seguridad
Situación Deseada de Aplicaciones Situación Actual SDLC
Gap Analysis
No hay una RECETA que funcione • ADAPTABLE: La solución debe permitir opciones basadas
para todas las organizaciones en riesgo, que estén adaptadas a cada organización
La GUÍA asociada con las • DETALLADA: La solución debe brindar suficientes detalles
actividades de seguridad
debe ser prescriptiva
para personas que no sean del área de seguridad
Integrar y AUTOMATIZAR
la Seguridad en los Procesos Brindar Visibilidad a la Gerencia
de Desarrollo, Adquisición y mediante MEDICIONES
Despliegue
Para cada una de las 5 FUNCIONES DE NEGOCIO, hay definidas 3 PRÁCTICAS DE SEGURIDAD
Las prácticas de seguridad cubren áreas relevantes para garantizar la seguridad del software
Las funciones del negocio están alineadas con las etapas del SSDLC
Categoría B: el foco
Categoría A: el foco
es en UTILIZAR los
es en HACER y
datos y generar
obtener datos
resultados
Es raro encontrar
organizaciones en
los niveles 2 y 3
STREAM A STREAM B
NIVEL DE MADUREZ Verificación de Controles Pruebas de Mal Uso/Abuso
1 – Encuentra vulnerabilidades
Define los controles básicos de
básicas y otros problemas de seguridad Realiza pruebas de seguridad
seguridad al azar
2 - Realiza la revisión de
implementaciones para Define los escenarios de prueba a Crea y prueba escenarios de
descubrir riesgos específicos de partir de los requerimientos de abuso así como pruebas de
la aplicación, en base a los seguridad conocidos error en la lógica de negocio
requerimientos de seguridad
3 – Mantiene el nivel de
seguridad de la aplicación Realiza pruebas de regresión
después de cambios que (mediante pruebas unitarias de Pruebas de estrés de seguridad
y de denegación de servicios
corrigen errores o durante seguridad)
mantenimientos
Justificación Puntajes
OWASP SAMM Maturity Level Security Practice Business Function
Stream A
Stream B
• Gratuito
• Permite definir alcances
• Permite asignar roles
• Incluye Reportes
• Cubre el flujo completo de SAMM