Beruflich Dokumente
Kultur Dokumente
Para obtener mayor informacin, por favor vea el sitio del proyecto en:
http://www.opensamm.org
Reconocimientos
El modelo de madurez para el aseguramiento del software (SAMM por sus siglas en ingls) fue diseado, desarrollado y escrito originalmente por Pravir Chandra (chandra@owasp.org), un consultor de seguridad independiente. La creacin del primer borrador fue posible a travs de el los fondos de Fortify Software, Inc. Este documento es mantenido y actualizado actualmente por el proyecto OpenSAMM lidereado por Pravir Chandra. Desde la publicacin inicial, este proyecto se ha convertido en parte del proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en ingls). Muchas gracias tambin a las muchas organizaciones que nos apoyaron (listadas en la contra-cubierta).
contRibuidoRes y RevisoRes
Este trabajo no podra haber sido posible sin el apoyo de muchos revisores y expertos que ofrecieron sus contribuciones y retroalimentacin crtica. Ellos son (en orden alfabtico): Fabio Arciniegas Brian Chess Matteo Meucci John Steven Matt Bartoldus Dinis Cruz Jeff Payne Chad Thunberg Sebastien Deleersnyder Justin Derry Gunnar Peterson Colin Watson Jonathan Carter Bart De Win Jeff Piper Jeff Williams Darren Challey James McGovern Andy Steingruebl
tRaductoRes
Francisco Aldrete Luis Martnez Bacha Miguel Prez-Milicua Alvaro Muoz Aldo Salas
Edicin de la Traduccin
Juan Carlos Caldern Rojas
OWASP
El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en ingls) es una comunidad libre y abierta enfocada en mejorar la seguridad de los programas aplicativos. Nuestra misin es hacer la seguridad en aplicaciones visible, de manera que las personas y organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad en aplicaciones. Todos pueden participar en OWASP y todos nuestros materiales estn disponibles bajo una licencia de software libre y abierto. La fundacin OWASP es una organizacin caritativa sin nimo de lucro 501(c)3 que asegura viabilidad continua y el apoyo a nuestro trabajo.Visite el sitio de OWASP en lnea en http://www.owasp.org.
Licencia
Este trabajo se publica bajo la licencia Creative Commons Attribution-Share Alike 3.0. Para ver una copia de la licencia, visite http://creativecommons.org/licenses/ by-sa/3.0/ o enve una carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA.
Resumen Ejecutivo
El modelo de madurez para el aseguramiento de software (SAMM por sus siglas en ingls) es un marco de trabajo abierto para ayudar a las organizaciones a formular e implementar una estrategia de seguridad para Software que sea adecuada a las necesidades especficas que est enfrentado la organizacin. Los recursos provedos por el SAMM ayudarn a: Evaluar las prcticas de seguridad en Software existentes en la organizacin Construir un programa de seguridad en Software balanceado en iteraciones bien definidas Demostrar mejoras concretas en el programa de aseguramiento de Software Definir y medir las actividades relacionadas con seguridad en la organizacin SAMM fue definido para ser flexible de manera que pueda ser utilizado por organizaciones pequeas, medianas o grandes que utilicen cualquier estilo de desarrollo. Adems, este modelo puede ser aplicado en toda la organizacin, en una sola lnea de negocio o incluso en un proyecto en particular. Adems de estos elementos, SAMM fue construido sobre los siguientes principios: Cambios de comportamiento de una organizacin a travs del tiempo. Un programa de seguridad para Software exitoso debera ser creado en pequeos ciclos que entreguen ganancias tangibles en el aseguramiento de Software, al mismo tiempo, debe trabajar incrementalmente hacia metas de largo plazo. No hay una sola receta que funcione para todas las organizaciones. Un marco de seguridad en Software debe ser flexible y permitir a las organizaciones personalizar sus opciones basndose en su tolerancia a riesgo y la manera en la cual construye y usa el Software. Los lineamientos relacionados a las actividades de seguridad deben ser especficos. Todos los pasos en la construccin y medicin del programa de aseguramiento deben ser simples, bien definidos y medibles. Este modelo tambin provee plantillas de planes de implementacin para tipos comunes de organizaciones. Las bases de este modelo estn construidas alrededor de las funciones de negocio relacionadas al desarrollo de Software, se incluyen una serie de prcticas relacionadas a cada funcin (vea el diagrama abajo). Los bloques de construccin del modelo son los tres niveles de madurez definidos para cada una de las doce prcticas de seguridad. Estas definen una amplia variedad de actividades a las que una organizacin se puede adherir para reducir los riesgos de seguridad e incrementar el aseguramiento del Software. Se incluyen detalles adicionales para medir el desempeo exitoso de las actividades, entender los beneficios del aseguramiento asociado, estimar los costos de personal y otros costos. Dado que SAMM es un proyecto abierto, el contenido se puede mantener siempre independiente de los vendedores y disponible libremente para que todo mundo lo use.
Desarrollo de Software Gobierno
Prcticas de Seguridad
Funciones de Negocio
Construccin
Verificacin
Implementacin
Estrategia y mtricas
Educacin y orientacin
Revisin de diseo
Poltica y cumplimiento
Administracin de vulnerabilidades
SAMM Descripcin
Contenidos
Resumen Ejecutivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
entendiendo eL modeLo
Funciones de Negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Construccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Verificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
apLicando eL modeLo
18
Usando los Niveles de Madurez . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Realizando Revisiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Creando Tarjetas de Calificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Construyendo Programas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Proveedor Independiente de Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Proveedor de Servicios en Lnea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Organizacin de Servicios Financieros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Organizacin de Gobierno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
32
Estrategia y mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Poltica y cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Educacin y orientacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Evaluacin de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Requisitos de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Arquitectura de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Revisin de diseo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Revisin de cdigo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
sAMM / softwAre AssurAnceMAturity Model - V1.0
casos de estudio
82
VirtualWare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
si desea ...
Revisar las prcticas existentes sobre aseguramiento de software
3 Resumen Ejecutivo 8-9 Funciones de Negocio 10-11 Gobierno 12-13 Construccin 14-15 Verificacin 16-17 Implementacin 21-25 Realizando Revisiones 26 Creando Tarjetas de Calificaciones 20 Usando los Niveles de Madurez 34-37 Estrategia y mtricas 38-41 Poltica y cumplimiento 42-45 Educacin y orientacin 46-49 Evaluacin de amenaza 50-53 Requisitos de seguridad 54-57 Arquitectura de seguridad 58-61 Revisin de diseo 62-65 Revisin de cdigo 66-69 Pruebas de seguridad 70-73 Administracin de vulnerabilidades 74-77 Fortalecimiento del ambiente 78-81 Habilitacin operativa 27-31 Construyendo Programas 84-95 VirtualWare Leer Esquema
Entendiendo el Modelo
Un vistazo a el horizonte
SAMM se construy sobre una serie de prcticas de seguridad que estn ligadas a las funciones de negocio centrales que estn involucradas en el desarrollo de Software. Esta seccin presenta estas funciones con sus correspondientes prcticas de seguridad. Despus de cubrir el marco de trabajo a alto nivel, se discuten brevemente todas las prcticas de seguridad de cada nivel de madurez para darse una idea de cmo cada una puede mejorar iterativamente a travs del tiempo.
Funciones de Negocio
Al nivel ms alto, SAMM define cuatro funciones de negocio importantes. Cada funcin de negocio (listada abajo) es una categora de actividades relacionadas a las tareas especficas del desarrollo de software, dicho de otra manera, cualquier organizacin involucrada en el desarrollo de Software debe cumplir con cada una de esas funciones en cierto grado. Para cada funcin de negocio, SAMM define tres prcticas de seguridad. Cada prctica de seguridad (listada al opuesto) es un rea de actividades de seguridad que construyen las actividades de aseguramiento para las funciones de negocio relacionadas. As que, en trminos generales hay doce prcticas de seguridad que son las reas de oportunidad a mejorar y comparar contra la funciones de desarrollo de Software del negocio. Para cada prctica de seguridad, SAMM define tres niveles de madurez como objetivos. Cada nivel en las prcticas de seguridad esta caracterizado por un objetivo sucesivamente ms sofisticado, definido por actividades especficas y mayores y mas exigente mtricas de xito que en el nivel anterior. As mismo, cada prctica de seguridad puede ser mejorada independientemente, a travs de actividades relacionadas que lleven a optimizaciones.
Gobierno
El gobierno de TI est enfocado en los procesos y actividades relacionadas a como una organizacin gestiona las actividades de desarrollo de software global. Ms especficamente, esto incluye preocupaciones que atraviesan los grupos implicados en el desarrollo, as como procesos de negocio que son establecidos a nivel de organizacin.
...contina en pgina 10
Construccin
Construccin se refiere a los procesos y actividades relacionados a como una organizacin define metas y crea software dentro de proyectos de desarrollo. En general, esto incluir la gestin de producto, reunin de requisitos de seguridad, especificacin de arquitectura de alto nivel, diseo detallado e implementacin.
...contina en pgina 12
Verificacin
La verificacin est enfocada en los procesos y actividades relacionadas a como una organizacin verifica y prueba artefactos producidos a travs del desarrollo de Software. Esto tpicamente incluye un trabajo de aseguramiento de calidad como lo son las pruebas, pero esto puede tambin incluir otras revisiones y actividades de evaluacin.
...contina en pgina 14
Implementacin
La implementacin abarca los procesos y actividades relacionadas con la forma en que una organizacin administra la liberacin de sistemas que han sido creados. Esto puede incluir el envo de productos a los usuarios finales, la instalacin de los productos en ambientes internos o externos, y las operaciones normales de los sistemas en un ambiente de ejecucin.
...contina en pgina 16
reccin estratgica global del programa de aseguramiento de software e instrumentacin de procesos y actividades para recolectar mtricas acerca de la postura de seguridad de una organizacin.
Gob
iern
establecer una estructura de control y auditoria para seguridad y cumplimiento de regulaciones a lo largo de una organizacin para alcanzar un aseguramiento superior en software bajo construccin y en operacin.
Educacin y orientacin involucra incrementar el conocimiento de seguridad entre el personal de desarrollo de software a travs de entrenamiento y orientacin en temas de seguridad pertinentes a funciones del trabajo individual.
Evaluacin de amenazas involucra identificar y caracterizar con precisin los ataques potenciales contra el software de una organizacin, con el fin de comprender mejor los riesgos y facilitar su gestin.
stru cci n
promover la inclusin de las necesidades de seguridad durante el proceso de desarrollo de software a fin de especificar la funcionalidad correcta desde el principio.
el fortalecimiento del proceso de diseo con actividades para promover diseos con seguridad en mente y los marcos de trabajo en que se basa el software.
Con
Ver ifica c
in
cin de artefactos creados a partir del proceso de diseo para asegurar la provisin de mecanismos de seguridad adecuados y apegados a las expectativas de seguridad de la organizacin
uacin del cdigo fuente de una organizacin para ayudar en el descubrimiento de vulnerabilidades y actividades relacionadas a la mitigacin como es el establecimiento de bases para las expectativas de la seguridad en programacin.
Pruebas de seguridad involucra probar el software de la organizacin en su ambiente de ejecucin para descubrir vulnerabilidades y establecer un estndar mnimo para la liberacin del software.
Imp
lem
ent
aci n
consistentes para administrar reportes internos o externos de vulnerabilidades para limitar la exposicin, recopilar datos y as mejorar el programa de aseguramiento.
plica la implementacin de controles para el ambiente operativo que rodea a los programas de una organizacin para reforzar la postura de seguridad de las aplicaciones que han sido implementadas.
tificar y capturar informacin relevante a la seguridad que necesita un operador para configurar, instalar y correr los programas de una organizacin.
Niveles de Madurez
Cada una de las prcticas de seguridad tiene tres niveles de madurez bien definidos y un nivel inicial (cero) implcito. Los detalles de cada nivel difieren entre las prcticas pero generalmente representan:
Notacin
sAMM / entendiendo el Modelo - V1.0 9
0 1 2 3
0 1 2 3
Punto de inicio implcito, las actividades en la practica no se han realizado Entendimiento inicial y provisin ad hoc de la prctica de seguridad Incremento en la eficiencia y/o efectividad de la prctica de seguridad Dominio amplio de la prctica de seguridad
A travs de este documento, los siguientes trminos en maysculas se utilizarn como palabras reservadas que se refieren a los componentes del SAMM definidos en esta sesin. Si los trminos aparecen sin maysculas, deben ser interpretados de acuerdo a el contexto en el que se encuentren: Funcin de Negocio tambin nombrado Funcin Prctica de Seguridad tambin nombrada Prctica Nivel de Madurez tambin nombrado como Nivel u Objetivo
Gobierno
Descripcin de prcticas de seguridad
Estrategia y mtricas
La prctica de estrategia y mtricas (SM por sus siglas en Ingls) est enfocada en establecer la estructura dentro de una organizacin para un programa de aseguramiento de software. Este es el paso ms fundamental en la definicin de objetivos de seguridad de una forma que sea medible y alineada con los riesgos de negocio reales de la organizacin. Al iniciar con perfiles de riesgo sencillos, una organizacin aumenta con el tiempo sus esquemas de clasificacin de riesgos para aplicacin y activos de datos. Con una perspectiva adicional sobre las medidas de riesgo relativo, una organizacin puede ajustar sus objetivos de seguridad a nivel de proyecto y elaborar planes de implementacin granulares para que el programa de seguridad sea ms eficiente. En los niveles ms avanzados en esta prctica, una organizacin se basa en muchas fuentes de datos, tanto internos como externos, para recolectar mtricas y retroalimentacin cualitativa acerca del programa de seguridad. Esto permite un ajuste fino de la relacin costo-beneficio a nivel del programa.
Poltica y cumplimiento
La prctica de Poltica y Cumplimiento (PC por sus siglas en Ingls) est enfocada en comprender y cumplir con requisitos externos legales y regulatorios, adems de implementar estndares de seguridad internos para asegurar el cumplimiento regulatorio de una manera que est alineada con los objetivos de negocio de la organizacin. Un tema importante a mejorar dentro de esta prctica es enfocarse en auditorias a nivel proyecto que renan informacin acerca del comportamiento de la organizacin para comprobar que las expectativas se estn cumpliendo. Al introducir auditorias de rutina que comiencen sencillamente y crezcan en profundidad con el tiempo, el cambio organizacional es alcanzado de forma iterativa. De una forma sofisticada, la prestacin de esta prctica implica entendimiento organizacional de estndares internos y cumplimientos externos y al mismo tiempo mantiene las aprobaciones de baja latencia con equipos de proyecto para asegurar que ningn proyecto est operando fuera de las expectativas y sin visibilidad.
Educacin y orientacin
La prctica de educacin y orientacin (EG por sus siglas en Ingls) est enfocada en el personal involucrado en el ciclo de vida de software con conocimiento y recursos para disear, desarrollar e implementar software seguro. Con acceso mejorado a la informacin, los equipos de proyecto estarn en mejores condiciones de para identificar proactivamente y mitigar los riesgos de seguridad especficos que apliquen para su organizacin. Un tema importante para la mejora a travs de los objetivos es proporcionar entrenamiento para los empleados, ya sea con sesiones basadas en instructores o mdulos basados en computadora. Conforme una organizacin progresa, una gran cantidad de entrenamiento es construido al empezar con los desarrolladores y moverse a otros roles en la organizacin, culminando con la adicin de certificacin basada en roles para asegurar la comprensin del material. Adems del entrenamiento, esta prctica tambin requiere convertir informacin relevante a seguridad en lineamientos que sirvan como informacin de referencia para el personal. Esto construye un cimiento para establecer una expectativa base para las prcticas de seguridad en la organizacin, y despus permite la mejora incremental una vez que el uso de los lineamientos ha sido adoptado.
Gobierno
Resumen de actividades
...contina en pgina 34
SM
SM
Establecer un plan estratgico unificado para la seguridad del software dentro de la organizacin
A. Estimar el perfil global de riesgo del negocio B. Crear y mantener un plan de implementacin para el programa de aseguramiento
Alinear los gastos de seguridad con indicadores de negocio pertinentes y el valor de los activos
A. Realizar comparaciones de costo peridicas a nivel industria B. Recolectar mtricas histricas de gastos de seguridad
actividades
A. Clasificar datos y aplicaciones basado en riesgo de negocio B. Establecer y medir los objetivos de seguridad por cada clasificacin
...contina en pgina 38
PC
PC
Entender los motivos relevantes para el gobierno de TI y cumplimiento de regulaciones para la organizacin
A. Identificar y monitorear los indicadores externos de cumplimiento B. Crear y mantener lineamientos de cumplimiento
Exigir cumplimiento de regulaciones y medir a los proyectos conforme a las polticas y estndares de la organizacin
A. Crear puntos de control de cumplimiento para proyectos B. Adoptar una solucin para la recoleccin de datos de auditora
actividades
A. Crear polticas y estndares para seguridad y cumplimiento B. Establecer la prctica de auditoria de proyecto
...contina en pgina 42
Ofrecer acceso al personal de desarrollo a recursos alrededor de los temas de programacin segura e implementacin
Educar a todo el personal en el ciclo de vida de software con lineamientos especficos en desarrollo seguro para cada rol
Hacer obligatorio el entrenamiento de seguridad integral y certificar al personal contra la base de conocimiento .
A. Crear un portal formal de soporte de seguridad en aplicaciones B. Establecer exmenes o certificaciones por rol
actividades
A. Realizar entrenamiento de seguridad en aplicaciones especfico para cada rol B. Utilizar mentores de seguridad para mejorar los equipos
EG
EG
Construccin
Descripcin de prcticas de seguridad
Evaluacin de amenaza
La Prctica de Evaluacin de Amenazas (TA por sus siglas en ingls) se centra en la identificacin y comprensin de los riesgos a nivel de proyecto, basndose en la funcionalidad del software a desarrollar y las caractersticas del entorno de ejecucin. Desde los detalles de cada amenaza y los probables ataques contra cada proyecto, la organizacin en su conjunto opera ms eficazmente por medio de mejores decisiones en la priorizacin de las iniciativas para la seguridad. Adems, las decisiones de aceptacin de riesgo son ms informadas, y por lo tanto, mejor alineadas con el negocio. Al comenzar con modelados simples de amenaza y moverse a la creacin de mtodos ms detallados de anlisis de las amenazas y ponderacin, la organizacin mejora con el tiempo. En ltima instancia, una organizacin sofisticada mantendra esta informacin estrechamente unida a los factores de compensacin y de paso a los riesgos de las entidades externas. Esto proporciona una mayor amplitud de comprensin para los potenciales impactos debido a problemas de seguridad, mientras mantiene una estrecha vigilancia sobre el desempeo actual de la organizacin contra las amenazas conocidas.
Requisitos de seguridad
La Prctica de Requisitos de Seguridad (SR por sus siglas en ingls) se centra en especificar proactivamente el comportamiento esperado del software con respecto a la seguridad. A travs de la adicin de las actividades de anlisis a nivel de proyecto, los requisitos de seguridad se renen inicialmente basndose en el objetivo comercial del software. Conforme avanza una organizacin, se utilizan tcnicas ms avanzadas como las especificaciones de control de acceso para descubrir nuevos requisitos de seguridad que pueden no haber sido evidentes inicialmente para el desarrollo. En una forma sofisticada, la prestacin de esta Prctica implica meter los requisitos de seguridad de la organizacin dentro de sus relaciones con los proveedores y luego auditar los proyectos para asegurar que todos se adhieren a las expectativas, respecto a la especificacin de los requisitos de seguridad
Arquitectura de seguridad
La Prctica de Arquitectura de Seguridad (SA por sus siglas en ingls) se centra en medidas proactivas para una organizacin para disear y construir software seguro por defecto. Al mejorar el proceso de diseo de software con servicios y componentes reutilizables, el riesgo de seguridad global de desarrollo de software puede ser dramticamente reducido. A partir de simples recomendaciones sobre los marcos de software y la consideracin explcita de los principios de diseo seguro, una organizacin que evoluciona hacia el uso consistente de patrones de diseo para la funcionalidad de seguridad. Adems, las actividades animan a los equipos de proyecto a una mayor utilizacin de los servicios de seguridad centralizados y de infraestructura. Como una organizacin que evoluciona con el tiempo, el suministro sofisticado de esta Prctica implica organizaciones construyendo plataformas de referencia para cubrir los tipos genricos de software que construyen. Estos sirven como marcos en los que los desarrolladores pueden crear software a medida con menor riesgo de vulnerabilidad.
Construccin
Resumen de actividades
...contina en pgina 46
TA
TA
Identificar y comprender las amenazas de alto nivel para la organizacin y los proyectos individuales
Comparar concretamente controles de compensacin a cada amenaza contra el software interno y de terceros
A. Evaluar explcitamente el riesgo de los componentes de terceros B. Elaboracin de modelos de amenaza con controles de compensacin
actividades
A. Desarrollar y mantener modelos de amenaza especficos a cada aplicacin B. Elabore perfil de atacante desde la arquitectura de software
A. Desarrollar y mantener modelos de casos de abuso por proyecto B. Adoptar un sistema de ponderacin para la medicin de las amenazas
...contina en pgina 50
SR
SR
Aumentar la granularidad de los requisitos de seguridad derivados de la lgica de negocio y riesgos conocidos
Exigir que se siga el proceso de requisitos de seguridad para todos los proyectos de software y dependencias de terceros
A. Incorporar los requisitos de seguridad a acuerdos con proveedores B. Ampliar el programa de auditora para los requisitos de seguridad
actividades
A. Deducir los requisitos de seguridad a partir de la funcionalidad de negocios B. Evaluar la seguridad y los lineamientos de cumplimiento para regulaciones de los requisitos
A. Generar una matriz de control de acceso a los recursos y capacidades B. Especificar los requisitos de seguridad en base a los riesgos conocidos
...contina en pgina 54
Dirija el proceso de diseo de software hacia servicios seguros conocidos y diseos seguros desde la concepcin
actividades
A. Mantener una lista de los marcos de trabajo de software recomendados B. Aplicar explcitamente los principios de seguridad para el diseo
A. Identificar y promover los servicios de seguridad e infraestructura B. Identificar los patrones de diseo de seguridad desde la arquitectura
SA
SA
Verificacin
Descripcin de prcticas de seguridad
Revisin de diseo
La Prctica de Revisin de Diseo (DR por sus siglas en ingles) est enfocada en evaluar el diseo de software y arquitectura en busca de problemas relacionados a la seguridad. Esto permite a una organizacin el detectar problemas de arquitectura a principios del desarrollo de software, de esta manera, evitar grandes costos potenciales de re-trabajar despus por cuestiones de seguridad. Comenzando con las actividades ligeras para construir un entendimiento de los detalles relevantes de la seguridad de una arquitectura, una organizacin evoluciona hacia una inspeccin ms formal de los mtodos que verifiquen la integridad en la provisin de mecanismos de seguridad. A nivel organizacin, los servicios de revisin de diseo son construidos y ofrecidos a los interesados. En una forma sofisticada, proveer esta prctica involucra una inspeccin de diseos detallada, a nivel de datos y la aplicacin de las bases esperadas para conducir una evaluacin de diseo y revisin de fallos antes de que el cdigo sean aceptado.
Revisin de cdigo
La Prctica de revisin de cdigo (CR por sus siglas en ingles) est enfocada en inspeccionar software al nivel de cdigo fuente para encontrar vulnerabilidades de seguridad. Las vulnerabilidades a nivel de cdigo son generalmente sencillas de entender. Pero incluso desarrolladores informados pueden fcilmente cometer errores que dejan el software abierto a un compromiso potencial. Para empezar, una organizacin usa listas de verificacin sencillas y, por eficiencia, solo inspecciona los mdulos ms crticos del software. Sin embargo, conforme una organizacin evoluciona, utiliza la tecnologa de automatizacin para mejorar dramticamente la cobertura y la eficacia de las actividades de revisin de cdigo. Una sofisticada disposicin de esta Prctica involucra una integracin ms profunda de la revisin de cdigo en el proceso de desarrollo para permitir equipos de proyecto encontrar problemas antes. Esto tambin permite a las organizaciones una mejor auditoria y conjunto de expectativas para los resultados de la revisin de cdigo antes de que pueda hacerse la liberacin del cdigo.
Pruebas de seguridad
La Prctica de Prueba de Seguridad (ST por sus siglas en ingles) est enfocada en la inspeccin de software en el ambiente de ejecucin con el fin de encontrar problemas de seguridad. Estas actividades de pruebas refuerzan los casos de seguro para software verificndolo en el mismo contexto en el cual se espera ser ejecutado, as hace visible las malas configuraciones operacionales o errores en la lgica de negocio que son difciles de encontrar de otra manera. Empezando con una prueba de intrusin y casos de prueba a alto nivel basados en la funcionalidad del software, una organizacin evoluciona hacia el uso de pruebas de seguridad automatizadas para cubrir la amplia variedad de casos de prueba que podran demostrar una vulnerabilidad en el sistema. En una forma avanzada, el ofrecer esta Prctica implica la personalizacin de las pruebas automatizadas para construir una serie de pruebas de seguridad que cubran a detalle las preocupaciones especficas sobre la aplicacin. Con una visibilidad adicional a nivel organizacin, las pruebas de seguridad permiten a las organizaciones establecer las expectativas mnimas para los resultados de las pruebas de seguridad antes que la liberacin de un proyecto sea aceptada.
Verificacin
Resumen de actividades
...contina en pgina 58
DR
DR
Apoyar en las revisiones de diseo de software para asegurarse que existan los lineamientos de mitigacin para riesgos conocidos
A. Identificar superficies de ataques de software B. Analizar el diseo contra requisitos de seguridad conocidos
Ofrecer evaluaciones de servicios para revisar el diseo del software contra buenas prcticas integrales de seguridad
A. Inspeccionar por completo la provisin de los mecanismos de seguridad B. Implementar el servicio de revisin de diseo para los equipos de proyecto
Exija evaluar y valide los artefactos para desarrollar un entendimiento detallado de mecanismos de proteccin
A. Desarrollar diagrama de flujo de datos para recursos sensible B. Establecer puntos de liberacin para la revisin de diseo
actividades
...contina en pgina 62
CR
CR
Encontrar oportunamente vulnerabilidades bsicas a nivel de cdigo y otros problemas de seguridad de alto riesgo
Exigir un proceso de revisin de cdigo integral para descubrir riesgos especficos de la aplicacin y a nivel del lenguaje
A. Personalizar el anlisis de cdigo para las preocupaciones especficas de la aplicacin B. Establecer puntos de control para la liberacin de las revisiones de cdigo
actividades
A. Crear listas de verificacin para la revisin de los requisitos de seguridad conocidos B. Realizar revisiones en cdigo de puntos de alto riesgo
A. Utilizar herramientas automatizadas de anlisis de cdigo B. Integrar anlisis de cdigo en el proceso de desarrollo
...contina en pgina 66
Establecer el proceso para realizar pruebas de seguridad basndose en la implementacin y los requisitos del software
Exigir pruebas de seguridad especficas a la aplicacin para asegurarse que los lineamientos de seguridad estn implementados antes de la publicacin
A. Emplear automatizacin de pruebas de seguridad especficas de la aplicacin B. Establecer puntos de control para la liberacin de las revisiones de cdigo
actividades
A. Deducir casos de prueba desde los requisitos de seguridad conocidos B. Conducir pruebas de intrusin en cada publicacin del software
A. Utilizar herramientas automatizadas para pruebas de seguridad B. Integrar pruebas de seguridad en el proceso de desarrollo
ST
ST
Implementacin
Descripcin de prcticas de seguridad
Administracin de vulnerabilidades
La prctica de administracin de vulnerabilidades (AV por sus siglas en Ingls) est enfocada en los procesos de una organizacin con respecto al manejo de reportes de vulnerabilidades e incidentes operativos. Al tener estos procesos establecidos, los proyectos de una organizacin tendrn expectativas consistentes y una mayor eficiencia para manejar estos eventos, en lugar de respuestas caticas y sin uniformidad. Empezando con la asignacin de roles en caso de un incidente, una organizacin genera un proceso de respuesta a incidentes ms formal, que asegura la visibilidad y el seguimiento de los problemas que ocurran. Las comunicaciones tambin se mejoran para mejorar el entendimiento global de los procesos. De forma avanzada, la administracin de vulnerabilidades implica una diseccin completa de los incidentes y los reportes de vulnerabilidades para obtener mtricas detalladas e informacin sobre las causas raz para proveer retroalimentacin al comportamiento de la organizacin.
Habilitacin operativa
La prctica de habilitacin de operativa (HO por sus siglas en Ingls) se enfoca en la recoleccin de informacin crtica de seguridad de los equipos de proyectos que construyen programas y en comunicar esta informacin a los usuarios y operadores del programa. Sin esta informacin, an el programa diseado ms seguramente corre riesgos no planeados, ya que algunas caractersticas importantes y opciones de seguridad no sern conocidas en el sitio de publicacin. Empezando con documentacin preliminar para capturar los detalles ms impactantes para los usuarios y operadores, una organizacin evoluciona hacia la construccin de guas completas de seguridad de operaciones que se entregan con cada distribucin. De forma avanzada, la habilitacin de las operaciones tambin comprende pruebas a nivel organizacin para cada uno de los equipos de proyecto, esto, para asegurar que la informacin sea capturada y compartida de acuerdo a las expectativas.
Implementacin
Resumen de actividades
...contina en pgina 70
VM
VM
Entender el plan de alto nivel para responder a los reportes o incidentes de vulnerabilidades
Elaborar expectativas para prcticas de respuesta para mejorar la consistencia y las comunicaciones
Mejorar en anlisis y la coleccin de datos en el proceso de respuesta para retroalimentacin en la planeacin proactiva
A. Conducir anlisis de causa raz para incidentes B. Recolectar mtricas por incidente
actividades
A. Identificar un punto de contacto para problemas de seguridad B. Crear equipo(s) informal(es) de respuesta de seguridad
A. Establecer un proceso consistente de respuesta a incidentes B. Adoptar un proceso de divulgacin de problemas de seguridad
...contina en pgina 74
EH
EH
Validar la salud de las aplicaciones y el estado de los ambientes operativos contra las mejores prcticas conocidas .
A. Identificar e implementar herramientas de proteccin relevantes para las operaciones B. Expandir el programa de auditora hacia la configuracin de ambientes
actividades
A. Mantener una especificacin de ambiente operativo B. Identificar e instalar actualizaciones y parches crticos de seguridad
A. Establecer un proceso rutinario de administracin de parches B. Monitoreo del estado de configuracin bsico del ambiente
...contina en pgina 78
Habilitar las comunicaciones entre los equipos de desarrollo y los operadores para datos crticos relevantes a seguridad
A. Capturar la informacin de seguridad crtica para el ambiente de publicacin B. Documentar procedimientos para alertas de aplicacin tpicas
Exigir la comunicacin de informacin sobre seguridad y validar que los artefactos estn completos
A. Expandir el programa de auditora para informacin operativa B. Realizar firma de cdigo para componentes de aplicaciones
actividades
OE
OE
Aplicando el Modelo
Haciendo que todo trabaje en conjunto
Esta seccin cubre varias aplicaciones tiles e importantes de SAMM. Dado el diseo central del modelo en s, una organizacin puede usar SAMM como un marco de referencia para medir su programa de aseguramiento de Software y crear una tarjeta de calificaciones. Usando tarjetas de calificaciones, una organizacin puede demostrar mejoras a travs de las iteraciones de desarrollo en el programa de aseguramiento. Y lo ms importante, la organizacin puede usar las plantillas de planes de implementacin de SAMM como gua para construir o mejorar su iniciativa de aseguramiento de Software.
objetivo
El objetivo es generar una postura general que capture la meta de aseguramiento al alcanzar el nivel de madurez asociado. Conforme el nivel se incrementa para una prctica en particular, los objetivos representan metas mas sofisticadas. Esto, en cuanto a construir el aseguramiento para el desarrollo y publicacin de software.
peRsonaL
Este tipo de propiedades para cada nivel indican los costos de operacin en trminos de recursos humanos para operar en un nivel dado. Desarrolladores - Individuos que desempean diseo e implementacin detallada de software Arquitectos - Individuos que desempean trabajo de diseo de alto nivel e ingeniera de sistemas de alta escala. Administradores - Individuos haciendo la administracin diaria del equipo de desarrollo. Testadores de Calidad - Los individuos realizando pruebas de aseguramiento de calidad y verificacin previas a la publicacin del software Auditores de Seguridad - Individuos con conocimiento tcnico sobre seguridad del software que est siendo construido Dueos de Negocio - Individuos que realizan la toma de decisiones sobre el software y los requisitos del negocio Soporte a Operaciones - Individuos realizando soporte a clientes o soporte directo a las operaciones
actividades
Las actividades son requisitos indispensables para obtener cada nivel. Algunas fueron creadas para realizarse en toda la organizacin y algunas corresponden a acciones para cada uno de los equipos de proyecto. En cualquier caso, las actividades representan las funciones de seguridad principales, las organizaciones son libres para determinar como cumplirn con cada actividad.
ResuLtados
Los resultados demuestran las capacidades y capacidad de ejecucin al obtener un nivel dado. En algunos casos, estos resultados son especificados concretamente y en otros se hace una descripcin ms cualitativa sobre las capacidades a incrementar.
mtRicas de xito
Las mtricas de xito especifican ejemplos de mediciones que pueden ser usadas para verificar si una organizacin se desempea en un nivel dado. La administracin y recoleccin de datos se deja a eleccin de cada organizacin, pero se provee de las fuentes y niveles de datos recomendados.
niveLes ReLacionados
Los niveles relacionados son referencias a los niveles en otras prcticas que tienen el potencial de traslaparse dependiendo de la estructura organizacional y el avance en el programa de aseguramiento de software. Funcionalmente, estas indican sinergias y optimizaciones en la implementacin de actividades si el nivel relativo es tambin un objetivo o ya est realizado.
costos
Los costos con descripciones cualitativas sobre los costos en que incurre una organizacin al obtener un nivel dado. Aunque los valores especficos variarn para cada organizacin, el objetivo es dar una idea de los costos iniciales y continuos asociados con operar en un nivel en particular.
20
Realizando Revisiones
Al medir una organizacin contra las prcticas de seguridad definidas, obtenemos un panorama general de las actividades de seguridad existentes. Este tipo de revisiones es til para entender la amplitud de las actividades de seguridad que se han creado en la organizacin. Ms aun, permite que la organizacin utilice SAMM para crear un plan de implementacin futuro para la mejora continua. Realizar una revisin es simplemente evaluar a una organizacin para determinar el nivel de madurez en el cual se est desempeando. La profundidad hasta la cual se debe de revisar el desempeo de una organizacin variar dependiendo de los objetivos de la revisin, pero en general, hay dos estilos recomendados: Ligero - Las hojas de trabajo de cada prctica son evaluadas y las calificaciones son asignadas en base a las respuestas. Este tipo de revisin usualmente es suficiente para una organizacin que intenta comparar su programa de aseguramiento actual contra el SAMM y desea tener rpidamente una idea de donde estn posicionados. Detallado - Despus de completar la revisin de las hojas de trabajo, se realiza trabajo de auditora adicional para verificar que las actividades prescritas por cada prctica existan y funcionen. Adicionalmente, dado que cada prctica tambin especfica mtricas de xito, est informacin debe ser recolectada para asegurarse que la organizacin se est desempeando como se espera.
Hojas de trabajo para evaluacin completas Asignar una calificacin por prctica Tipo de revisin? detallado Auditar las actividades realizadas Verificar mtricas de xito Ajustar el calificacin por cada prctica ligero
Inicio
Fin
Calificar una organizacin usando las hojas de trabajo para revisin es sencillo. Despus de responder las preguntas, evale la columna de respuestas para determinar el nivel. El cual se indicara con respuestas afirmativas para todas las preguntas sobre los marcadores a la derecha de la columna de respuestas. Los programas de aseguramiento ya existentes no siempre consisten de actividades que ajustan exactamente en los lmites de los niveles de madurez, por ejemplo, una organizacin que verifica si est en nivel 1 para una prctica en particular puede tambin tener actividades adicionales pero que no cumplen completamente con el nivel 2. Para esos casos, el calificacin debe ser anotada con un smbolo de + para indicar que hay medidas implementadas mas all de lo requerido por el nivel. Por ejemplo, una organizacin que esta realizando todas las actividades del nivel 1 para Habilitacin Operativa , as como una actividad de nivel 2 o 3 sera asignado un calificacin 1+. As mismo, una organizacin realizando todas las actividades para una prctica de seguridad, incluyendo algunas mas all del alcance de SAMM se le dara un calificacin de 3+.
0+
1+
2+
3+
Calificaciones de revisin
Gobierno
Hoja de trabajo para evaluacin
Estrategia y mtricas
Existe un programa de aseguramiento de la seguridad de software? Entienden la mayora de los interesados en el negocio el perfil de riesgos de la organizacin? Est conciente la mayora del personal de desarrollo de los planes futuros para el programa de aseguramiento? Estn la mayora de las aplicaciones y recursos organizadas por riesgo? Son las calificaciones de riesgo utilizadas para adaptar las actividades de aseguramiento requeridas? La mayora de la organizacin sabe lo se les requiere basado en calificacin de riesgos? Se recolectan datos por proyecto del costo de las actividades de aseguramiento? La organizacin compara regularmente los gastos de seguridad contra los de otras organizaciones?
si/no
SM
1 2 3 1 2 3
SM
SM si/no
Poltica y cumplimiento
La mayora de los involucrados en el proyecto conocen el estado de cumplimiento del mismo? Son los requisitos de cumplimiento especficamente considerados por equipos de proyecto? La organizacin utiliza un conjunto de polticas y estndares para controlar el desarrollo de software? Los equipos de proyecto Son capaces de solicitar una auditora de cumplimiento con polticas y estndares? Los proyectos Son auditados peridicamente para asegurar una base de cumplimiento con polticas y estndares? La organizacin usa auditoras sistemticas para recolectar y controlar evidencia de cumplimiento?
PC
PC
PC
Educacin y orientacin
La mayora de los desarrolladores han recibido entrenamiento de alto nivel sobre concientizacin de seguridad? sAMM / AplicAndo el Modelo - V1.0 Cada equipo tiene acceso a mejores prcticas y orientacin para desarrollo seguro? Se les ha dado entrenamiento especfico y orientacin a la mayora de los roles en el proceso de desarrollo? La mayora de los involucrados en el proyecto, Son capaces de obtener mentores de seguridad para usar en sus proyectos? Los lineamientos relacionados con seguridad son controlados centralizadamente y distribuidos consistentemente a lo largo de la organizacin? La mayora de la gente es evaluada para asegurar un conjunto de habilidades bsicas para prcticas de desarrollo seguro?
si/no
EG
1 2 3
EG
EG
22
Construccin
Hoja de trabajo para evaluacin
Evaluacin de amenaza
La mayora de los proyectos de su organizacin, considera y documenta probables amenazas? Su organizacin comprende y documenta los tipos de atacantes a los que se enfrenta? La mayora de los proyectos de su organizacin, considera y documenta probables amenazas? Su organizacin comprende y documenta los tipos de atacantes a los que se enfrenta? Los equipos de proyectos analizan regularmente los requisitos funcionales para descubrir probables abusos? Los equipos de proyecto, Consideran especficamente los riesgos derivados de el software externo? Todos los mecanismos de proteccin y control son registrados y comparados con las amenazas?
si/no
TA
1 2 3 1 2 3
TA
TA si/no
Requisitos de seguridad
La mayora de los equipos de proyecto, especifican algunos requisitos de seguridad durante el desarrollo? Obtienen los equipos de proyecto los requisitos de las mejores prcticas y guas de cumplimiento? La mayora de los interesados Revisan las matrices de control de acceso para los proyectos importantes? Estn los equipos de proyecto especificando los requisitos basndose en la retroalimentacin de otras actividades de seguridad? Estn la mayora de los interesados revisando los acuerdos con proveedores para los requisitos de seguridad? Los requisitos de seguridad son especificados por los equipos de proyecto que estn siendo auditados?
SR
SR
SR
Arquitectura de seguridad
Cuentan los equipos de proyectos con una lista de los componentes de terceros recomendados?
si/no
Hace publicidad de los servicios compartidos de seguridad como gua para equipos de proyectos? Estn los equipos de proyectos previstos con los patrones de diseo prescriptivo basado en su arquitectura de aplicacin? Estn los equipos de proyecto construyendo software a partir de plataformas y marcos de trabajo controlados? Estn los equipos de proyecto siendo auditados para el uso de componentes seguros de arquitectura?
SA
1 2 3
SA
SA
Estn la mayora de los equipos de proyecto conscientes de los principios de diseo seguro y su aplicacin?
Verificacin
Hoja de trabajo para evaluacin
Revisin de diseo
Documentan los equipos de proyecto el permetro de ataque de los diseos de software? Comprueban los equipos de proyecto los diseos de software contra los riesgos de seguridad conocidos? La mayora de los equipos de proyecto analizan el diseo especficamente para los mecanismos de seguridad? La mayora de los interesados estn consientes de cmo obtener una revisin de diseo formal? El proceso de revisin de diseo incorpora un anlisis detallado a nivel de datos? Las auditorias de proyecto rutinarias necesitan los lineamientos para los resultados de la revisin de diseo?
si/no
DR
1 2 3
DR
DR
Revisin de cdigo
La mayora de los equipos de proyecto tienen listas de verificacin basadas en los problemas ms comunes? Los equipos de proyecto Generalmente realizan revisiones de algunos de los mayores riesgos en el cdigo? Pueden la mayora de los equipos de proyecto acceder a herramientas automatizadas de anlisis de cdigo para encontrar problemas de seguridad? La mayora de los interesados requieren y revisan constantemente los resultados de las revisiones de cdigo? La mayora de los equipos de proyecto utilizan automatizacin para comprobar cdigo contra los estndares de programacin especficos de la aplicacin? Las auditorias de rutina del proyecto necesitan lineamientos para los resultados de la revisin de cdigo antes de la liberacin?
si/no
CR
1 2 3
CR
CR si/no
Pruebas de seguridad
Estn los proyectos especificando pruebas de seguridad basndose en los requisitos? sAMM / AplicAndo el Modelo - V1.0 La mayora de los proyectos realizan pruebas de intrusin antes de la liberacin? Estn los interesados consientes del estado de las pruebas de seguridad antes de la liberacin? Estn los proyectos usando automatizacin para evaluar los casos de prueba de seguridad? La mayora de los proyectos siguen un proceso consistente para evaluar y reportar las pruebas de seguridad a los involucrados? Los casos de seguridad son generados principalmente para la lgica especifica de la aplicacin? Las auditorias rutinarias requieren un estndar mnimo de resultados de las pruebas de seguridad?
ST
1 2 3
ST
24
ST
Implementacin
Hoja de trabajo para evaluacin
Administracin de vulnerabilidades
Tienen la mayora de los proyectos un punto de contacto para problemas de seguridad? Tienen su organizacin un equipo asignado para respuestas a incidentes de seguridad? Conocen la mayora de los equipos de proyecto su(s) punto(s) de contacto de seguridad y equipo(s) de respuesta? Usa la organizacin un proceso consistente para reporte y manejo de incidentes? Conocen la mayora de los interesados en el proyecto las publicaciones de seguridad relevantes y relacionadas con sus proyectos de sistemas? Son inspeccionados la mayora de los incidentes para encontrar la causa raz y generar ms recomendaciones? La mayora de los proyectos obtienen y reportan consistentemente datos y mtricas relacionadas con incidentes?
si/no
VM
1 2 3 1 2 3
VM
VM si/no
EH
EH
EH
Habilitacin operativa
Entrega notas de seguridad con la mayora de las distribuciones de sistemas?
si/no
Estn usando la mayora de los proyectos un proceso de administracin de cambio que es bien entendido? Entregan los equipos de proyecto una gua de seguridad de operaciones con cada liberacin del producto? Estn la mayora de los proyectos siendo auditados para verificar que cada entrega tenga la informacin de seguridad operativa apropiada? Se realiza rutinariamente la firma de cdigo en los componentes de sistemas usando un proceso consistente?
OE
1 2 3
OE
OE
Estn documentadas las alertas de seguridad y las condiciones de error para la mayora de los proyectos?
Basado en las calificaciones asignados a cada prctica de seguridad, una organizacin puede crear una tarjeta de calificaciones para captura esos valores. Funcionalmente, una tarjeta de calificaciones puede ser un conjunto simple de 12 calificaciones en un momento en particular. Sin embargo, seleccionar un intervalo de tiempo en el cual generar la tarjeta de calificaciones facilita el entendimiento de los cambios en el programa de aseguramiento durante un periodo de tiempo. Se recomienda usar una tarjeta de calificaciones comparativa por varias razones: Anlisis diferencial - Registrar las calificaciones de la revisin detallada contra los niveles de desempeo esperados Demostrar mejoras - Registrar las calificaciones de antes y despus de una iteracin del programa de aseguramiento Mediciones continuas - Registrar las calificaciones sobre periodos de tiempo consistentes para un programa de aseguramiento que ya existe. La figura a la derecha muestra un ejemplo de una tarjeta de calificaciones y muestra como un programa de aseguramiento de una organizacin cambi en el curso de un ao. Si esa organizacin guard la informacin sobre como planearon estar al final de ao, ese hubiera sido otro conjunto de datos interesantes para graficar dado que ayudara a mostrar que tanto tuvieron que cambiar los planes durante el ao.
Estrategia y mtricas
2 3 1 2 1+ 2 1
Poltica y cumplimiento
Educacin y orientacin
PL O EM
Evaluacin de amenaza
2 0+ 1+ 0 1 1 2 2 3 1 2 0+ 1 1 1 2 3
Requisitos de seguridad
Arquitectura de seguridad
Revisin de diseo
Revisin de cdigo
Pruebas de seguridad
Administracin de vulnerabilidades
Habilitacin operativa
26
EJ
Construyendo Programas
Fase 1 Fase 2 Fase 3 Fase 4
Revisin de diseo
Inicio
Revisin de cdigo
no
si
Pruebas de seguridad
Administracin de vulnerabilidades
Agregar otra fase? si Seleccionar las prcticas a mejorar Registrar las mejoras seleccionadas en el plan no Fin Ajustar el plan a la organizacin
Habilitacin operativa
EJ
EM
Uno de los usos principales del SAMM es ayudar a las organizaciones a construir programas de aseguramiento de Software. Ese proceso es sencillo y generalmente comienza con una revisin, si es que la organizacin ya est haciendo algunas actividades de aseguramiento. Se proveen varias plantillas de planes de implementacin para organizaciones bien conocidas. Por lo tanto, la mayora de las organizaciones pueden escoger el plan de implementacin ms apropiado y adaptarlo a sus necesidades. Para otro tipo de organizaciones, puede ser necesario que se cree un plan personalizado. Los planes de implementacin (mostrados a la derecha) consisten en fases (las barras verticales) en las cuales varias prcticas van mejorando un nivel a la vez. Por lo tanto, construir un plan de implementacin implica seleccionar cuales prcticas van a mejorar en cada fase planeada. Las organizaciones son libres de planear a futuro como lo deseen, pero los exhortamos a iterar basndose en las necesidades del negocio y la informacin especfica del negocio para asegurar que los objetivos correspondan a las metas y tolerancia a riesgo del negocio. Despus de que el plan de implementacin est establecido, la construccin de un programa de aseguramiento es simple. Una organizacin comienza una fase de mejora y trabaja para llegar a los niveles establecidos realizando las actividades predefinidas. Al final de la fase, el plan debe ser ajustado basndose en lo que realmente fue realizado y entonces la siguiente fase puede comenzar.
Estrategia y mtricas
Poltica y cumplimiento
Educacin y orientacin
Requisitos de seguridad
Arquitectura de seguridad
PL O
Evaluacin de amenaza
Razonamiento
Fase 1 Fase 2 Fase 3 Fase 4 Estrategia y mtricas
Poltica y cumplimiento
Educacin y orientacin
Un proveedor independiente de software involucra en sus funciones principales de negocio la construccin y venta de componentes de software y aplicaciones. La motivacin inicial de reducir las vulnerabilidades comunes que afectan a sus clientes y usuarios llevar a enfocarse inicialmente en actividades de revisin de cdigo y pruebas de intrusin. Cambiando hacia una prevencin ms proactiva de los errores de seguridad en las especificaciones del producto. Con el tiempo, estas organizaciones van agregando actividades de levantamiento de requisitos de seguridad. Tambin, para minimizar el impacto de cualquier problema de seguridad descubierto, la organizacin debe crear actividades de administracin de vulnerabilidades. Conforme la organizacin madura, las actividades de transferencia de conocimiento para la habilitacin operativa se agregan para instruir a los clientes y usuarios sobre la operacin segura del software.
Desarrollo Externo
Evaluacin de amenaza
Requisitos de seguridad
Arquitectura de seguridad
Para las organizaciones con recursos de desarrollo externos, el no tener acceso al cdigo, tpicamente lleva a la priorizacin de actividades de levantamiento de requisitos de seguridad, en ves de actividades de revisin de cdigo.Adicionalmente, hacer anlisis avanzado de amenazas en fases tempranas permitir a la organizacin aclarar mejor sus necesidades de seguridad a los desarrolladores externos contratados. Dada su experiencia en la configuracin de software, esta generalmente es mas fuerte en el grupo externo, aun as los contratos deben construirse para tomar en cuenta las actividades relacionadas con la habilitacin operativa.
Revisin de diseo
Revisin de cdigo
Pruebas de seguridad
sAMM / AplicAndo el Modelo - V1.0
Administracin de vulnerabilidades
Habilitacin operativa
28
En una organizacin que ha crecido con una adquisicin, frecuentemente hay varios equipos de desarrollos, que siguen modelos de desarrollo diferentes, con varios niveles de actividades relacionadas a la seguridad. Una organizacin como esta puede requerir planes de implementacin separados para cada divisin o equipo de desarrollo para tomar en cuenta los diferentes puntos de inicio as como las preocupaciones de cada proyecto, si es que varios tipos de software se estn desarrollando.
Razonamiento
Un proveedor de servicios en lnea incluye en sus funciones principales la construccin de aplicaciones Web y otras interfaces accesibles desde la red. Los motivos para validar la salud general del diseo sin restringir la innovacin llevan a concentrarse inicialmente en las revisiones de diseo y las actividades de pruebas de intrusin. Dado que los sistemas crticos van a estar interconectados, las actividades de reforzamiento del ambiente tambin son agregadas en etapas tempranas e implementadas continuamente para tomar en cuenta los riesgos de los ambientes de publicacin. Aunque puede variar segn las actividades principales de las organizaciones, las actividades de cumplimiento y polticas podran empezar a ser implementadas tempranamente y avanzar de acuerdo a la importancia de los factores externos de cumplimiento de regulaciones. Conforme una organizacin madura, las actividades de anlisis de amenazas, requisitos de seguridad y arquitectura segura se agregan lentamente para ayudar a impulsar la seguridad proactiva, despus, de que algunas expectativas iniciales de seguridad se han definido.
Poltica y cumplimiento
Educacin y orientacin
Desarrollo Externo
Para las organizaciones con recursos de desarrollo externos, el no tener acceso al cdigo, tpicamente lleva a la priorizacin de actividades en el levantamiento de requisitos de seguridad, en ves de actividades de revisin de cdigo. Adicionalmente, hacer anlisis avanzado de amenazas en fases tempranas permitir a la organizacin aclarar mejor sus necesidades de seguridad a los desarrolladores externos contratados. Dada la experiencia en la configuracin de software, esta generalmente ser mas fuerte en el grupo externo, aun as los contratos deben construirse para tomar en cuenta las actividades relacionadas con la habilitacin operativa.
Evaluacin de amenaza
Requisitos de seguridad
Arquitectura de seguridad
Revisin de diseo
Revisin de cdigo
Para organizaciones construyendo plataformas de servicios Web, los errores de diseo pueden acarrear riesgos adicionales y pueden ser ms costosos de mitigar. Por lo tanto, las actividades de anlisis de amenazas, levantamiento de requisitos de seguridad y seguridad de la arquitectura deben ser agregadas en las fases iniciales del plan de implementacin.
Administracin de vulnerabilidades
Habilitacin operativa
Pruebas de seguridad
Razonamiento
Una organizacin de servicios financieros incluye en sus funciones principales de negocio la construccin de sistemas como apoyo al procesamiento de transacciones financieras. En general, esto implica una mayor concentracin en sistemas internos y de respaldo intercomunicados con los de los proveedores de datos externos. Inicialmente, el esfuerzo se enfoca en mejorar las prcticas relacionadas con el gobierno de TI, dado que hay servicios crticos que fijan las bases del programa de aseguramiento y ayudan a cumplir con los requisitos de cumplimiento para la organizacin. Dado que construir software seguro y confiable proactivamente es un meta comn, las prcticas en la construccin se inicial tempranamente y se implementan a detalle conforme el programa madura. Las actividades de verificacin tambin se implementan poco a poco durante el periodo de implementacin del plan de implementacin para manejar sistemas heredados sin crear expectativas irreales. Adicionalmente, esto ayuda a asegurar que se utilice el tiempo suficiente en construir prcticas ms proactivas. Dado que una organizacin de servicios financieros frecuentemente opera el software que construye, se le da mayor apoyo a las prcticas de desarrollo en medio del plan, despus a la implementacin de un poco de gobierno, pero antes el mayor apoyo se le da a la construccin proactiva de prcticas.
Poltica y cumplimiento
Educacin y orientacin
Evaluacin de amenaza
Requisitos de seguridad
Desarrollo Externo
Para las organizaciones con recursos de desarrollo externos, las restricciones de acceso al cdigo llevar tpicamente a la priorizacin de las actividades en los requisitos de seguridad, en ves de actividades de revisin de cdigo. Adicionalmente, haciendo anlisis de amenazas en fases tempranas permitir a la organizacin clarificar mejor sus necesidades de seguridad a los desarrolladores externos contratados. Dada la experiencia en la configuracin de software, esta generalmente ser mas fuerte en el grupo externo, aun as los contratos deben construirse para tomar en cuenta las actividades relacionadas con la habilitacin operativa.
Arquitectura de seguridad
Revisin de diseo
Revisin de cdigo
Pruebas de seguridad
sAMM / AplicAndo el Modelo - V1.0
Administracin de vulnerabilidades
Habilitacin operativa
30
Organizacin de Gobierno
Plantilla para Plan de Implementacin
Razonamiento
Una organizacin de gobierno incluye en sus funciones principales de negocio el ser una organizacin afiliada al estado que construye software para soporte a proyectos del sector pblico. Inicialmente, las prcticas de gobierno se establecen para tener una idea de la carga para la organizacin de estar en cumplimiento con regulaciones existentes en el contexto del plan de implementacin de mejoras. Dado el riesgo de exposicin pblica y la cantidad de cdigo heredado, se le da nfasis primero a las pruebas de seguridad en las prcticas de verificacin y despus se desarrollan las revisiones de cdigo o de diseo. Un nfasis similar se hace en las prcticas de construccin y desarrollo. Esto ayuda a establecer la administracin de vulnerabilidades de la organizacin, mirando hacia reforzar la postura de seguridad en la habilitacin operativa. Al mismo tiempo las actividades de seguridad proactiva, aun en construccin, se implementan para ayudar a evitar nuevos problemas en el software bajo desarrollo.
Poltica y cumplimiento
Educacin y orientacin
Desarrollo Externo
Para las organizaciones con recursos de desarrollo externos, las restricciones de acceso al cdigo llevar tpicamente a la priorizacin de las actividades de levantamiento de requisitos de seguridad, en ves de actividades de revisin de cdigo. Adicionalmente, haciendo anlisis de amenazas en fases tempranas permitir a la organizacin aclarar mejor sus necesidades de seguridad a los desarrolladores externos contratados. Dada su experiencia en la configuracin de software, esta generalmente es mas fuerte en el grupo externo, aun as los contratos deben construirse para tomar en cuenta las actividades relacionadas con la habilitacin operativa.
Evaluacin de amenaza
Requisitos de seguridad
Arquitectura de seguridad
Revisin de diseo
Cumplimiento de Regulaciones
Para organizaciones bajo estrictas regulaciones que afectan los procesos de negocio, la construccin de la prctica de Cumplimiento y Polticas debe ser ajustada de acuerdo a los factores externos. As mismo, las organizaciones bajo regulaciones menos estrictas podran decidir evitar est prctica a favor de otras.
Revisin de cdigo
Pruebas de seguridad
sAMM / AplicAndo el Modelo - V1.0 31
Administracin de vulnerabilidades
Habilitacin operativa
Esta seccin define los bloques de construccin del SAMM, los niveles de madurez bajo cada prctica de seguridad. Para cada prctica se enumeran los tres niveles en una tabla resumen. Seguida de la descripcin de cada nivel, incluyendo explicaciones detalladas de las actividades requeridas, los resultados que la organizacin puede esperar al alcanzar cada nivel, las mtricas de xito para medir el desempeo, la inversin permanente en personal y los costos adicionales asociados.
Estrategia y mtricas
SM objetivos
SM
SM
Establecer un plan estratgico unificado para la seguridad del software dentro de la organizacin A. Estimar el perfil global de riesgo del negocio B. Crear y mantener un plan de implementacin para el programa de aseguramiento Existe un programa de aseguramiento de la seguridad de software? Entienden la mayora de los interesados en el negocio el perfil de riesgos de la organizacin? Est conciente la mayora del personal de desarrollo de los planes futuros para el programa de aseguramiento? Una lista concreta de los riesgos ms crticos causados por software a nivel negocio. Plan de implementacin adaptado que solucione las necesidades de seguridad de la organizacin con el mnimo esfuerzo. Entendimiento organizacional de cmo va a crecer el programa de aseguramiento a lo largo del tiempo.
Alinear los gastos de seguridad con indicadores de negocio pertinentes y el valor de los activos A. Realizar comparaciones de costo peridicas a nivel industria B. Recolectar mtricas histricas de gastos de seguridad Se recolectan datos por proyecto del costo de las actividades de aseguramiento? La organizacin compara regularmente los gastos de seguridad contra los de otras organizaciones?
actividades
A. Clasificar datos y aplicaciones basado en riesgo de negocio B. Establecer y medir los objetivos de seguridad por cada clasificacin Estn la mayora de las aplicaciones y recursos organizadas por riesgo? Son las calificaciones de riesgo utilizadas para adaptar las actividades de aseguramiento requeridas? La mayora de la organizacin sabe lo se les requiere basado en calificacin de riesgos? Planes de aseguramiento personalizados por proyecto basados en el valor central para el negocio Entendimiento organizacional de la importancia de la seguridad, de bienes de aplicacin e informacin Involucrados en el proyecto mejor informados respecto al entendimiento y aceptacin de riesgos
evaLuacin
ResuLtados
Informacin para tomar decisiones caso por caso sobre los gastos de seguridad Estimaciones de prdidas pasadas debidas a problemas de seguridad Consideracin por proyecto de gastos de seguridad contra prdida potencial Debida diligencia a nivel industria referente a seguridad
Estrategia y mtricas
SM
Establecer un plan estratgico unificado para la seguridad del software dentro de la organizacin
actividades
A . Estimar el perfil global de riesgo del negocio
Entreviste a los dueos del negocio e involucrados en el proyecto y cree una lista de peores escenarios a lo largo de varios bienes de aplicacin y datos. De acuerdo a la manera en que la organizacin cree, use o venda software, la lista de peores escenarios puede variar ampliamente, pero los problemas comunes incluyen: robo o corrupcin de informacin, fallas de servicio, prdidas monetarias, ingeniera inversa, cuentas comprometidas, etc. Despus de capturar ampliamente las ideas de los peores escenarios, organice y seleccione los ms importantes basado en la informacin recolectada y conocimiento del negocio. Cualquier nmero puede ser seleccionado, pero trate de que sean al menos 3 y no ms de 7 para hacer uso eficiente del tiempo y mantener enfocado el ejercicio. Elaborar una descripcin de cada uno de los elementos seleccionados y documentar detalles de los factores que contribuyan a los peores escenarios, posibles factores agravantes y posibles factores mitigantes para la organizacin. El riesgo final del negocio debe ser revisado con los dueos del negocio y dems personas involucradas para su entendimiento.
Evaluacin
Existe un programa de aseguramiento de la seguridad de software? Entienden la mayora de los interesados en el negocio el perfil de riesgos de la organizacin? Est conciente la mayora del personal de desarrollo de los planes futuros para el programa de aseguramiento?
REsultados
Una lista concreta de los riesgos ms crticos causados por software a nivel negocio. Plan de implementacin adaptado que solucione las necesidades de seguridad de la organizacin con el mnimo esfuerzo. Entendimiento organizacional de cmo va a crecer el programa de aseguramiento a lo largo del tiempo.
MtRicas dE xito
>80% de los involucrados sean informados en el perfil de riesgo del negocio en 6 meses >80% del personal informado en el plan de implementacin del programa de aseguramiento en 3 meses >1 sesin estratgica del programa de seguridad en 3 meses.
costos
Creacin y mantenimiento del perfil de riesgo de negocio Evaluacin trimestral del programa de aseguramiento sAMM / lAs prcticAs de seguridAd - V1.0 35
PERsonal
Desarrolladores (1 da/ao) Arquitectos (4 das/ao) Administradores (4 das/ao) Dueos de Negocio (4 das/ao) Testadores de Calidad (1 da/ao) Auditor de seguridad (4 das/ao)
nivElEs RElacionados
Poltica y cumplimiento - 1 Auditoria de amenazas - 1 Requisitos de seguridad - 2
SM
Estrategia y mtricas
Evaluacin
Estn la mayora de las aplicaciones y recursos organizadas por riesgo? Son las calificaciones de riesgo utilizadas para adaptar las actividades de aseguramiento requeridas? La mayora de la organizacin sabe lo se les requiere basado en calificacin de riesgos?
actividades
A . Clasificar datos y aplicaciones basado en riesgo de negocio
Establecer un sistema simple de clasificacin para representar el nivel de riesgo por aplicacin. En su forma ms simple, puede ser una organizacin de Alto/Medio/Bajo. Se pueden utilizar clasificaciones ms sofisticadas, pero no debe haber ms de siete categoras y deben representar una pendiente de alto a bajo impacto en los riesgos de negocio.Trabajar desde el perfil de riesgo de negocio en la organizacin, cree criterios de evaluacin de proyecto que asigne a cada proyecto una de las categoras de riesgo. Un esquema de clasificacin similar pero separado debe de crearse para los activos de informacin y cada elemento debe ser priorizado y clasificado en funcin del impacto potencial de riesgo de negocio. Evale la informacin recolectada acerca de cada aplicacin y asigne una categora de riesgo a cada una basndose en los criterios de evaluacin general y las categoras de riesgo de los activos de informacin en uso. Esto se puede hacer de forma centralizada por un grupo de seguridad o por equipos de proyecto individuales a travs de un cuestionario personalizado para obtener la informacin necesaria. Se debe establecer un proceso continuo para la clasificacin de riesgo de aplicaciones y bienes de informacin. Esto, para asignar categoras a nuevos bienes y mantener actualizada la informacin existente al menos 2 veces por ao.
REsultados
Planes de aseguramiento personalizados por proyecto basados en el valor central para el negocio Entendimiento organizacional de la importancia de la seguridad, de bienes de aplicacin e informacin Involucrados en el proyecto mejor informados respecto al entendimiento y aceptacin de riesgos
MtRicas dE xito
>90% de las aplicaciones y bienes de informacin evaluados contra la clasificacin de riesgo en los ltimos 12 meses >80% del personal informado de las calificaciones de riesgos de aplicacin e informacin importantes en los ltimos 6 meses >80% del personal informado de los planes de implementacin importantes del programa de aseguramiento en los ltimos 3 meses
costos
sAMM / lAs prcticAs de seguridAd - V1.0 Construccin o licenciamiento del esquema de clasificacin de riesgos de aplicacin e informacin Esfuerzo adicional de una planeacin del programa ms granular
PERsonal
Arquitectos (2 das/ao) Administradores (2 das/ao) Dueos de Negocio (2 das/ao) Auditor de seguridad (2 das/ao)
nivElEs RElacionados
Estrategia y mtricas
SM
Alinear los gastos de seguridad con indicadores de negocio pertinentes y el valor de los activos
actividades
A . Realizar comparaciones de costo peridicas a nivel industria
Investigar y reunir informacin acerca de los costos de seguridad en foros de comunicacin de la industria, analistas de negocio y firmas consultoras, u otras fuentes externas. En particular, hay algunos factores clave que necesitan ser identificados. Primero, utilice la informacin recolectada para identificar la cantidad de esfuerzo promedio que es aplicada por organizaciones similares en la industria en materia de seguridad. Esto puede hacerse ya sea de arriba hacia abajo con estimados del porcentaje total del presupuesto, ingresos, etc. O puede hacerse de abajo hacia arriba al identificar actividades relacionadas con seguridad que son consideradas normales para su tipo de organizacin. En general, esto puede ser difcil de medir para ciertas industrias, as que recolecte informacin de tantas fuentes relevantes como le sea posible. El siguiente objetivo al investigar los costos de seguridad, es determinar si hay ahorros potenciales en productos de seguridad de terceros y servicios que la organizacin actualmente use. Al considerar la decisin de cambiar proveedores, tenga en cuenta los costos ocultos, tales como re-entrenamiento de personal u otros esfuerzos adicionales del programa. En general, estos ejercicios de comparacin de costos deben ser hechos al menos anualmente antes de la sesin estratgica del programa de aseguramiento. La comparacin de informacin debe ser presentada a los involucrados en el negocio para alinear el programa de seguridad con el negocio.
Evaluacin
Se recolectan datos por proyecto del costo de las actividades de aseguramiento? La organizacin compara regularmente los gastos de seguridad contra los de otras organizaciones?
REsultados
Informacin para tomar decisiones caso por caso sobre los gastos de seguridad Estimaciones de prdidas pasadas debidas a problemas de seguridad Consideracin por proyecto de gastos de seguridad contra prdida potencial Debida diligencia a nivel industria referente a seguridad
MtRicas dE xito
>80% de los proyectos reportando los costos de seguridad en los ltimos 3 meses >1 comparacin de costos a nivel industria en el ltimo ao >1 evaluacin histrica de gastos de seguridad en el ltimo ao
costos
Construir o comprar licencias sobre inteligencia en la industria sobre programas de seguridad Esfuerzo adicional del programa por estimaciones, seguimiento y evaluacin
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 37 Arquitectos (1 da/ao) Administradores (1 da/ao) Dueos de Negocio (1 da/ao) Auditor de seguridad (1 da/ao)
nivElEs RElacionados
Administracin de vulnerabilidades - 1
Poltica y cumplimiento
PC objetivos
PC
PC
Entender los motivos relevantes para el gobierno de TI y cumplimiento de regulaciones para la organizacin A. Identificar y monitorear los indicadores externos de cumplimiento B. Crear y mantener lineamientos de cumplimiento La mayora de los involucrados en el proyecto conocen el estado de cumplimiento del mismo? Son los requisitos de cumplimiento especficamente considerados por equipos de proyecto?
Exigir cumplimiento de regulaciones y medir a los proyectos conforme a las polticas y estndares de la organizacin A. Crear puntos de control de cumplimiento para proyectos B. Adoptar una solucin para la recoleccin de datos de auditora Los proyectos Son auditados peridicamente para asegurar una base de cumplimiento con polticas y estndares? La organizacin usa auditoras sistemticas para recolectar y controlar evidencia de cumplimiento? Visibilidad a nivel organizacin de riesgos aceptados debido al no cumplimiento Garanta concreta para el cumplimiento a nivel proyecto Seguimiento preciso de la historia de cumplimiento pasada del proyecto Proceso de auditora eficiente, aprovechando herramientas para disminuir el esfuerzo manual
actividades
A. Crear polticas y estndares para seguridad y cumplimiento B. Establecer la prctica de auditoria de proyecto
evaLuacin
La organizacin utiliza un conjunto de polticas y estndares para controlar el desarrollo de software? Los equipos de proyecto Son capaces de solicitar una auditora de cumplimiento con polticas y estndares? Concientizacin para los equipos de proyecto en cuanto a expectativas para seguridad y cumplimiento Dueos de negocio que entiendan mejor los riesgos especficos de cumplimiento en las lneas de producto Enfoque optimizado para alcanzar el cumplimiento eficientemente con mejoras de seguridad de oportunidad
ResuLtados
Mayor seguridad para manejar una auditora de un tercero con resultados positivos Alineacin de recursos internos basado en la prioridad de los requisitos de cumplimiento Descubrimiento oportuno de requisitos de regulacin en evolucin que afectan a la organizacin
Poltica y cumplimiento
Entender los motivos relevantes para el gobierno de TI y cumplimiento de regulaciones para la organizacin
PC
actividades
A . Identificar y monitorear los indicadores externos de cumplimiento
Mientras que una organizacin puede tener una amplia variedad de requisitos de cumplimiento, esta actividad est especficamente orientada alrededor de aquellos que, directa o indirectamente, afectan la forma en que la organizacin construye o usa software y/o informacin. Aprovechando personal interno enfocado en cumplimiento en caso de estar disponible. Basndose en el negocio central de la organizacin, realice una investigacin e identifique los estndares reguladores de terceros con los cuales se requiere el cumplimiento o son considerados como normas de la industria. Las posibilidades incluyen Sarbanes-Oxley Act (SOX), PCI-DSS, HIPAA, etc. Despus de leer y entender cada estndar recolecte requisitos especficos relacionados a software e informacin, y construya una lista consolidada que asigne cada manejador (estndar de tercero) a cada uno de sus requisitos especficos de seguridad. En esta etapa, trate de limitar la cantidad de requisitos al eliminar todo lo considerado como opcional o solo recomendado. Como mnimo, realice investigacin al menos bianualmente para asegurar que la organizacin est siendo actualizada en cuanto a cambios en los estndares de terceros. Dependiendo de la industria y la importancia del cumplimiento, esta actividad puede variar en esfuerzo y personal involucrado, pero siempre debe hacerse explcitamente.
Evaluacin
La mayora de los involucrados en el proyecto conocen el estado de cumplimiento del mismo? Son los requisitos de cumplimiento especficamente considerados por equipos de proyecto?
REsultados
Mayor seguridad para manejar una auditora de un tercero con resultados positivos Alineacin de recursos internos basado en la prioridad de los requisitos de cumplimiento Descubrimiento oportuno de requisitos de regulacin en evolucin que afectan a la organizacin
MtRicas dE xito
>1 sesin de descubrimiento de cumplimiento en los ltimos 6 meses Lista de cumplimiento completada y actualizada en los ltimos 6 meses >1 sesin de revisin de cumplimiento con los involucrados en el proyecto en los ltimos 6 meses
costos
Creacin y mantenimiento contino de la lista de cumplimiento
PERsonal
Arquitectos (1 da/ao) Administradores (2 das/ao) Dueos de Negocio (1-2 das/ao) sAMM / lAs prcticAs de seguridAd - V1.0 39
nivElEs RElacionados
Estrategia y mtricas - 1
PC
Poltica y cumplimiento
Evaluacin
La organizacin utiliza un conjunto de polticas y estndares para controlar el desarrollo de software? Los equipos de proyecto Son capaces de solicitar una auditora de cumplimiento con polticas y estndares?
actividades
A . Crear polticas y estndares para seguridad y cumplimiento
Empezar con los lineamientos de cumplimiento actuales, revisar los estndares reguladores y notar cualquier requisito opcional o recomendado. Adems, la organizacin debe hacer una pequea investigacin para descubrir cualquier cambio potencial en los requisitos de cumplimiento que sea relevante. Aumentar la lista con cualquier requisito adicional basndose en los indicadores de negocio. A menudo es ms fcil consultar guas existentes provedas al personal de desarrollo y obtener un conjunto de mejores prcticas. Agrupar requisitos comunes/similares y re-escribir cada grupo como declaraciones ms generalizadas/ simplificadas que cumplan con todos los manejadores de cumplimiento y que proporcionen ms seguridad. Trabajar a travs de este proceso con cada grupo para crear un conjunto de polticas internas y estndares que puedan ser asignadas directamente a manejadores de cumplimiento y mejores prcticas. Es importante para el conjunto de polticas y estndares que no contengan requisitos que son muy difciles o costosos de ser cumplidos por los equipos. Una heurstica til es que aproximadamente el 80% de los proyectos debe ser capaz de cumplir con interrupcin mnima. Esto requiere que un buen programa de comunicacin sea establecido para anunciar las nuevas polticas/estndares y asistir a los equipos con cumplimiento en caso de ser necesario.
REsultados
Concientizacin para los equipos de proyecto en cuanto a expectativas para seguridad y cumplimiento Dueos de negocio que entiendan mejor los riesgos especficos de cumplimiento en las lneas de producto Enfoque optimizado para alcanzar el cumplimiento eficientemente con mejoras de seguridad de oportunidad
MtRicas dE xito
>75% del personal informado en polticas y estndares en los ltimos 6 meses >80% de los involucrados deben estar concientes del estado de cumplimiento de polticas y estndares
costos
Construccin o licencia de estndares internos Esfuerzo adicional por el proyecto para cumplimiento con estndares internos y auditoras
PERsonal
Arquitectos (1 da/ao) Administradores (1 da/ao) Auditores de Seguridad (2 das/proyecto/ao)
nivElEs RElacionados
Educacin y orientacin - 1 & 3 Estrategia y mtricas - 2 Requisitos de seguridad - 1 & 3 Arquitectura de seguridad - 3 Anlisis de cdigo - 3 Anlisis de diseo - 3 Fortalecimiento del ambiente - 3
Poltica y cumplimiento
Exigir cumplimiento de regulaciones y medir a los proyectos conforme a las polticas y estndares de la organizacin
PC
actividades
A . Crear puntos de control de cumplimiento para proyectos
Una vez que la organizacin ha establecido estndares internos para seguridad, el siguiente nivel de ejecucin es establecer puntos particulares en el ciclo de vida del proyecto donde un proyecto no puede pasar hasta que sea auditado contra los estndares internos y est en cumplimiento. Usualmente, la compuerta de cumplimiento es puesta en el punto de liberacin de software de tal forma que no se permite publicar la versin del software hasta que el cumplimiento de regulaciones haya sido pasado. Es importante proporcionar suficiente tiempo para que se lleve a cabo la auditora y la remediacin, as que generalmente la auditora debe iniciar antes, por ejemplo cuando la liberacin es entregada a QA. A pesar de ser una compuerta firme de cumplimiento, el software antiguo u otros proyectos especializados pueden no ser capaces de cumplir, as que una aprobacin de excepcin debe ser creada. No ms del 20% de los proyectos deben tener una excepcin.
Evaluacin
Los proyectos Son auditados peridicamente para asegurar una base de cumplimiento con polticas y estndares? La organizacin usa auditoras sistemticas para recolectar y controlar evidencia de cumplimiento?
REsultados
Visibilidad a nivel organizacin de riesgos aceptados debido al no cumplimiento Garanta concreta para el cumplimiento a nivel proyecto Seguimiento preciso de la historia de cumplimiento pasada del proyecto Proceso de auditora eficiente, aprovechando herramientas para disminuir el esfuerzo manual
MtRicas dE xito
>80% de los proyectos en cumplimiento con polticas y estndares como se vio en la auditora <50% del tiempo por auditora, comparado con la auditora manual
costos
Construir o comprar licencias de herramientas para automatizar la auditora contra estndares internos Mantenimiento contino de puntos de control de auditora y proceso de excepciones
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 41 Desarrolladores (1 da/ao) Arquitectos (1 da/ao) Administradores (1 da/ao)
nivElEs RElacionados
Educacin y orientacin - 3 Anlisis de cdigo - 2 Pruebas de seguridad - 2
Educacin y orientacin
EG objetivos
EG
EG
Ofrecer acceso al personal de desarrollo a recursos alrededor de los temas de programacin segura e implementacin
Educar a todo el personal en el ciclo de vida de software con lineamientos especficos en desarrollo seguro para cada rol
Hacer obligatorio el entrenamiento de seguridad integral y certificar al personal contra la base de conocimiento . A. Crear un portal formal de soporte de seguridad en aplicaciones B. Establecer exmenes o certificaciones por rol Los lineamientos relacionados con seguridad son controlados centralizadamente y distribuidos consistentemente a lo largo de la organizacin? La mayora de la gente es evaluada para asegurar un conjunto de habilidades bsicas para prcticas de desarrollo seguro? Remediacin eficiente de vulnerabilidades en bases de cdigo en curso y heredado Entendimiento rpido y mitigacin contra nuevos ataques y amenazas Juzgue la comprensin de seguridad del personal y meda contra un estndar comn Establezca incentivos justos hacia la concientizacin de seguridad
actividades
A. Realizar entrenamiento de seguridad en aplicaciones especfico para cada rol B. Utilizar mentores de seguridad para mejorar los equipos Se les ha dado entrenamiento especfico y orientacin a la mayora de los roles en el proceso de desarrollo? La mayora de los involucrados en el proyecto, Son capaces de obtener mentores de seguridad para usar en sus proyectos?
evaLuacin
La mayora de los desarrolladores han recibido entrenamiento de alto nivel sobre concientizacin de seguridad? Cada equipo tiene acceso a mejores prcticas y orientacin para desarrollo seguro?
ResuLtados
Mejor concientizacin de los desarrolladores sobre los problemas ms comunes a nivel cdigo Mantener software con mejores prcticas de seguridad elementales Establecer lineamientos base para saber cmo llevar a cabo la seguridad entre el personal tcnico Habilitar verificaciones de seguridad cualitativas para una base de datos de conocimiento de seguridad
Concientizacin de extremo a extremo sobre los problemas que crean vulnerabilidades de seguridad en el producto, diseo y cdigo Construir planes para remediar vulnerabilidades y fallas de diseo en proyectos en curso Habilitar controles de seguridad en las fases de requisitos, diseo y desarrollo Mayor comprensin de los problemas de seguridad alientan a una planeacin de seguridad ms proactiva
42
Educacin y orientacin
Ofrecer acceso al personal de desarrollo a recursos alrededor de los temas de programacin segura e implementacin
EG
actividades
A . Realizar entrenamiento tcnico de concientizacin en seguridad
Ya sea interna o externamente, lleve a cabo entrenamiento en seguridad para el personal tcnico que cubra los principios bsicos de seguridad en aplicaciones. Generalmente, esto se puede lograr va instructor en 1 o 2 das o con entrenamiento basado en computadora con mdulos teniendo la misma cantidad de tiempo por desarrollador. El contenido del curso debe cubrir informacin tanto conceptual como tcnica. Temas apropiados incluyen mejores prcticas de alto nivel para la validacin de entradas, codificacin de salida, manejo de errores, registro, autenticacin, autorizacin. La cobertura adicional de vulnerabilidades de software comunes tambin es deseable como una lista de los 10 problemas mayores relacionados al software que est siendo desarrollado (aplicaciones Web, dispositivos embebidos, aplicaciones cliente-servidor, etc.). Cuando sea posible, usar muestras de cdigo y ejercicios de laboratorio en el lenguaje de programacin especfico aplicable a la compaa. Para desplegar dicho entrenamiento, es recomendado exigir entrenamiento de seguridad anual y despus tener cursos (ya sea por instructor o computadora) con la frecuencia necesaria basndose en el nmero de desarrolladores.
Evaluacin
La mayora de los desarrolladores han recibido entrenamiento de alto nivel sobre concientizacin de seguridad? Cada equipo tiene acceso a mejores prcticas y orientacin para desarrollo seguro?
REsultados
Mejor concientizacin de los desarrolladores sobre los problemas ms comunes a nivel cdigo Mantener software con mejores prcticas de seguridad elementales Establecer lineamientos base para saber cmo llevar a cabo la seguridad entre el personal tcnico Habilitar verificaciones de seguridad cualitativas para una base de datos de conocimiento de seguridad
MtRicas dE xito
>50% de los desarrolladores informados en problemas de seguridad el ltimo ao >75% de los desarrolladores expertos/ arquitectos informados en problemas de seguridad el ltimo ao Lanzar orientacin tcnica dentro de los 3 meses del primer entrenamiento
costos
Construccin del curso o licencia Mantenimiento contino de la orientacin tcnica
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 43 Desarrolladores (1-2 das/ao) Arquitectos (1-2 das/ao)
nivElEs RElacionados
Poltica y cumplimiento - 2 Requisitos de seguridad - 1 Arquitectura de seguridad - 1
EG
Educacin y orientacin
Educar a todo el personal en el ciclo de vida de software con lineamientos especficos en desarrollo seguro para cada rol
Evaluacin
Se les ha dado entrenamiento especfico y orientacin a la mayora de los roles en el proceso de desarrollo? La mayora de los involucrados en el proyecto, Son capaces de obtener mentores de seguridad para usar en sus proyectos?
actividades
A . Realizar entrenamiento de seguridad en aplicaciones especfico para cada rol
Realizar entrenamiento de seguridad que se enfoque en la seguridad en aplicaciones aplicable a cada rol. Generalmente, esto se puede lograr va instructor en 1 o 2 das o con entrenamiento basado en computadora con diferentes mdulos que tengan la misma cantidad de tiempo por persona. Para administradores y los que especifican los requisitos de seguridad, el contenido del curso debe hablar sobre la planeacin de requisitos de seguridad, manejo de vulnerabilidades e incidentes, modelado de amenazas, y diseo de casos para uso indebido/abuso. El entrenamiento para los testadores y auditores debe enfocarse en entrenar al personal para entender y analizar ms efectivamente el software en busca de problemas relevantes a la seguridad. Como tal, debe contener tcnicas para el anlisis de cdigo, arquitectura y anlisis de diseo, anlisis de tiempo de ejecucin y planeacin efectiva de pruebas de seguridad. Expandir el entrenamiento tcnico dirigindose a desarrolladores y arquitectos para incluir otros temas relevantes tales como patrones de diseo seguros, entrenamiento especfico para herramientas, modelado de amenazas y tcnicas de auditoras de software. Para desplegar dicho entrenamiento, se recomienda exigir entrenamiento de seguridad anual y entrenamiento especializado peridico. Los cursos deben estar disponibles (ya sea por instructor o computadora) con la frecuencia necesaria basndose en el nmero de personas por rol.
REsultados
Concientizacin de extremo a extremo sobre los problemas que crean vulnerabilidades de seguridad en el producto, diseo y cdigo Construir planes para remediar vulnerabilidades y fallas de diseo en proyectos en curso Habilitar controles de seguridad en las fases de requisitos, diseo y desarrollo Mayor comprensin de los problemas de seguridad alientan a una planeacin de seguridad ms proactiva
MtRicas dE xito
>60% del personal de desarrollo entrenado en el ltimo ao >50% del personal de administracin/ anlisis entrenado en el ltimo ao >80% de desarrolladores expertos/ arquitectos entrenados en el ltimo ao >3.0 en la escala de Likert en la utilidad de los cursos de entrenamiento
costos
Elaboracin o compra de licencia de una biblioteca de entrenamiento Personal experto en seguridad para entrenamiento
PERsonal
Desarrolladores (2 das/ao) Arquitectos (2 das/ao) Administradores (1-2 das/ao) Dueos de Negocio (1-2 das/ao) Testadores de Calidad (1-2 das/ao) Auditores de Seguridad (1-2 das/ao)
nivElEs RElacionados
Administracin de vulnerabilidades - 1 Anlisis de diseo - 2 Arquitectura de seguridad - 2
Educacin y orientacin
Hacer obligatorio el entrenamiento de seguridad integral y certificar al personal contra la base de conocimiento .
EG
actividades
A . Crear un portal formal de soporte de seguridad en aplicaciones
Construir sobre recursos escritos de temas relevantes a seguridad de aplicaciones, crear y promocionar un repositorio centralizado (usualmente un sitio Web interno). Los lineamientos mismos pueden ser creados en cualquier forma que tenga sentido para la organizacin, pero debe establecerse una junta de aprobacin y procesos de control para cambios directos. Ms all del contenido esttico en forma de listas de mejores prcticas, guas especficas para herramientas, preguntas frecuentes, y otros artculos, el portal debe contener componentes interactivos como listas de correo, foros o wikis para permitir que los recursos internos tengan comunicacin cruzada en cuanto a temas relevantes de seguridad y tengan la informacin catalogada para referencia futura. El contenido debe ser catalogado y fcil de buscar basndose en varios factores comunes como plataforma, lenguaje de programacin, bibliotecas o marcos de trabajo de terceros, etapas del ciclo de vida, etc. Los equipos creando software deben alinearse tempranamente a s mismos a los lineamientos especficos que van a seguir durante el desarrollo del producto. En auditoras de producto, la lista de lineamientos aplicables y discusiones relacionadas con el producto deben ser usadas como criterio de auditora.
Evaluacin
Los lineamientos relacionados con seguridad son controlados centralizadamente y distribuidos consistentemente a lo largo de la organizacin? La mayora de la gente es evaluada para asegurar un conjunto de habilidades bsicas para prcticas de desarrollo seguro?
REsultados
Remediacin eficiente de vulnerabilidades en bases de cdigo en curso y heredado Entendimiento rpido y mitigacin contra nuevos ataques y amenazas Juzgue la comprensin de seguridad del personal y meda contra un estndar comn Establezca incentivos justos hacia la concientizacin de seguridad
MtRicas dE xito
>80% del personal certificado en el ao anterior
costos
Crear o comprar licencias de evaluacin para certificacin Mantenimiento contino y control de cambios para el portal de seguridad de aplicaciones Recursos humanos y esfuerzo adicional para implementar certificacin de los empleados
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 45 Desarrolladores (1 da/ao) Arquitectos (1 da/ao) Administradores (1 da/ao) Dueos de Negocio (1 da/ao) Testadores de Calidad (1 da/ao) Auditores de Seguridad (1 da/ao)
nivElEs RElacionados
Poltica y cumplimiento - 2 & 3
Evaluacin de amenaza
TA objetivos
TA
TA
Identificar y comprender las amenazas de alto nivel para la organizacin y los proyectos individuales
Comparar concretamente controles de compensacin a cada amenaza contra el software interno y de terceros A. Evaluar explcitamente el riesgo de los componentes de terceros B. Elaboracin de modelos de amenaza con controles de compensacin Los equipos de proyecto, Consideran especficamente los riesgos derivados de el software externo? Todos los mecanismos de proteccin y control son registrados y comparados con las amenazas?
actividades
A. Desarrollar y mantener modelos de amenaza especficos a cada aplicacin B. Elabore perfil de atacante desde la arquitectura de software
A. Desarrollar y mantener modelos de casos de abuso por proyecto B. Adoptar un sistema de ponderacin para la medicin de las amenazas
evaLuacin
La mayora de los proyectos de su organizacin, considera y documenta probables amenazas? Su organizacin comprende y documenta los tipos de atacantes a los que se enfrenta?
La mayora de los proyectos de su organizacin, considera y documenta probables amenazas? Su organizacin comprende y documenta los tipos de atacantes a los que se enfrenta? Los equipos de proyectos analizan regularmente los requisitos funcionales para descubrir probables abusos? Comprensin granular de posibles amenazas a proyectos individuales Marco para tomar mejores decisiones de compensacin dentro de los equipos de proyecto Capacidad de priorizar los esfuerzos de desarrollo dentro de un equipo de proyecto sobre la base de ponderacin de riesgo
ResuLtados
Comprensin de alto nivel de los factores que pueden conducir a resultados negativos Mayor conciencia de las amenazas entre los equipos de proyecto Inventario de las amenazas para su organizacin
Examen ms profundo del perfil de riesgo total para cada proyecto de software Comparacin detallada de las caractersticas de aseguramiento contra las amenazas establecidas para cada proyecto de software Artefactos para documentar la debida diligencia basndose en la funcin de negocio de cada proyecto de software
46
Evaluacin de amenaza
TA
Identificar y comprender las amenazas de alto nivel para la organizacin y los proyectos individuales
actividades
A . Desarrollar y mantener modelos de amenaza especficos a cada aplicacin
Basndose puramente en el objetivo comercial de cada proyecto de software y el perfil de riesgo del negocio (si est disponible), identifique probables escenarios catastrficos para el software en desarrollo en cada equipo de proyecto. Esto puede llevarse a cabo utilizando rboles de ataque simples o por medio de un proceso de modelado de amenazas ms formal tal como STRIDE de Microsoft, Trike, etc. Para construir los rboles de ataque, identifique cada uno de los escenarios catastrficos en una sola frase y etiqutelos como los objetivos de alto nivel de un atacante. De cada objetivo de atacante identificado, identifique las condiciones preestablecidas que se deben tener para cada objetivo a realizar. Esta informacin debe ser registrada en las ramas debajo de cada objetivo en el que cada rama es o un operador lgico AND o un OR lgico de las declaraciones que figuran debajo. Una rama AND indica que cada uno de los nodos secundarios que depender directamente debe ser verdad a fin de realizar el nodo padre. Una rama OR indica que cualquiera de los nodos secundarios que dependen directamente debe ser verdad para alcanzar el nodo padre. Independientemente de el tipo de modelado de amenazas, revise cada uno de requisitos funcionales tanto histricos como actuales, para aumentar el rbol de ataque e indicar los fallos de seguridad pertinentes para cada uno. Haga una lluvia de ideas para diseccionar de forma iterativa cada escenario de fracaso en todas las formas posibles en que un atacante podra ser capaz de alcanzar cada uno de los objetivos. Despus de la creacin inicial, el modelo de amenazas de una aplicacin debe ser actualizado cuando se produzcan cambios significativos en el software. Esta evaluacin debe llevarse a cabo con los desarrolladores senior y arquitectos, as como uno o ms auditores de seguridad.
Evaluacin
La mayora de los proyectos de su organizacin, considera y documenta probables amenazas? Su organizacin comprende y documenta los tipos de atacantes a los que se enfrenta?
REsultados
Comprensin de alto nivel de los factores que pueden conducir a resultados negativos Mayor conciencia de las amenazas entre los equipos de proyecto Inventario de las amenazas para su organizacin
MtRicas dE xito
>50% de los participantes en el proyecto informados sobre los modelos de la amenaza de los proyectos importantes para los ltimos 12 meses >75% de los participantes en el proyecto informados sobre los perfiles de atacante para las arquitecturas relevantes para la organizacin
costos
Construccin y mantenimiento de los artefactos del proyecto para los modelos de amenaza
PERsonal
Dueos de Negocio (1 da/ao) Desarrolladores (1 da/ao) Arquitectos (1 da/ao) Auditores de Seguridad (2 das/ao) Administradores (1 da/ao)
nivElEs RElacionados
Estrategia y mtricas - 1 Requisitos de seguridad - 2
TA
Evaluacin de amenaza
Aumentar la precisin de la evaluacin de amenazas y mejorar la granularidad de la comprensin por proyecto
actividades
Evaluacin
La mayora de los proyectos de su organizacin, considera y documenta probables amenazas? Su organizacin comprende y documenta los tipos de atacantes a los que se enfrenta? Los equipos de proyectos analizan regularmente los requisitos funcionales para descubrir probables abusos?
REsultados
Comprensin granular de posibles amenazas a proyectos individuales Marco para tomar mejores decisiones de compensacin dentro de los equipos de proyecto Capacidad de priorizar los esfuerzos de desarrollo dentro de un equipo de proyecto sobre la base de ponderacin de riesgo
MtRicas dE xito
>75% de los equipos de proyecto con amenazas identificadas y evaluadas >75% de los involucrados en el proyecto informados sobre los modelos de amenaza y abuso en los proyectos relevantes para los ltimos 6 meses
costos
Esfuerzo adicional del proyecto para el mantenimiento de modelos de amenazas y perfiles de atacantes
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 48 Auditor de seguridad (1 da/ao) Dueo del Negocio (1 da/ao) Administradores (1 da/ao)
nivElEs RElacionados
Estrategia y mtricas - 2 Arquitectura de seguridad - 2
Evaluacin de amenaza
Comparar concretamente controles de compensacin a cada amenaza contra el software interno y de terceros
TA
actividades
A . Evaluar explcitamente el riesgo de los componentes de terceros
Realizar una evaluacin de su cdigo de software e identificar los componentes que son de origen externo. Normalmente, estos incluyen proyectos de cdigo abierto, el software empaquetado (COTS por sus siglas en ingls) adquirido, y servicios en lnea que utiliza su software. Para cada componente identificado, elaborar perfiles de atacantes para cada proyecto de software basndose en el dao potencial de los componentes de terceros. Con base en los perfiles de atacante recientemente identificados, actualizar los modelos de amenazas de software para incorporar los posibles riesgos basados en los nuevos objetivos o capacidades de atacante. Adems de los escenarios de amenaza, tambin examinar las formas en que las vulnerabilidades o errores de diseo en el software de terceros puedan afectar a su cdigo y diseo. Elaborar los modelos amenaza en consecuencia, con los riesgos potenciales de las vulnerabilidades y el conocimiento del perfil actualizado del atacante. Despus de haberlo realizado, inicialmente para un proyecto, este debe ser actualizado y revisado durante la fase de diseo o en cada ciclo de desarrollo. Esta actividad debe ser realizada por un auditor de seguridad con los interesados pertinentes, tcnicos y de negocio.
Evaluacin
Los equipos de proyecto, Consideran especficamente los riesgos derivados de el software externo? Todos los mecanismos de proteccin y control son registrados y comparados con las amenazas?
REsultados
Examen ms profundo del perfil de riesgo total para cada proyecto de software Comparacin detallada de las caractersticas de aseguramiento contra las amenazas establecidas para cada proyecto de software Artefactos para documentar la debida diligencia basndose en la funcin de negocio de cada proyecto de software
MtRicas dE xito
>80% de los equipos de proyecto con los modelos de amenazas actualizados antes de cada ciclo de aplicacin >80% de los equipos de proyecto con el inventario actualizado de los componentes de terceros antes de cada lanzamiento >50% de todos los incidentes de seguridad identificados a priori por los modelos de amenazas en los ltimos 12 meses
costos
Esfuerzo adicional del proyecto para el mantenimiento de modelos de amenazas detallados y perfiles atacante ampliados Descubrimiento de todas las dependencias de terceros
PERsonal
Dueos de Negocio (1 da/ao) Desarrolladores (1 da/ao) Arquitectos (1 da/ao) Auditores de Seguridad (2 das/ao) Administradores (1 da/ao)
nivElEs RElacionados
Requisitos de seguridad - 2 & 3
Requisitos de seguridad
SR objetivos
SR
SR
Aumentar la granularidad de los requisitos de seguridad derivados de la lgica de negocio y riesgos conocidos
Exigir que se siga el proceso de requisitos de seguridad para todos los proyectos de software y dependencias de terceros A. Incorporar los requisitos de seguridad a acuerdos con proveedores B. Ampliar el programa de auditora para los requisitos de seguridad
actividades
A. Deducir los requisitos de seguridad a partir de la funcionalidad de negocios B. Evaluar la seguridad y los lineamientos de cumplimiento para regulaciones de los requisitos La mayora de los equipos de proyecto, especifican algunos requisitos de seguridad durante el desarrollo? Obtienen los equipos de proyecto los requisitos de las mejores prcticas y guas de cumplimiento?
A. Generar una matriz de control de acceso a los recursos y capacidades B. Especificar los requisitos de seguridad en base a los riesgos conocidos
evaLuacin
La mayora de los interesados Revisan las matrices de control de acceso para los proyectos importantes? Estn los equipos de proyecto especificando los requisitos basndose en la retroalimentacin de otras actividades de seguridad? Conocimiento detallado de los escenarios de ataque contra la lgica de negocios Esfuerzo de desarrollo prioritario para las caractersticas de seguridad basadas en los ataques probables Decisiones ms educadas para compensar entre las caractersticas y los esfuerzos de seguridad Las partes interesadas pueden evitar de mejor forma los requisitos funcionales que tienen fallas de seguridad
Estn la mayora de los interesados revisando los acuerdos con proveedores para los requisitos de seguridad? Los requisitos de seguridad son especificados por los equipos de proyecto que estn siendo auditados? Sentar formalmente las bases para las expectativas de seguridad de cdigo externo Informacin centralizada sobre los esfuerzos de seguridad emprendidas por cada equipo de proyecto Habilidad para alinear los recursos a los proyectos basndose en el riesgo de aplicacin y los requisitos de seguridad deseados
ResuLtados
Alineacin de alto nivel de los esfuerzos de desarrollo con los riesgos de negocio Captura ad hoc de las mejores prcticas de seguridad de la industria como requisitos explcitos Concientizacin entre los interesados de las medidas adoptadas para mitigar el riesgo de software
Requisitos de seguridad
SR
actividades
A . Deducir los requisitos de seguridad a partir de la funcionalidad de negocios
Lleve a cabo una revisin de los requisitos funcionales que especifican la lgica de negocio y el comportamiento general de cada proyecto de software. Despus de reunir los requisitos para un proyecto, realice una evaluacin para obtener los requisitos de seguridad pertinentes. Incluso si el software est siendo construido por un tercero, estos requisitos, una vez identificados, deben incluirse en los requisitos funcionales entregados a los vendedores. Para cada requisito funcional, un auditor de seguridad debe llevar a los involucrados en el desarrollo por el proceso de sealar de manera explcita cualquier expectativa con respecto a la seguridad. Normalmente, las preguntas a aclarar para cada requisito incluyen las expectativas de seguridad de datos, control de acceso, integridad de la transaccin, la criticidad de la funcin empresarial, la separacin de funciones, tiempo de actividad, etc. Es importante asegurarse de que todos los requisitos de seguridad siguen los mismos principios generales para escribir buenos requisitos. En concreto, deben ser especficos, medibles, y razonables. Realizar este proceso para todos los nuevos requisitos en proyectos activos. Para las caractersticas existentes, se recomienda llevar a cabo el mismo proceso como un anlisis de las carencias, para potenciar la reutilizacin en el futuro de nuevos factores de seguridad.
Evaluacin
La mayora de los equipos de proyecto, especifican algunos requisitos de seguridad durante el desarrollo? Obtienen los equipos de proyecto los requisitos de las mejores prcticas y guas de cumplimiento?
REsultados
Alineacin de alto nivel de los esfuerzos de desarrollo con los riesgos de negocio Captura ad hoc de las mejores prcticas de seguridad de la industria como requisitos explcitos Concientizacin entre los interesados de las medidas adoptadas para mitigar el riesgo de software
MtRicas dE xito
>50% de los equipos de proyecto con los requisitos de seguridad definidos explcitamente
costos
Esfuerzo adicional del proyecto producto de la adicin de los requisitos de seguridad para cada ciclo de desarrollo
PERsonal
Auditor de seguridad (2 das/ao) Dueo del Negocio (1 da/ao) Administradores (1 da/ao) Arquitectos (1 da/ao)
nivElEs RElacionados
sAMM / lAs prcticAs de seguridAd - V1.0 51 Educacin y orientacin - 1 Poltica y cumplimiento - 2 Anlisis de diseo - 1 Anlisis de cdigo - 1 Pruebas de seguridad - 1
SR
Requisitos de seguridad
Aumentar la granularidad de los requisitos de seguridad derivados de la lgica de negocio y riesgos conocidos
actividades
Evaluacin
La mayora de los interesados Revisan las matrices de control de acceso para los proyectos importantes? Estn los equipos de proyecto especificando los requisitos basndose en la retroalimentacin de otras actividades de seguridad?
REsultados
Conocimiento detallado de los escenarios de ataque contra la lgica de negocios Esfuerzo de desarrollo prioritario para las caractersticas de seguridad basadas en los ataques probables Decisiones ms educadas para compensar entre las caractersticas y los esfuerzos de seguridad Las partes interesadas pueden evitar de mejor forma los requisitos funcionales que tienen fallas de seguridad
MtRicas dE xito
>75% de todos los proyectos con modelos de casos de abuso actualizados dentro de los ltimos 6 meses
costos
Esfuerzo adicional del proyecto a partir de la construccin y mantenimiento de modelos de casos de abuso
PERsonal
Auditor de seguridad (2 das/ao) Administradores (1 da/ao) Arquitectos (2 das/ao) Dueos de Negocio (1 da/ao)
nivElEs RElacionados
Evaluacin de amenaza - 1 & 3 Estrategia y mtricas - 1
Requisitos de seguridad
Exigir que se siga el proceso de requisitos de seguridad para todos los proyectos de software y dependencias de terceros
SR
actividades
A . Incorporar los requisitos de seguridad a acuerdos con proveedores
Ms all de los tipos de requisitos de seguridad ya identificados por el anlisis anterior, beneficios de seguridad adicionales se pueden derivar de acuerdos con terceras partes. Por lo general, los requisitos y tal vez el diseo de alto nivel se desarrollarn internamente, mientras que el diseo detallado y la implementacin es a menudo dejada a los proveedores. Basndose en la divisin del trabajo especfico para cada componente desarrollado exteriormente, identifique las actividades especficas de seguridad y criterios de evaluacin tcnica a aadir a los contratos de proveedores. Comnmente, se trata de un conjunto de actividades de Revisin del Diseo, Revisin de Cdigo, y de Seguridad Prcticas de prueba. Las modificaciones en el lenguaje del acuerdo deben ser manejadas caso por caso, con cada proveedor, ya que aadir requisitos adicionales, por lo general, supondr un aumento en el costo. El costo de cada actividad potencial de seguridad debe ser equilibrada contra el beneficio de la actividad, como el uso de un componente o sistema que est siendo considerado.
Evaluacin
Estn la mayora de los interesados revisando los acuerdos con proveedores para los requisitos de seguridad? Los requisitos de seguridad son especificados por los equipos de proyecto que estn siendo auditados?
REsultados
Sentar formalmente las bases para las expectativas de seguridad de cdigo externo Informacin centralizada sobre los esfuerzos de seguridad emprendidas por cada equipo de proyecto Habilidad para alinear los recursos a los proyectos basndose en el riesgo de aplicacin y los requisitos de seguridad deseados
MtRicas dE xito
>80% de los proyectos pasando los requisitos de seguridad de auditora en los ltimos 6 meses >80% de los acuerdos con proveedores analizados contra los requisitos de seguridad contractuales en los ltimos 12 meses
costos
Aumento de los costos del desarrollo externalizado de los requisitos de seguridad adicionales Esfuerzo adicional del proyecto a partir de la liberacin de puertas de los requisitos de seguridad sAMM / lAs prcticAs de seguridAd - V1.0 53
PERsonal
Auditor de seguridad (2 das/ao) Administradores (2 das/ao) Dueos de Negocio (1 da/ao)
nivElEs RElacionados
Evaluacin de amenaza - 3 Poltica y cumplimiento - 2
Arquitectura de seguridad
SA objetivos
SA
SA
Dirija el proceso de diseo de software hacia servicios seguros conocidos y diseos seguros desde la concepcin
Controlar formalmente el proceso de diseo de software y validar la utilizacin de componentes de seguridad A. Establecer arquitecturas y plataformas formales de referencia B. Validar el uso de marcos de trabajo, patrones, y plataformas Estn los equipos de proyecto construyendo software a partir de plataformas y marcos de trabajo controlados? Estn los equipos de proyecto siendo auditados para el uso de componentes seguros de arquitectura? Plataformas de desarrollo a la medida de aplicaciones que brindan proteccines de seguridad Expectativas organizacionales de todo el esfuerzo de seguridad proactiva en el desarrollo Los interesados con mejores condiciones de tomar decisiones de negociacin basadas en la necesidad de negocio para el diseo seguro
actividades
A. Mantener una lista de los marcos de trabajo de software recomendados B. Aplicar explcitamente los principios de seguridad para el diseo Cuentan los equipos de proyectos con una lista de los componentes de terceros recomendados? Estn la mayora de los equipos de proyecto conscientes de los principios de diseo seguro y su aplicacin?
A. Identificar y promover los servicios de seguridad e infraestructura B. Identificar los patrones de diseo de seguridad desde la arquitectura Hace publicidad de los servicios compartidos de seguridad como gua para equipos de proyectos? Estn los equipos de proyectos previstos con los patrones de diseo prescriptivo basado en su arquitectura de aplicacin?
evaLuacin
ResuLtados
Prevencin ad hoc de las dependencias inesperadas Las partes interesadas son conscientes del incremento de los riesgos de proyecto debido a las bibliotecas y los marcos de trabajo elegidos Se establece un protocolo dentro del desarrollo para la aplicacin proactiva de mecanismos de seguridad en el diseo
Comparacin detallada de los activos contra las funciones de usuario para fomentar una mejor compartimentacin en el diseo Bloques de construccin reutilizables para el suministro de proteccines de seguridad y funcionalidad Aumento de la confianza en los proyectos de software por la utilizacin de tcnicas de diseo preestablecidas para la seguridad
Arquitectura de seguridad
SA
actividades
A . Mantener una lista de los marcos de trabajo de software recomendados
A travs de proyectos de software dentro de la organizacin, identificar bibliotecas de software y los marcos de trabajo comnmente usados. En general, esto no tiene por qu ser una bsqueda exhaustiva de las dependencias, sino ms bien hay que centrarse en la captura de los componentes de alto nivel que se utilizan con mayor frecuencia. De la lista de componentes, agrpelos en categoras funcionales basndose en las caractersticas principales proporcionadas por el componente de terceros. Tambin identifique la prevalencia de uso de cada componente a travs de equipos de proyectos para ponderar la confianza en el cdigo de terceros. Utilizando esta lista ponderada como una gua, cree una lista de componentes para anunciarlos a toda la organizacin como componentes recomendados.Varios factores deben contribuir a las decisiones para su inclusin en la lista recomendada. Aunque la lista puede ser creada sin la realizacin de investigaciones en concreto, es aconsejable inspeccionar el historial de incidentes, los antecedentes para responder a las vulnerabilidades, la adecuacin de la funcionalidad de la organizacin, la excesiva complejidad en el uso de los componentes de terceros, etc. para cada uno. Esta lista deber ser creada por los desarrolladores senior y arquitectos, pero tambin debe incluir los aportes de los administradores y auditores de seguridad. Despus de la creacin, la lista de componentes recomendados se comparar con las categoras funcionales que deben ser objeto de publicidad en la organizacin. En ltima instancia, el objetivo es proporcionar configuraciones predeterminadas conocidas a los equipos de proyecto.
Evaluacin
Cuentan los equipos de proyectos con una lista de los componentes de terceros recomendados? Estn la mayora de los equipos de proyecto conscientes de los principios de diseo seguro y su aplicacin?
REsultados
Prevencin ad hoc de las dependencias inesperadas Las partes interesadas son conscientes del incremento de los riesgos de proyecto debido a las bibliotecas y los marcos de trabajo elegidos Se establece un protocolo dentro del desarrollo para la aplicacin proactiva de mecanismos de seguridad en el diseo
MtRicas dE xito
>80% del personal de desarrollo informado sobre las recomendaciones de los marco de trabajo de software durante el pasado ao >50% de los proyectos de presentando proactivamente la aplicacin de los principios de seguridad para el diseo
costos
Construccin, mantenimiento, y la concientizacin sobre las recomendaciones del marco de trabajo de software Esfuerzo adicional del proyecto a partir del anlisis y aplicacin de los principios de seguridad sAMM / lAs prcticAs de seguridAd - V1.0 55
PERsonal
Arquitectos (2-4 das/ao) Desarrolladores (2-4 das/ao) Auditores de Seguridad (2-4 das/ao) Administradores (2 das/ao)
nivElEs RElacionados
Educacin y orientacin - 1
SA
Arquitectura de seguridad
Dirija el proceso de diseo de software hacia servicios seguros conocidos y diseos seguros desde la concepcin
actividades
Evaluacin
Hace publicidad de los servicios compartidos de seguridad como gua para equipos de proyectos? Estn los equipos de proyectos previstos con los patrones de diseo prescriptivo basado en su arquitectura de aplicacin?
REsultados
Comparacin detallada de los activos contra las funciones de usuario para fomentar una mejor compartimentacin en el diseo Bloques de construccin reutilizables para el suministro de proteccines de seguridad y funcionalidad Aumento de la confianza en los proyectos de software por la utilizacin de tcnicas de diseo preestablecidas para la seguridad
MtRicas dE xito
>80% de los proyectos con la matriz de permisos actualizada en los ltimos 6 meses >80% de los equipos de proyecto informados sobre las pautas de seguridad aplicables, en los ltimos 6 meses
costos
Construir o comprar licencias de los patrones de seguridad aplicables Esfuerzo adicional del proyecto en curso por el mantenimiento de la matriz de permisos
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 56 Arquitectos (2-4 das/ao) Desarrolladores (1-2 das/ao) Administradores (1-2 das/ao) Dueos de Negocio (1 da/ao) Auditores de Seguridad (1-2 das/ao)
nivElEs RElacionados
Educacin y orientacin - 1
Arquitectura de seguridad
Controlar formalmente el proceso de diseo de software y validar la utilizacin de componentes de seguridad
SA
actividades
A . Establecer arquitecturas y plataformas formales de referencia
Despus de promover la integracin con los servicios compartidos de seguridad y de trabajar con patrones de seguridad especficos a cada tipo de arquitectura, se debe seleccionar de los equipos de proyecto una coleccin de cdigo implementando estas piezas de funcionalidad y se deben utilizar como base de la base de cdigo compartido. Esta base de cdigo compartida inicialmente puede comenzar como una coleccin de las libreras recomendadas que cada proyecto suele usar y puede crecer con el tiempo en uno o ms marcos de software que representan plataformas de referencia sobre el que los equipos de proyectos construyen su software. Algunos ejemplos de plataformas de referencia incluyen marcos de modelo-vista-controlador de aplicaciones Web, las bibliotecas de apoyo transaccional a sistemas back-end, los marcos para las plataformas de servicios Web, los andamios (scaffolding) para aplicaciones cliente-servidor, marcos de trabajo para software intermediario (middleware) con lgica de negocios agregable, etc. Otro mtodo de construccin de plataformas de referencia inicial es seleccionar un proyecto en particular al principio del ciclo de vida y tener al personal de seguridad con experiencia trabajando para construir la funcionalidad de seguridad de una manera genrica para que pueda ser extrada del proyecto y utilizarse en otras partes de la organizacin. Independientemente del enfoque de creacin, las plataformas de referencia tienen ventajas en trminos de velocidad de auditora y revisiones relacionadas con la seguridad, aumentando de la eficiencia en el desarrollo, y reduccin de el esfuerzo de mantenimiento. Arquitectos, desarrolladores senior y otras partes interesadas con habilidades tcnicas deben participar en el diseo y creacin de plataformas de referencia. Despus de la creacin, un equipo debe continuamente darle mantenimiento y actualizarlas.
Evaluacin
Estn los equipos de proyecto construyendo software a partir de plataformas y marcos de trabajo controlados? Estn los equipos de proyecto siendo auditados para el uso de componentes seguros de arquitectura?
REsultados
Plataformas de desarrollo a la medida de aplicaciones que brindan proteccines de seguridad Expectativas organizacionales de todo el esfuerzo de seguridad proactiva en el desarrollo Los interesados con mejores condiciones de tomar decisiones de negociacin basadas en la necesidad de negocio para el diseo seguro
MtRicas dE xito
>50% de los proyectos activos utilizando plataformas de referencia >80% de los proyectos reportando el uso de los marcos de trabajo, patrones y plataformas en los ltimos 6 meses >3.0 Likert sobre la utilidad de la orientacin / plataformas comunicadas por los equipos de proyecto
costos
Construir o licenciar la(s) plataforma(s) de referencia Mantenimiento y apoyo de plataformas de referencia en curso Esfuerzo adicional del proyecto de la validacin del uso durante la auditora en curso
PERsonal
Administradores (1 da/ao) Dueos de Negocio (1 da/ao) Arquitectos (3-4 das/ao) Desarrolladores (2-3 das/ao) Auditores de Seguridad (2 das/ao)
nivElEs RElacionados
Poltica y cumplimiento - 2 Anlisis de diseo - 3 Anlisis de cdigo - 3 Pruebas de seguridad - 3
Revisin de diseo
DR objetivos
DR
DR
Apoyar en las revisiones de diseo de software para asegurarse que existan los lineamientos de mitigacin para riesgos conocidos A. Identificar superficies de ataques de software B. Analizar el diseo contra requisitos de seguridad conocidos
Ofrecer evaluaciones de servicios para revisar el diseo del software contra buenas prcticas integrales de seguridad A. Inspeccionar por completo la provisin de los mecanismos de seguridad B. Implementar el servicio de revisin de diseo para los equipos de proyecto La mayora de los equipos de proyecto analizan el diseo especficamente para los mecanismos de seguridad? La mayora de los interesados estn consientes de cmo obtener una revisin de diseo formal? El servicio de evaluaciones ofrecidas formalmente y consistentemente revise la arquitectura Resalte las fallas de seguridad en el modo de mantenimiento y sistemas antiguos Entendimiento ms profundo de los interesados del proyecto en como el software provee proteccin y aseguramiento
Exija evaluar y valide los artefactos para desarrollar un entendimiento detallado de mecanismos de proteccin A. Desarrollar diagrama de flujo de datos para recursos sensible B. Establecer puntos de liberacin para la revisin de diseo El proceso de revisin de diseo incorpora un anlisis detallado a nivel de datos? Las auditorias de proyecto rutinarias necesitan los lineamientos para los resultados de la revisin de diseo? Una vista granular de los puntos dbiles en el diseo del sistema para fomentar una mejor compartamentalizacin Concientizacin a nivel organizacin de los proyectos frente a las expectativas de seguridad base para la arquitectura Comparacin entre proyectos por eficiencia y progreso hacia la mitigacin de fallas conocidas
actividades
evaLuacin
Documentan los equipos de proyecto el permetro de ataque de los diseos de software? Comprueban los equipos de proyecto los diseos de software contra los riesgos de seguridad conocidos?
ResuLtados
Entendimiento a alto nivel de las implicaciones de seguridad en el permetro de la arquitectura Habilitar a los equipos de desarrollo para autoevaluar diseos contra las buenas prcticas de seguridad Procesos ligeros para conducir revisiones de diseo a nivel de proyecto
Revisin de diseo
Apoyar en las revisiones de diseo de software para asegurarse que existan los lineamientos de mitigacin para riesgos conocidos
DR
actividades
A . Identificar superficies de ataques de software
Para cada proyecto de software, crear una visin simplificada de la arquitectura general. Normalmente, este debe ser creado sobre en base a los artefactos del proyecto, tales como requisitos de alto nivel y diseo de documentos, entrevistas con el personal tcnico, o revisin del cdigo a nivel de modular. Es importante captar los mdulos de alto nivel en el sistema, pero una regla de oro para la granularidad es garantizar que el diagrama de todo el sistema que se examina quepa en una pgina. Desde el punto de vista de la nica pgina de la arquitectura, analizar cada componente en trminos de accesibilidad de las interfaces de los usuarios autorizados, los usuarios annimos, los operadores, los roles especficos de la aplicacin, etc. Los componentes que proporcionan las interfaces tambin deben considerarse en el contexto de verse en una sola pgina para encontrar puntos de delegacin funcional o de paso de datos a travs de otros componentes en el diagrama. Agrupe interfaces y componentes con perfiles de accesibilidad similares y registre esto como la superficie de ataque de software. Para cada interfaz, elabore ms el diagrama de una pgina para anotar cualquier funcionalidad relacionada con la seguridad. Basndose en los grupos de interfaces que comprenden la superficie de ataque, compruebe el modelo por una consistencia a nivel de diseo para ver como se aseguran las interfaces con acceso similar. Cualquier ruptura en la consistencia puede se anotada como un fallo en la evaluacin. Este anlisis debe de ser conducido por un equipo experto en seguridad, ya sea interno al proyecto o externo. Tpicamente, despus de la creacin inicial, el anlisis de diagrama y de la superficie de ataque solo necesita ser actualizado durante la fase de diseo cuando se hagan adiciones o cambios a las interfaces del sistema.
Evaluacin
Documentan los equipos de proyecto el permetro de ataque de los diseos de software? Comprueban los equipos de proyecto los diseos de software contra los riesgos de seguridad conocidos?
REsultados
Entendimiento a alto nivel de las implicaciones de seguridad en el permetro de la arquitectura Habilitar a los equipos de desarrollo para autoevaluar diseos contra las buenas prcticas de seguridad Procesos ligeros para conducir revisiones de diseo a nivel de proyecto
MtRicas dE xito
>50% de los proyectos con anlisis de superficies de ataque actualizadas en los ltimos 12 meses >50% de los proyectos con anlisis de requisitos de seguridad actualizados a nivel de diseo en los ltimos 12 meses
costos
Expansin y mantenimiento de los diagramas de arquitectura de cada proyecto Esfuerzo adicional del proyecto para la inspeccin del diseo de los requisitos de seguridad y las superficies de ataque
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 59 Arquitectos (2-3 das/ao) Desarrolladores (1-2 das/ao) Administradores (1 da/ao) Auditor de seguridad (1 da/ao)
nivElEs RElacionados
Requisitos de seguridad - 1
DR
Revisin de diseo
Ofrecer evaluaciones de servicios para revisar el diseo del software contra buenas prcticas integrales de seguridad
Evaluacin
La mayora de los equipos de proyecto analizan el diseo especficamente para los mecanismos de seguridad? La mayora de los interesados estn consientes de cmo obtener una revisin de diseo formal?
actividades
A . Inspeccionar por completo la provisin de los mecanismos de seguridad
Por cada interfaz en un mdulo en el diagrama de alto nivel de la arquitectura, itere a travs de los mecanismos de seguridad formales y analice que el sistema est provisto de seguridad. Este tipo de anlisis puede ser desarrollado en interfaces internas p. ej. entre niveles, como tambin en las externas, p. ej. Aquellas que comprenden la superficie de ataque. Los seis principales mecanismos de seguridad a considerar son autenticacin, autorizacin, validacin de entradas, codificacin de salidas, manejo de errores y registro de eventos. En su caso, tambin considere los mecanismos de criptografa y manejo de sesin. Por cada interfaz, determine donde, en el diseo del sistema, cada mecanismo es provisto y anote cualquier caracterstica faltante o no clara como una falla. Este anlisis debe de ser conducido por un equipo de seguridad experto con la asistencia del equipo de proyecto con el conocimiento especfico de la aplicacin. Este anlisis debe de ser ejecutado una vez por publicacin, usualmente, hacia el final de la fase de diseo. Despus del anlisis inicial, las liberaciones subsecuentes son requeridas para actualizar las fallas basadas en los cambios hechos durante el ciclo de desarrollo.
REsultados
El servicio de evaluaciones ofrecidas formalmente y consistentemente revise la arquitectura Resalte las fallas de seguridad en el modo de mantenimiento y sistemas antiguos Entendimiento ms profundo de los interesados del proyecto en como el software provee proteccin y aseguramiento
MtRicas dE xito
>80% de los interesados informo el estado de las solicitudes de revisin en los ltimos 6 meses >75% de los proyectos sometidos a revisin de diseo en los ltimos 12 meses
costos
Construccin, entrenamiento y mantenimiento del equipo de revisin de diseo Esfuerzo adicional del proyecto para la revisin de actividades
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 60 Arquitectos (1-2 das/ao) Desarrolladores (1 da/ao) Administradores (1 da/ao) Auditores de Seguridad (2-3 das/ao)
nivElEs RElacionados
Educacin y orientacin - 2 Estrategia y mtricas - 2
Revisin de diseo
Exija evaluar y valide los artefactos para desarrollar un entendimiento detallado de mecanismos de proteccin
DR
actividades
A . Desarrollar diagrama de flujo de datos para recursos sensible
Basndose en la funcin de negocio del proyecto de software, conduzca un anlisis para identificar detalles en el comportamiento del sistema alrededor de funcionalidades de alto riesgo. Tpicamente, la funcionalidad de alto riesgo correlacionara las caractersticas que implementan la creacin, acceso, actualizacin, y eliminacin de informacin sensible. Ms all de la informacin, la funcionalidad de alto riesgo tambin incluye lgica de negocio de naturaleza crtica especfica a la aplicacin, desde el punto de vista de una negacin de servicio o vulnerabilidad. Por cada fuente de datos o funcin de negocio identificada, seleccione y use una notacin estandarizada para registrar los mdulos relevantes de software, fuentes de datos, actores, y mensajes que fluyen a travs de ellos. Suele ser til iniciar con el diseo de un diagrama a alto nivel e iteratvamente agregar detalles relevantes mientras se remueven elementos que no corresponden al recurso sensible. Con los diagramas de flujo de datos creados por el proyecto, conduzca un anlisis sobre ellos para determinar los cuellos de botella en el diseo. Generalmente, estos sern mdulos de software individuales que manejan datos de diferentes niveles de sensibilidad o aquellos que dan acceso a varias funciones de negocio de varios niveles de criticidad.
Evaluacin
El proceso de revisin de diseo incorpora un anlisis detallado a nivel de datos? Las auditorias de proyecto rutinarias necesitan los lineamientos para los resultados de la revisin de diseo?
REsultados
Una vista granular de los puntos dbiles en el diseo del sistema para fomentar una mejor compartamentalizacin Concientizacin a nivel organizacin de los proyectos frente a las expectativas de seguridad base para la arquitectura Comparacin entre proyectos por eficiencia y progreso hacia la mitigacin de fallas conocidas
MtRicas dE xito
>80% de proyectos con los flujos de datos actualizados en los ltimos 6 meses >75% de proyectos pasando por una auditoria de revisin de diseo en los ltimos 6 meses
costos
Trabajo adicional de proyectos para el mantenimiento de los diagramas de flujo Trabajo adicional de la organizacin por retrasos de proyectos causados por fallas en las auditorias de revisiones de diseo
PERsonal
Desarrolladores (2 das/ao) Arquitectos (1 da/ao) Administradores (1-2 das/ao) Dueos de Negocio (1-2 das/ao) Auditores de Seguridad (2-3 das/ao)
nivElEs RElacionados
Arquitectura de seguridad - 3 Anlisis de cdigo - 3
Revisin de cdigo
CR objetivos
CR
CR
Encontrar oportunamente vulnerabilidades bsicas a nivel de cdigo y otros problemas de seguridad de alto riesgo
Exigir un proceso de revisin de cdigo integral para descubrir riesgos especficos de la aplicacin y a nivel del lenguaje A. Personalizar el anlisis de cdigo para las preocupaciones especficas de la aplicacin B. Establecer puntos de control para la liberacin de las revisiones de cdigo La mayora de los equipos de proyecto utilizan automatizacin para comprobar cdigo contra los estndares de programacin especficos de la aplicacin? Las auditorias de rutina del proyecto necesitan lineamientos para los resultados de la revisin de cdigo antes de la liberacin? Incrementar la confianza en la precisin y aplicabilidad de los resultados del anlisis de cdigo Lineamientos organizacionales para las expectativas de programacin segura Equipos de proyecto con un objetivo a alcanzar para juzgar la seguridad a nivel de cdigo
actividades
A. Crear listas de verificacin para la revisin de los requisitos de seguridad conocidos B. Realizar revisiones en cdigo de puntos de alto riesgo
A. Utilizar herramientas automatizadas de anlisis de cdigo B. Integrar anlisis de cdigo en el proceso de desarrollo
evaLuacin
La mayora de los equipos de proyecto tienen listas de verificacin basadas en los problemas ms comunes? Los equipos de proyecto Generalmente realizan revisiones de algunos de los mayores riesgos en el cdigo?
Pueden la mayora de los equipos de proyecto acceder a herramientas automatizadas de anlisis de cdigo para encontrar problemas de seguridad? La mayora de los interesados requieren y revisan constantemente los resultados de las revisiones de cdigo?
ResuLtados
Inspeccin de las vulnerabilidades de cdigo comunes que conducen al un probable descubrimiento o ataque Revisin ligera de errores de codificacin que conducen a encontrar impactos severos a la seguridad Diligencia bsica a nivel de cdigo para el aseguramiento de la seguridad
El desarrollo permite consistentemente auto verificar las vulnerabilidades de seguridad a nivel de cdigo Resultados de anlisis de rutina para compilar datos histricos de hbitos de programacin segura por equipo Los interesados estn consientes de las vulnerabilidades no mitigadas para apoyar un mejor anlisis de negociacin
62
Revisin de cdigo
Encontrar oportunamente vulnerabilidades bsicas a nivel de cdigo y otros problemas de seguridad de alto riesgo
CR
actividades
A . Crear listas de verificacin para la revisin de los requisitos de seguridad conocidos
De los requisitos de seguridad para un proyecto, deriva una ligera lista de verificacin para una revisin de cdigo de seguridad. Estas pueden ser comprobaciones especficas a las inquietudes de seguridad alrededor de los requisitos funcionales o comprobar por las buenas prcticas de codificacin segura basadas en la implementacin del lenguaje, plataforma, tipo tpico de tecnologa, etc. Debido a estas variaciones, a menudo se necesitan un conjunto de listas de verificacin para cubrir los diferentes tipos de desarrollo de software en la organizacin. Independientemente, de que haya sido creada a partir de los recursos disponibles pblicamente o comprados, los tcnicos involucrados en el desarrollo como lo son gerentes de desarrollo, arquitectos, desarrolladores y auditores de seguridad deben de revisar las listas de verificacin por eficiencia y viabilidad. Esto es importante para mantener las listas cortas y simples, teniendo como objetivo el captar problemas de alta prioridad que son sencillos de encontrar en el cdigo ya sea manualmente o con herramientas simples de bsqueda. Las herramientas de anlisis de cdigo se deben usar tambin para lograr este mismo fin, pero puede tambin ser personalizada para reducir el conjunto general de verificaciones de seguridad a uno pequeo, un valioso conjunto con el fin de hacer el proceso de exploracin y revisin eficiente. Los desarrolladores deben de ser informados brevemente sobre las metas de las listas de verificacin aplicables a su funcin de trabajo.
Evaluacin
La mayora de los equipos de proyecto tienen listas de verificacin basadas en los problemas ms comunes? Los equipos de proyecto Generalmente realizan revisiones de algunos de los mayores riesgos en el cdigo?
REsultados
Inspeccin de las vulnerabilidades de cdigo comunes que conducen al un probable descubrimiento o ataque Revisin ligera de errores de codificacin que conducen a encontrar impactos severos a la seguridad Diligencia bsica a nivel de cdigo para el aseguramiento de la seguridad
MtRicas dE xito
>80% de los equipos de proyecto informados en las listas de verificacin de las revisiones de cdigo en los ltimos 6 meses. >50% de los equipos de proyecto ejecutan revisiones en cdigo de alto riesgo en los ltimos 6 meses. >3.0 Likert sobre la utilidad de las listas de verificacin de las revisiones de cdigo reportadas por los desarrolladores.
costos
Expansiones o licencias de listas de verificaciones de revisiones de cdigo Esfuerzo adicional de los proyectos para actividades de revisiones de cdigo en cdigo de alto riesgo
PERsonal
Desarrolladores (2-4 das/ao) Arquitectos (1-2 das/ao) Administradores (1-2 das/ao) Dueos de Negocio (1 da/ao)
nivElEs RElacionados
Requisitos de seguridad - 1
CR
Revisin de cdigo
Evaluacin
Pueden la mayora de los equipos de proyecto acceder a herramientas automatizadas de anlisis de cdigo para encontrar problemas de seguridad? La mayora de los interesados requieren y revisan constantemente los resultados de las revisiones de cdigo?
actividades
A . Utilizar herramientas automatizadas de anlisis de cdigo
Muchas vulnerabilidades de seguridad a nivel de cdigo son complejas de entender y requieren una inspeccin cuidadosa para descubrirlas. Sin embargo, hay muchas soluciones de automatizacin tiles disponibles para automticamente analizar cdigo por errores y vulnerabilidades. Existen productos comerciales y de cdigo abierto disponibles para cubrir lenguajes de programacin y marcos de trabajo populares. La seleccin de una solucin apropiada de anlisis de cdigo est basada en varios factores incluyendo una profunda y precisa inspeccin, usabilidad del producto, modelo de uso, expansin y caractersticas de personalizacin, aplicabilidad a la arquitectura de la organizacin, la pila de tecnologas, etc. Utilice las aportaciones del equipo experto de seguridad asi como las de los desarrolladores y gerentes de desarrollo en el proceso de seleccin, y revise los resultados generales con los involucrados en el desarrollo.
REsultados
El desarrollo permite consistentemente auto verificar las vulnerabilidades de seguridad a nivel de cdigo Resultados de anlisis de rutina para compilar datos histricos de hbitos de programacin segura por equipo Los interesados estn consientes de las vulnerabilidades no mitigadas para apoyar un mejor anlisis de negociacin
MtRicas dE xito
>50% de los proyectos con revisiones de cdigo y aprobacin de los involucrados en el desarrollo en los ltimos 6 meses >80% de los proyectos con acceso a resultados de revisiones de cdigo automticas en el ltimo mes
costos
Investigacin y seleccin de soluciones de anlisis de cdigo Costo inicial y mantenimiento de la integracin de la automatizacin Esfuerzo adicional del proyecto para revisiones de automatizadas de cdigo y mitigacin de vulnerabilidades sAMM / lAs prcticAs de seguridAd - V1.0 64
PERsonal
Desarrolladores (1-2 das/ao) Arquitectos (1 da/ao) Administradores (1-2 das/ao) Auditores de Seguridad (3-4 das/ao)
nivElEs RElacionados
Revisin de cdigo
Exigir un proceso de revisin de cdigo integral para descubrir riesgos especficos de la aplicacin y a nivel del lenguaje
CR
actividades
A . Personalizar el anlisis de cdigo para las preocupaciones especficas de la aplicacin
Las herramientas de exploracin de cdigo son impulsadas por una base de conocimiento de reglas para verificar el cdigo basndose en el API (Interfaz de programacin del lenguaje) y libreras comnmente usadas, pero tienen la limitada habilidad de entender un API personalizada y diseada para aplicar verificaciones anlogas. Sin embargo, a travs de la personalizacin, una exploracin de cdigo puede ser un poderoso y genrico motor de anlisis para encontrar problemas de seguridad de la organizacin especficos al proyecto. Mientras los detalles pueden variar entre herramientas en trminos de facilidad y poder de anlisis personalizados, las exploraciones de cdigo personalizadas generalmente involucran verificaciones especficas para ser ejecutadas en APIs especficas y sitios con llamadas a funcin. Comprobaciones pueden incluir anlisis para verificar la adherencia a estndares de codificacin internos, los datos contaminados y sin comprobar que pasan a interfaces personalizadas, seguimiento y verificacin de manejo de informacin sensible, uso correcto de una API interna, etc. Las verificaciones de uso de bases de cdigo compartidas son un lugar efectivo para comenzar las exploraciones personalizadas, ya que la creacin de los verificadores puede ser utilizada a travs de mltiples proyectos. Para personalizar una herramienta para un cdigo base, un auditor de seguridad puede inspeccionar ambos, cdigos y diseos de alto nivel para identificar candidatos a verificadores para discutir con el equipo de desarrollo y los involucrados en la implementacin.
Evaluacin
La mayora de los equipos de proyecto utilizan automatizacin para comprobar cdigo contra los estndares de programacin especficos de la aplicacin? Las auditorias de rutina del proyecto necesitan lineamientos para los resultados de la revisin de cdigo antes de la liberacin?
REsultados
Incrementar la confianza en la precisin y aplicabilidad de los resultados del anlisis de cdigo Lineamientos organizacionales para las expectativas de programacin segura Equipos de proyecto con un objetivo a alcanzar para juzgar la seguridad a nivel de cdigo
MtRicas dE xito
>50% de los proyectos usando personalizaciones de anlisis de cdigo >75% de los proyectos pasando por una auditoria de revisin de cdigo en los ltimos 6 meses
costos
Expansin y mantenimiento de comprobaciones personalizadas de revisin de cdigo Esfuerzo adicional de los proyectos para la auditoria de revisin de cdigo Esfuerzo adicional por retrasos de proyectos causados por auditorias de revisin de cdigo fallidas
PERsonal
Arquitectos (1 da/ao) Desarrolladores (1 da/ao) Auditores de Seguridad (1-2 das/ao) Dueos de Negocio (1 da/ao) Administradores (1 da/ao)
nivElEs RElacionados
Poltica y cumplimiento - 2 Arquitectura de seguridad - 3
Pruebas de seguridad
ST objetivos
ST
ST
Establecer el proceso para realizar pruebas de seguridad basndose en la implementacin y los requisitos del software
Exigir pruebas de seguridad especficas a la aplicacin para asegurarse que los lineamientos de seguridad estn implementados antes de la publicacin A. Emplear automatizacin de pruebas de seguridad especficas de la aplicacin B. Establecer puntos de control para la liberacin de las revisiones de cdigo Los casos de seguridad son generados principalmente para la lgica especifica de la aplicacin? Las auditorias rutinarias requieren un estndar mnimo de resultados de las pruebas de seguridad?
actividades
A. Deducir casos de prueba desde los requisitos de seguridad conocidos B. Conducir pruebas de intrusin en cada publicacin del software
A. Utilizar herramientas automatizadas para pruebas de seguridad B. Integrar pruebas de seguridad en el proceso de desarrollo
evaLuacin
Estn los proyectos especificando pruebas de seguridad basndose en los requisitos? La mayora de los proyectos realizan pruebas de intrusin antes de la liberacin? Estn los interesados consientes del estado de las pruebas de seguridad antes de la liberacin? Verificacin independiente de los mecanismos esperados de seguridad alrededor de funciones crticas para el negocio Alto nivel de diligencia debido a pruebas de seguridad. Crecimiento de un conjunto de pruebas de seguridad para cada proyecto de seguridad
Estn los proyectos usando automatizacin para evaluar los casos de prueba de seguridad? La mayora de los proyectos siguen un proceso consistente para evaluar y reportar las pruebas de seguridad a los involucrados?
ResuLtados
Ms profunda y ms consistente verificacin de funcionalidad de seguridad del software Equipo de desarrollo posibilitado para autoevaluar y corregir problemas antes de la liberacin Interesados mejor informados de vulnerabilidades abiertas cuando se hace la toma de decisin de aceptacin de riesgos
Lineamentos a nivel organizacin para un desempeo esperado de las aplicaciones contra los ataques Conjuntos de pruebas de seguridad personalizados para mejorar la precisin de los anlisis automatizados Equipos de proyecto consientes de las metas objetivo para la resistencia contra ataques
66
Pruebas de seguridad
Establecer el proceso para realizar pruebas de seguridad basndose en la implementacin y los requisitos del software
ST
actividades
A . Deducir casos de prueba desde los requisitos de seguridad conocidos
De los requisitos de seguridad conocidos para un proyecto, identificar un conjunto de casos de prueba para comprobar la correcta funcionalidad del software. Tpicamente, estos casos de prueba son obtenidos de los potenciales problemas de seguridad alrededor de los requisitos funcionales y la lgica de negocio del sistema. Pero pueden ser tambin incluidas pruebas genricas para vulnerabilidades comunes relacionadas a la implementacin del lenguaje o las tecnologas existentes. Con frecuencia, es ms efectivo usar el tiempo de los equipos de proyecto para construir casos de prueba especficos a la aplicacin y utilizar los recursos disponibles pblicamente o comprar bases de conocimiento para seleccionar los casos de prueba generales aplicables para la seguridad. Aunque no se exige, las herramientas automatizadas de prueba de seguridad pueden ser utilizadas tambin para cubrir los casos de prueba de seguridad generales. Este planteamiento de casos de prueba debe de ocurrir durante las fases de levantamiento de requisitos y/o diseo, pero deben de ocurrir antes de las pruebas finales, antes de la liberacin. Los casos de prueba candidatos, deben de ser revisados por aplicabilidad, eficacia, viabilidad y relevancia en el desarrollo, seguridad y equipo de aseguramiento de calidad.
Evaluacin
Estn los proyectos especificando pruebas de seguridad basndose en los requisitos? La mayora de los proyectos realizan pruebas de intrusin antes de la liberacin? Estn los interesados consientes del estado de las pruebas de seguridad antes de la liberacin?
REsultados
Verificacin independiente de los mecanismos esperados de seguridad alrededor de funciones crticas para el negocio Alto nivel de diligencia debido a pruebas de seguridad. Crecimiento de un conjunto de pruebas de seguridad para cada proyecto de seguridad
MtRicas dE xito
>50% de los proyectos especificando casos de pruebas de seguridad en los ltimos 12 meses >50% de los interesados informados en el estatus del proyecto acerca de las pruebas de seguridad en los ltimos 6 meses
costos
Expansin o licencia de casos de prueba de seguridad Esfuerzo adicional de los proyectos para el mantenimiento y evaluacin de casos de prueba de seguridad
PERsonal
Testadores de Calidad (1-2 das/ao) Auditor de seguridad (1-2 das/ao) Desarrolladores (1 da/ao) Arquitectos (1 da/ao) Dueos de Negocio (1 da/ao)
nivElEs RElacionados
Requisitos de seguridad - 1
ST
Pruebas de seguridad
Evaluacin
Estn los proyectos usando automatizacin para evaluar los casos de prueba de seguridad? La mayora de los proyectos siguen un proceso consistente para evaluar y reportar las pruebas de seguridad a los involucrados?
actividades
A . Utilizar herramientas automatizadas para pruebas de seguridad
Con el fin de probar contra los problemas de seguridad, un potencialmente gran nmero de casos de entradas deben de ser comprobados contra cada interfaz del software, lo cual puede hacer muy difcil hacer pruebas de seguridad efectivas usando implementacin manual de casos de prueba. Por lo tanto, se deben usar herramientas automatizadas de pruebas de seguridad para probar automticamente el software, resultando en pruebas de seguridad ms eficientes y con resultados de mayor calidad. Productos comerciales y de cdigo abierto estn disponibles y deben ser revisados para su adecuacin a la organizacin. La seleccin de una herramienta adecuada est basada en varios factores incluyendo robustez y precisin de la construccin de casos de prueba, eficacia en la prueba de los tipos de arquitectura importantes para la organizacin, personalizacin para cambiar o agregar casos de prueba, calidad y usabilidad de vulnerabilidades encontradas para el desarrollo de la organizacin, etc. Utilizar aportaciones del equipo tcnico experto en seguridad, as como del equipo de desarrollo y de aseguramiento de la calidad en el procesos de selecciona y revisar los resultados generales con los involucrados en el desarrollo de software.
REsultados
Ms profunda y ms consistente verificacin de funcionalidad de seguridad del software Equipo de desarrollo posibilitado para autoevaluar y corregir problemas antes de la liberacin Interesados mejor informados de vulnerabilidades abiertas cuando se hace la toma de decisin de aceptacin de riesgos
MtRicas dE xito
>50% de los proyectos con pruebas de seguridad y aprobacin de los interesados en los ltimos 6 meses >80% de los proyectos con acceso a resultados de pruebas de seguridad automatizadas en el ultimo mes
costos
Investigacin y seleccin de soluciones de pruebas de seguridad automatizadas Costo inicial y mantenimiento de la integracin de la automatizacin Esfuerzo adicional de los proyectos para pruebas de seguridad automatizadas y mitigacin sAMM / lAs prcticAs de seguridAd - V1.0 68
PERsonal
Desarrolladores (1 da/ao) Arquitectos (1 da/ao) Administradores (1-2 das/ao) Auditores de Seguridad (2 das/ao) Testadores de Calidad (3-4 das/ao)
nivElEs RElacionados
Pruebas de seguridad
Exigir pruebas de seguridad especficas a la aplicacin para asegurarse que los lineamientos de seguridad estn implementados antes de la publicacin
ST
actividades
A . Emplear automatizacin de pruebas de seguridad especficas de la aplicacin
Ya sea por la personalizacin de las herramientas de pruebas de seguridad o las mejoras en la ejecucin de herramientas de casos de prueba genricos, los equipos de proyecto deben iterar formalmente a travs de requisitos de seguridad y construir un conjunto de revisores automticos para probar la seguridad de la lgica de negocio implementada. Adicionalmente, muchas herramientas de pruebas de seguridad automatizadas pueden ser extremadamente mejoradas en precisin y profundidad de la cobertura s son personalizables, para que entiendan ms a detalle las interfaces especficas de software en el proyecto que se est probando. Adems, los requisitos especficos a la organizacin sobre cumplimiento o estndares tcnicos puedan ser codificaos como una batera central de pruebas de cumplimiento para hacer una auditoria de coleccin de datos y administracin de proyecto visiblemente ms simple. Los equipos de proyecto deben de enfocarse en la expansin granular de casos de prueba de seguridad basndose en la funcionalidad del negocio del software, y un equipo a nivel organizacin dirigido por un auditor de seguridad debe enfocarse en la especificacin de casos de prueba automatizados para el cumplimiento de regulaciones y estndares internos.
Evaluacin
Los casos de seguridad son generados principalmente para la lgica especifica de la aplicacin? Las auditorias rutinarias requieren un estndar mnimo de resultados de las pruebas de seguridad?
REsultados
Lineamentos a nivel organizacin para un desempeo esperado de las aplicaciones contra los ataques Conjuntos de pruebas de seguridad personalizados para mejorar la precisin de los anlisis automatizados Equipos de proyecto consientes de las metas objetivo para la resistencia contra ataques
MtRicas dE xito
>50% de los proyectos usando pruebas de seguridad personalizadas >75% de los proyectos pasando por todas las pruebas de seguridad en los ltimos 6 meses
costos
Expansin y mantenimiento de personalizacin de automatizacin de pruebas de seguridad Esfuerzo adicional de los proyectos en curso para los procesos de auditoras de pruebas de seguridad Esfuerzo adicional por retrasos de proyecto debido a fallas en las auditorias de pruebas de seguridad sAMM / lAs prcticAs de seguridAd - V1.0 69
PERsonal
Arquitectos (1 da/ao) Desarrolladores (1 da/ao) Auditores de Seguridad (1-2 das/ao) Testadores de Calidad (1-2 das/ao) Dueos de Negocio (1 da/ao) Administradores (1 da/ao)
nivElEs RElacionados
Poltica y cumplimiento - 2 Arquitectura de seguridad - 3
Administracin de vulnerabilidades
VM objetivos
VM
VM
Entender el plan de alto nivel para responder a los reportes o incidentes de vulnerabilidades
Elaborar expectativas para prcticas de respuesta para mejorar la consistencia y las comunicaciones
Mejorar en anlisis y la coleccin de datos en el proceso de respuesta para retroalimentacin en la planeacin proactiva A. Conducir anlisis de causa raz para incidentes B. Recolectar mtricas por incidente
actividades
A. Identificar un punto de contacto para problemas de seguridad B. Crear equipo(s) informal(es) de respuesta de seguridad
A. Establecer un proceso consistente de respuesta a incidentes B. Adoptar un proceso de divulgacin de problemas de seguridad Usa la organizacin un proceso consistente para reporte y manejo de incidentes? Conocen la mayora de los interesados en el proyecto las publicaciones de seguridad relevantes y relacionadas con sus proyectos de sistemas?
evaLuacin
Tienen la mayora de los proyectos un punto de contacto para problemas de seguridad? Tienen su organizacin un equipo asignado para respuestas a incidentes de seguridad? Conocen la mayora de los equipos de proyecto su(s) punto(s) de contacto de seguridad y equipo(s) de respuesta? Procesos sencillos establecidos para manejar vulnerabilidades o incidentes de alta prioridad Marcos de trabajo para notificaciones a los interesados y reporte de eventos con impacto a la seguridad. Seguimiento proactivo de alto nivel para el manejo de problemas de seguridad.
Son inspeccionados la mayora de los incidentes para encontrar la causa raz y generar ms recomendaciones? La mayora de los proyectos obtienen y reportan consistentemente datos y mtricas relacionadas con incidentes?
ResuLtados
Plan de comunicacin para manejar reportes de vulnerabilidades de terceros Proceso claro para liberar parches de seguridad a los operadores de los programas Proceso formal para dar seguimiento, manejar y comunicar internamente los incidentes
Retroalimentacin detallada para la mejora organizacional despus de cada incidente Estimacin inicial del costo de vulnerabilidades y su explotacin Los interesados podrn tomar mejores decisiones basados en tendencias histricas de incidentes
Administracin de vulnerabilidades
VM
Entender el plan de alto nivel para responder a los reportes o incidentes de vulnerabilidades
actividades
A . Identificar un punto de contacto para problemas de seguridad
Para cada divisin dentro de la organizacin o para cada proyecto, establecer un punto de contacto que sirva como un concentrador de comunicaciones para informacin de seguridad. Mientras generalmente esta responsabilidad no toma mucho tiempo de un individuo, el propsito de tener un punto de contacto predeterminado es para agregar estructura y gobernabilidad para la administracin de vulnerabilidades. Ejemplos de incidentes que pueden causar la utilizacin incluyen la recepcin de un reporte de vulnerabilidades de una entidad externa, la explotacin u otra falla de seguridad de un programa, el descubrimiento interno de vulnerabilidades de alto riesgo, etc. En caso de un evento, el contacto ms cercano entrara como un recurso extra y consejero al proyecto afectado para proveer gua tcnica y reportar a otros involucrados avances en el progreso de mitigacin. El punto de contacto debera ser elegido entre el personal tcnico o administrativo de seguridad con un amplio conocimiento de los proyectos de sistemas de la organizacin. Una lista de estos puntos de contacto de seguridad asignados debera ser mantenida centralmente y actualizada al menos cada seis meses. Adems, anunciar y darle publicidad a esta lista le permite al personal de la organizacin pedir ayuda y trabajar directamente uno con el otro en problemas de seguridad.
Evaluacin
Tienen la mayora de los proyectos un punto de contacto para problemas de seguridad? Tienen su organizacin un equipo asignado para respuestas a incidentes de seguridad? Conocen la mayora de los equipos de proyecto su(s) punto(s) de contacto de seguridad y equipo(s) de respuesta?
REsultados
Procesos sencillos establecidos para manejar vulnerabilidades o incidentes de alta prioridad Marcos de trabajo para notificaciones a los interesados y reporte de eventos con impacto a la seguridad. Seguimiento proactivo de alto nivel para el manejo de problemas de seguridad.
MtRicas dE xito
>50% de la organizacin informada sobre el punto de contacto de seguridad ms cercano en los ltimos 6 meses. >1 junta del equipo de respuesta de seguridad y puntos de contacto en los ltimos 12 meses
costos
Esfuerzo adicional variable y continuo del personal que conforma los roles de puntos de contacto de seguridad Identificacin del equipo apropiado de respuesta de seguridad
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 71 Auditores de Seguridad (1 da/ao) Arquitectos (1 da/ao) Administradores (1 da/ao) Dueos de Negocio (1 da/ao)
nivElEs RElacionados
Educacin y orientacin - 2 Estrategia y mtricas - 3
VM
Administracin de vulnerabilidades
Elaborar expectativas para prcticas de respuesta para mejorar la consistencia y las comunicaciones
Evaluacin
Usa la organizacin un proceso consistente para reporte y manejo de incidentes? Conocen la mayora de los interesados en el proyecto las publicaciones de seguridad relevantes y relacionadas con sus proyectos de sistemas?
actividades
A . Establecer un proceso consistente de respuesta a incidentes
Extendindose desde el equipo informal de respuesta de seguridad, documente explcitamente el proceso de respuesta a incidentes de la organizacin, as como los procedimientos que se esperan que los miembros del equipo sigan. Adems, cada miembro del equipo de respuesta de seguridad debe ser entrenado en este material, al menos una vez al ao. Hay varios principios para un buen proceso de respuesta a incidentes e incluyen una priorizacin inicial para evitar dao adicional, administracin de los cambios y aplicacin de actualizaciones, administrar el personal de proyectos y a otros involucrados en el incidente, recoleccin y preservacin de evidencia forense, limitar la comunicacin del incidente a los interesados, reportes bien definidos a los interesados y/o rboles de comunicacin, etc. Con los equipos de desarrollo, los encargados de seguridad deberan trabajar juntos para conducir el anlisis tcnico para verificar hechos y suposiciones sobre cada reporte de incidente o vulnerabilidad. De la misma forma, cuando los equipos de proyecto detectan un incidente o vulnerabilidad de alto riesgo, deberan seguir un proceso interno que los ponga en contacto con algn miembro del equipo de respuesta de seguridad.
REsultados
Plan de comunicacin para manejar reportes de vulnerabilidades de terceros Proceso claro para liberar parches de seguridad a los operadores de los programas Proceso formal para dar seguimiento, manejar y comunicar internamente los incidentes
MtRicas dE xito
>80% de los equipos de proyectos actualizados con el proceso de respuesta a incidentes en los ltimos 6 meses >80% de los interesados actualizados sobre la divulgacin de problemas de seguridad en los ltimos 6 meses
costos
Esfuerzo adicional de las organizacionales derivados del proceso de respuesta a incidentes
PERsonal
Auditores de Seguridad (3-5 das/ao) Administradores (1-2 das/ao) Dueos de Negocio (1-2 das/ao) Soporte/Operadores (1-2 das/ao)
nivElEs RElacionados
Administracin de vulnerabilidades
Mejorar en anlisis y la coleccin de datos en el proceso de respuesta para retroalimentacin en la planeacin proactiva
VM
actividades
A . Conducir anlisis de causa raz para incidentes
Aunque potencialmente consume mucho tiempo, el proceso de respuesta a incidentes debera ser aumentado para incluir anlisis adicionales para identificar las fallas de seguridad claves. Estas causas raz pueden ser problemas tcnicos como vulnerabilidades a nivel de cdigo, errores de configuracin, etc. o pueden ser problemas con las personas/procesos como ingeniera social, fallas al seguir los procesos, etc. Una vez que se identifica una causa raz para un incidente, debe ser usada como una herramienta para encontrar otras debilidades potenciales en la organizacin donde un incidente similar podra haber ocurrido. Para cada debilidad adicional identificada se deben comunicar recomendaciones adicionales para mitigaciones proactivas como parte del cierre del esfuerzo del incidente original.Todas las recomendaciones basadas en el anlisis de causa raz deben ser revisados por la administracin y los interesados relevantes del negocio ya sea para calendarizar actividades de mitigacin o tomar nota de la aceptacin de los riesgos.
Evaluacin
Son inspeccionados la mayora de los incidentes para encontrar la causa raz y generar ms recomendaciones? La mayora de los proyectos obtienen y reportan consistentemente datos y mtricas relacionadas con incidentes?
REsultados
Retroalimentacin detallada para la mejora organizacional despus de cada incidente Estimacin inicial del costo de vulnerabilidades y su explotacin Los interesados podrn tomar mejores decisiones basados en tendencias histricas de incidentes
MtRicas dE xito
>80% de incidentes documentados con causas raz y recomendaciones adicionales en los ltimos 6 meses >80% de incidentes incluidos en las mtricas en los ltimos 6 meses
costos
Esfuerzo adicional de organizaciones para conducir investigaciones ms profundas y anlisis de incidentes Costos regulares organizacionales de recoleccin y revisin de mtricas de incidentes
PERsonal
Auditores de Seguridad (3 das/ao) Administradores (2 das/ao) Dueos de Negocio (2 das/ao)
nivElEs RElacionados
Estrategia y mtricas - 3
EH objetivos
EH
EH
Validar la salud de las aplicaciones y el estado de los ambientes operativos contra las mejores prcticas conocidas . A. Identificar e implementar herramientas de proteccin relevantes para las operaciones B. Expandir el programa de auditora hacia la configuracin de ambientes Los interesados estn enterados de opciones de herramientas adicionales para proteger sistemas mientras se ejecutan las operaciones? Las auditoras de rutina verifican la salud de los ambientes base de la mayora de los proyectos? Ambiente operativo reforzado con verificaciones de seguridad por capas Metas establecidas y medidas para el mantenimiento y desempeo operativo Reduccin de la probabilidad de un ataque exitoso por medio de fallas en dependencias externas
actividades
A. Mantener una especificacin de ambiente operativo B. Identificar e instalar actualizaciones y parches crticos de seguridad
A. Establecer un proceso rutinario de administracin de parches B. Monitoreo del estado de configuracin bsico del ambiente
evaLuacin
Documentan la mayora de los proyectos algunos requisitos para el ambiente operativo? Revisan la mayora de los proyectos actualizaciones de seguridad para componentes de sistemas de terceros?
Se usa un proceso consistente para aplicar actualizaciones y parches a dependencias crticas? Utilizan la mayora de los proyectos la automatizacin para verificar la salud de aplicaciones y ambientes?
ResuLtados
Claro entendimiento de expectativas operativas en el equipo de desarrollo Riesgos de alta prioridad de la infraestructura mitigados en un periodo de tiempo bien establecido Operadores de sistemas con un plan de alto nivel para mantenimiento de seguridad crtico para la infraestructura
Verificacin granular de caractersticas de seguridad de sistemas en las operaciones Expectativas formales de tiempos para mitigacin de riesgo en infraestructura Interesados enterados consistentemente del estado de las operaciones actuales de proyectos de sistemas
EH
actividades
A . Mantener una especificacin de ambiente operativo
Para cada proyecto, se debe crear y mantener una definicin concreta de las plataformas operativas esperadas. Dependiendo de la organizacin, esta especificacin debe ser creada en conjunto con el personal de desarrollo, los involucrados en el desarrollo, grupos de soporte y operaciones, etc. Comience esta especificacin capturando todos los detalles que deben ser ciertos sobre el ambiente operativo basndose en la funcin de negocio del sistema. Estos pueden incluir factores como la arquitectura del procesador, versiones de sistema operativo, sistemas requeridos, sistemas que generan conflictos, etc. Adems, se deben registrar todas las opciones conocidas configurables por los usuarios y operadores sobre el ambiente operativo que afectan la forma en la que el sistema se va a comportar. Adems, identifique cualquier suposicin relevante sobre el ambiente operativo que se haya hecho en el diseo e implementacin del proyecto y capture todas esas suposiciones en la especificacin. Esta especificacin debe ser revisada y actualizada por lo menos cada 6 meses para proyectos activos o ms frecuentemente si se hacen cambios al diseo del sistema o al ambiente operativo esperado.
Evaluacin
Documentan la mayora de los proyectos algunos requisitos para el ambiente operativo? Revisan la mayora de los proyectos actualizaciones de seguridad para componentes de sistemas de terceros?
REsultados
Claro entendimiento de expectativas operativas en el equipo de desarrollo Riesgos de alta prioridad de la infraestructura mitigados en un periodo de tiempo bien establecido Operadores de sistemas con un plan de alto nivel para mantenimiento de seguridad crtico para la infraestructura
MtRicas dE xito
>50% de los proyectos con especificaciones actualizadas de sus ambientes en los ltimos 6 meses >50% de proyectos con una lista actualizadas de parches de seguridad crticos relevantes en los ltimos 6 meses
costos
Esfuerzo adicional del proyecto para la construccin y mantenimiento de especificaciones de ambientes operativos Esfuerzo adicional del proyecto para el monitoreo e instalacin de actualizaciones crticas de seguridad
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 75 Desarrolladores (1-2 da/ao) Arquitectos (1-2 da/ao) Administradores (2-4 da/ao) Soporte/Operadores (3-4 das/ao)
nivElEs RElacionados
Habilitacin operativa - 2
EH
Evaluacin
Se usa un proceso consistente para aplicar actualizaciones y parches a dependencias crticas? Utilizan la mayora de los proyectos la automatizacin para verificar la salud de aplicaciones y ambientes?
actividades
A . Establecer un proceso rutinario de administracin de parches
Movindose a un proceso ms formal que la aplicacin personalizada de actualizaciones y parches de seguridad, de debe crear un proceso continuo in la organizacin para aplicar actualizaciones consistentemente a las dependencias de sistemas en los ambientes operativos. En la forma ms bsica, el proceso debe apuntar a ofrecer una garanta por un lapso de tiempo entre la liberacin y la aplicacin de actualizaciones y parches. Para hacer este proceso eficiente, las organizaciones normalmente aceptan una alta latencia para actualizaciones de baja prioridad, por ejemplo un mximo de 2 das para parches crticos hasta un mximo de 30 das para parches de baja prioridad. Esta actividad debe ser conducida por personal de soporte y operaciones, pero las juntas de rutina con los equipos de desarrollo tambin deben realizarse para mantener el proyecto al da sobre cambios en el pasado y actualizaciones calendarizadas. Adems el personal de desarrollo debe compartir una lista de componentes de terceros de los cuales el proyecto depende internamente, de manera que el personal de soporte y operaciones pueda monitorear estos tambin para indicarles a los equipos de desarrollo cuando una actualizacin sea requerida.
REsultados
Verificacin granular de caractersticas de seguridad de sistemas en las operaciones Expectativas formales de tiempos para mitigacin de riesgo en infraestructura Interesados enterados consistentemente del estado de las operaciones actuales de proyectos de sistemas
MtRicas dE xito
>80% de equipos de proyecto informados del proceso de administracin de parches en los ltimos 12 meses >80% de interesados informados del estado actual de parches en los ltimos 6 meses
costos
Esfuerzo adicional de la organizacin para administracin de parches y monitoreo Construccin o licencias de herramientas de monitoreo de infraestructura
PERsonal
Arquitectos (1-2 das/ao) Desarrolladores (1-2 das/ao) Dueos de Negocio (1-2 das/ao) Administradores (1-2 das/ao) Soporte/Operadores (3-4 das/ao)
nivElEs RElacionados
EH
actividades
A . Identificar e implementar herramientas de proteccin relevantes para las operaciones
Para construir un mejor caso de seguridad de sistemas en su ambiente operativo, se puede usar otras herramientas para mejorar la postura de seguridad del sistema en conjunto. Los ambientes operativos pueden variar dramticamente, asi que debe considerarse una tecnologa de proteccin apropiada en el contexto del proyecto. Las herramientas de proteccin comnmente usadas incluyen cortafuegos (firewalls) de aplicaciones Web, pasarelas (gateways) de seguridad de XML para servicios Web, paquetes antimodificacin y de confusin (obfuscation) para sistemas de cliente-servidor o para dispositivos, sistemas de deteccin/prevencin de intrusin a redes para infraestructura antigua (legacy), herramientas forenses de conjuntos de registros, herramientas de verificacin de integridad de servidores, etc. Basados en el conocimiento del proyecto y la organizacin, los tcnicos involucrados deberan trabajar con el personal de suporte y operaciones para identificar y recomendar herramientas de proteccin a los interesados del negocio para algunas operaciones seleccionadas. Si se considera una inversin valiosa en trminos de reduccin de riesgo contra el costo de implementacin, los interesados deberan acordar planes para un piloto, instalacin generalizada y mantenimiento continuo.
Evaluacin
Los interesados estn enterados de opciones de herramientas adicionales para proteger sistemas mientras se ejecutan las operaciones? Las auditoras de rutina verifican la salud de los ambientes base de la mayora de los proyectos?
REsultados
Ambiente operativo reforzado con verificaciones de seguridad por capas Metas establecidas y medidas para el mantenimiento y desempeo operativo Reduccin de la probabilidad de un ataque exitoso por medio de fallas en dependencias externas
MtRicas dE xito
>80% de los interesados informados de las herramientas relevantes de proteccin de las operaciones en los ltimos 6 meses >75% de los proyectos pasaron las auditoras de infraestructura en los ltimos 6 meses
costos
Investigacin y seleccin de soluciones de proteccin de operaciones Construccin o licencias de herramientas de proteccin para operaciones Esfuerzo adicional de las operaciones de mantenimiento de herramientas de proteccin Esfuerzo adicional del proyecto de auditoras de infraestructura
PERsonal
Dueos de Negocio (1 da/ao) Administradores (1-2 das/ao) Soporte/Operadores (3-4 das)
nivElEs RElacionados
Poltica y cumplimiento - 2
Habilitacin operativa
OE objetivos
OE
OE
Habilitar las comunicaciones entre los equipos de desarrollo y los operadores para datos crticos relevantes a seguridad A. Capturar la informacin de seguridad crtica para el ambiente de publicacin B. Documentar procedimientos para alertas de aplicacin tpicas Entrega notas de seguridad con la mayora de las distribuciones de sistemas? Estn documentadas las alertas de seguridad y las condiciones de error para la mayora de los proyectos?
Mejorar las expectativas de operaciones seguras y continuas al proveer procedimientos detallados A. Crear procedimientos de administracin de cambio por distribucin B. Mantener guas formales de seguridad de operaciones Estn usando la mayora de los proyectos un proceso de administracin de cambio que es bien entendido? Entregan los equipos de proyecto una gua de seguridad de operaciones con cada liberacin del producto?
Exigir la comunicacin de informacin sobre seguridad y validar que los artefactos estn completos A. Expandir el programa de auditora para informacin operativa B. Realizar firma de cdigo para componentes de aplicaciones Estn la mayora de los proyectos siendo auditados para verificar que cada entrega tenga la informacin de seguridad operativa apropiada? Se realiza rutinariamente la firma de cdigo en los componentes de sistemas usando un proceso consistente? Entendimiento organizacional de las expectativas de documentacin relevantes a seguridad Interesados ms capacitados para tomar decisiones basadas en la retroalimentacin de la instalacin y operaciones Operadores y usuarios capaces de verificar independientemente la integridad de las entregas de sistemas
actividades
evaLuacin
ResuLtados
Mejoras personalizadas a la postura de seguridad de sistemas a travs de un mejor entendimiento de la operacin correcta de sistemas Operadores y usuarios enterados de su rol para asegurar una instalacin segura Comunicaciones mejoradas entre los desarrolladores de sistemas y los usuarios para informacin crtica de seguridad
Gua detallada para cambios relevantes de seguridad entregados con las distribuciones de sistemas Repositorio de informacin actualizado con procedimientos de operacin segura por aplicacin Alineacin de las expectativas de operaciones entre los desarrolladores, operadores y usuarios
Habilitacin operativa
Habilitar las comunicaciones entre los equipos de desarrollo y los operadores para datos crticos relevantes a seguridad
OE
actividades
A . Capturar la informacin de seguridad crtica para el ambiente de publicacin
Con conocimiento de sistemas especficos, los equipos de proyecto deberan identificar cualquier informacin de configuracin y operaciones relevante para la seguridad y comunicarla a los usuarios y operadores. Esto habilita la postura de seguridad de sistemas en los sitios de instalacin para que funcionen de la misma forma en que los diseadores del equipo lo planearon. Este anlisis debe comenzar con los arquitectos y desarrolladores haciendo una lista de caractersticas de seguridad incorporadas en el sistema. De esa lista, la informacin sobre las opciones de configuracin y su impacto en la seguridad debe ser capturada tambin. Para proyectos que ofrecen varios modelos de instalacin diferentes, la informacin de las ramificaciones de seguridad de cada uno debe ser incluida para informar a los usuarios y operadores sobre el impacto de sus elecciones. Sobre todo, la lista debe ser sencilla y con el objetivo de capturar la informacin ms crtica. Una vez creada, debe ser revisada por el equipo de proyecto y los interesados del negocio para obtener consentimiento. Adems, es recomendable revisar esta lista con operadores o usuarios seleccionados para asegurar que la informacin es entendible y realizable. Los equipos de proyecto deberan revisar y actualizar esta informacin con cada entrega, pero deben hacerlo al menos cada 6 meses.
Evaluacin
Entrega notas de seguridad con la mayora de las distribuciones de sistemas? Estn documentadas las alertas de seguridad y las condiciones de error para la mayora de los proyectos?
REsultados
Mejoras personalizadas a la postura de seguridad de sistemas a travs de un mejor entendimiento de la operacin correcta de sistemas Operadores y usuarios enterados de su rol para asegurar una instalacin segura Comunicaciones mejoradas entre los desarrolladores de sistemas y los usuarios para informacin crtica de seguridad
MtRicas dE xito
>50% de proyectos con informacin de publicacin segura actualizada en los ltimos 6 meses >50% de proyectos con procedimientos operativos para eventos actualizados en los ltimos 6 meses
costos
Esfuerzo adicional para el mantenimiento de informacin de seguridad de instalaciones Esfuerzo adicional del proyecto para el mantenimiento de procedimientos operativos crticos
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 79 Desarrolladores (1-2 das/ao) Arquitectos (1-2 das/ao) Administradores (1 da/ao) Soporte/Operadores (1 da/ao)
nivElEs RElacionados
OE
Habilitacin operativa
Evaluacin
Estn usando la mayora de los proyectos un proceso de administracin de cambio que es bien entendido? Entregan los equipos de proyecto una gua de seguridad de operaciones con cada liberacin del producto?
actividades
A . Crear procedimientos de administracin de cambio por distribucin
Para actualizar ms formalmente a los usuarios y operadores sobre cambios relevantes en los sistemas, cada liberacin debe incluir procedimientos de administracin de cambios relevantes para actualizaciones e instalaciones de primera vez. Sobre todo, la meta es capturar los pasos esperados que aseguren que la instalacin ser correcta y no incurrir en tiempo muerto excesivo o en degradacin de la postura de seguridad. Para construir estos procedimientos durante el desarrollo, los equipos de proyecto deben establecer un proceso interno sencillo para capturar los puntos relevantes que impactaran la publicacin del software. Es recomendable tener este proceso en pie desde el inicio del ciclo de desarrollo para que esta informacin pueda ser comprendida tan pronto como sea identificada desde las fases de requisitos, diseo e implementacin. Antes de cada liberacin, el equipo debe revisar la lista completa para verificar su completez y factibilidad. Para algunos proyectos, los procedimientos de cambio extensivos que acompaan a una liberacin pueden especificar algn manejo especial, como la construccin de rutinas de actualizacin automtica para evitar errores durante la instalacin.
REsultados
Gua detallada para cambios relevantes de seguridad entregados con las distribuciones de sistemas Repositorio de informacin actualizado con procedimientos de operacin segura por aplicacin Alineacin de las expectativas de operaciones entre los desarrolladores, operadores y usuarios
MtRicas dE xito
>50% de proyectos con procedimientos actualizados de administracin de cambios en los ltimos 6 meses >80% de interesados informados del estado de las guas de seguridad operativa en los ltimos 6 meses
costos
Esfuerzo adicional de mantenimiento para procedimientos de administracin de cambio Esfuerzo adicional de proyecto para el mantenimiento de guas de seguridad operativa
PERsonal
sAMM / lAs prcticAs de seguridAd - V1.0 80 Desarrolladores (1-2 das/ao) Arquitectos (1-2 das/ao) Administradores (1 da/ao) Soporte/Operadores (1 da/ao)
nivElEs RElacionados
Fortalecimiento del ambiente - 1
Habilitacin operativa
OE
Exigir la comunicacin de informacin sobre seguridad y validar que los artefactos estn completos
actividades
A . Expandir el programa de auditora para informacin operativa
Al realizar auditoras de rutina a nivel proyecto, expanda la revisin para incluir la inspeccin de artefactos relacionados a la habilitacin operativa de la seguridad. Los proyectos deben verificarse para asegurar que tienen guas de seguridad operativa actualizadas y completas relevantes a los detalles del sistema. Estas auditoras deben comenzar hacia el final del ciclo de desarrollo previo a la publicacin, pero deben ser completadas y pasadas antes de que la liberacin pueda llevarse a cabo. Para sistemas antiguos o proyectos inactivos, este tipo de auditora debe realizarse y se debe hacer un esfuerzo nico para cerrar los hallazgos y verificar el cumplimiento de la auditora, despus de lo cual ya no se requerirn auditoras subsecuentes de habilitacin operativa. Los resultados de la auditora deben ser revisados con los interesados del negocio antes de la liberacin. Se debe crear un proceso de excepcin para permitir que los proyectos que no pasen una auditora continen con la publicacin, pero estos proyectos deben tener un plan con fechas concretas para la mitigacin de los hallazgos. Las excepciones deben estar limitadas a no ms del 20% de todos los proyectos activos.
Evaluacin
Estn la mayora de los proyectos siendo auditados para verificar que cada entrega tenga la informacin de seguridad operativa apropiada? Se realiza rutinariamente la firma de cdigo en los componentes de sistemas usando un proceso consistente?
REsultados
Entendimiento organizacional de las expectativas de documentacin relevantes a seguridad Interesados ms capacitados para tomar decisiones basadas en la retroalimentacin de la instalacin y operaciones Operadores y usuarios capaces de verificar independientemente la integridad de las entregas de sistemas
MtRicas dE xito
>80% de los proyectos con guas de seguridad operativa actualizadas en los ltimos 6 meses >80% de los interesados informados sobre opciones y estado de la firma de cdigo en los ltimos 6 meses
costos
Costos de proyecto regulares de las auditoras de guas operativas Costos organizacionales regulares de administracin de credenciales de firma de cdigo Costos de proyecto regulares de identificacin y firma de mdulos de cdigo
PERsonal
Desarrolladores (1 da/ao) Arquitectos (1 da/ao) Administradores (1 da/ao) Auditores de Seguridad (1-2 das/ao)
nivElEs RElacionados
Casos de Estudio
Un recorrido por escenarios de ejemplo
Esta seccin habla sobre los escenarios en los cuales se explica la aplicacin del SAMM en el contexto de un negocio especfico. Usando las plantillas de Plan de implementacin como gua, los casos de estudio explican como una organizacin puede adaptar mejores prcticas y tomar en cuenta los riesgos especficos de la organizacin cuando construye un programa de aseguramiento de software.
VirtualWare
Caso de estudio: Proveedor de software independiente de tamao mediano
peRfiL de negocio
VirtualWare es un lder en su mercado al proporcionar plataformas de aplicacin virtuales integradas para ayudar a las organizaciones a consolidar sus interfaces de aplicacin en un solo ambiente. Su tecnologa es proporcionada como una aplicacin de servidor y un cliente de escritorio construido para mltiples ambientes incluyendo plataformas Microsoft, Apple y Linux. La organizacin es de tamao mediano (200 -1000 empleados) y tiene una presencia global con oficinas en la mayora de los principales pases del mundo.
ambiente
VirtualWare desarrolla su tecnologa de virtualizacin en una mezcla de Java, C++ y la tecnologa .NET de Microsoft. Su tecnologa de virtualizacin de aplicaciones ha sido escrita en C++ y ha tenido varias revisiones en busca de errores y seguridad, pero actualmente no existe un proceso formal para identificar y arreglar errores de seguridad conocidos o desconocidos. VirtualWare ha decidido apoyar su tecnologa Web en Java, aunque los sistemas de soporte (backend) estn construidos usando tecnologas de Microsoft y C++. El equipo de desarrollo enfocado en las nuevas interfaces Web est compuesto principalmente por desarrolladores Java. VirtualWare emplea ms de 300 desarrolladores, con el personal dividido en equipos basado en los proyectos que van a trabajar. Hay 12 equipos con 20-40 desarrolladores por equipo. En cada equipo hay experiencia mnima en seguridad de software, y aunque los desarrolladores expertos realizan auditoras bsicas en su cdigo, la seguridad no es considerado un objetivo crtico en la organizacin. Cada equipo en VirtualWare adopta un modelo diferente de desarrollo. Actualmente las 2 metodologas principales usadas son gile SCRUM, y modelos iterativos en Cascada. Hay mnima o ninguna gua por parte del departamento de IT o arquitectos de proyecto en cuanto a seguridad de software.
oRganizacin
VirtualWare ha estado desarrollando su plataforma de software por ms de 8 aos. Durante este tiempo han limitado el riesgo de vulnerabilidades Web comunes debido al uso mnimo de interfaces Web. La mayora de las plataformas de VirtualWare son ejecutadas ya sea en un sistema basado en servidor o clientes pesados ejecutndose en el escritorio. Recientemente, VirtualWare inici varios nuevos proyectos, los cuales entregan sus interfaces de cliente y servidor a travs de tecnologa Web. Conocer la magnitud de los ataques comunes que se ven en la Web ha llevado a la organizacin a revisar su estrategia de seguridad de software y asegurarse de que aborda adecuadamente posibles amenazas hacia su organizacin. Anteriormente la organizacin haba tenido revisiones bsicas del cdigo de aplicacin, y ha estado enfocada en el desempeo y funcionalidad en lugar de seguridad. Los desarrolladores de VirtualWare han estado utilizando varias herramientas de anlisis de calidad de cdigo para identificar errores y repararlos en el mismo cdigo. Con esto en mente, el equipo de alta direccin ha establecido un objetivo estratgico para analizar el estado actual de la seguridad de sus aplicaciones y determinar el mejor mtodo para identificar, remover y evitar vulnerabilidades en ellas.
Retos cLave
Implementacin rpida de funcionalidades para asegurar que mantienen su ventaja competitiva sobre sus rivales Experiencia limitada en conceptos de seguridad de software actualmente un esfuerzo mnimo es asociado en tareas relacionadas con seguridad Los desarrolladores dejan la organizacin y son reemplazados con desarrolladores con menor experiencia Mltiples tecnologas son utilizadas en las aplicaciones, con aplicaciones heredadas que no han sido actualizadas desde que se construyeron originalmente No hay un entendimiento o ni siquiera existe una postura de seguridad o de riesgos que enfrenta la organizacin VirtualWare quiso enfocarse en asegurar que sus nuevas aplicaciones Web seran entregadas de manera segura a sus clientes. Por lo tanto el enfoque inicial al implementar un programa de aseguramiento de la seguridad fue en la educacin y concientizacin para sus equipos de desarrollo, as como proporcionar orientacin tcnica base en codificacin segura y estndares de pruebas La organizacin haba recibido previamente requisitos de errores y vulnerabilidades a travs de su direccin support@virtualware. net. Sin embargo, como esta era una direccin de soporte general, los requisitos existentes no siempre eran filtrados hacia los equipos apropiados dentro de la organizacin ni manejados correctamente. La necesidad de implementar un programa de respuesta formal a una vulnerabilidad de seguridad fue tambin identificada por VirtualWare.
Estrategia y mtricas
Poltica y cumplimiento
Educacin y orientacin
Evaluacin de amenaza
Requisitos de seguridad
Arquitectura de seguridad
Revisin de diseo
Revisin de cdigo
estRategia de impLementacin
La adopcin de un programa de aseguramiento de seguridad dentro de una organizacin es una estrategia a largo plazo, e impacta significativamente en la cultura de los desarrolladores y el proceso tomado por el negocio para desarrollar y entregar aplicaciones de negocio. La adopcin de esta estrategia es establecida en un perodo de 12 meses, y debido al tamao de la organizacin ser relativamente fcil de implementar en ese perodo.
Pruebas de seguridad
Administracin de vulnerabilidades
Habilitacin operativa
VirtualWare - Fase 1
Con ms de 300 desarrolladores y mltiples lenguajes soportados en la organizacin, uno de los retos claves para VirtualWare fue proporcionar un programa de educacin que fuera lo suficientemente tcnico para ensear a los desarrolladores algunos de los conceptos bsicos en codificacin segura. El objetivo de este curso de educacin inicial fue principalmente en tcnicas de codificacin y herramientas de pruebas. El curso desarrollado y entregado dentro de la organizacin dur 1 da y cubri lo bsico en codificacin segura. VirtualWare estaba conciente que tenan varias aplicaciones con vulnerabilidades y no contaban con una estrategia real en cmo identificar vulnerabilidades existentes y abordar los riesgos en un tiempo razonable. Una metodologa bsica de evaluacin de riesgo fue adoptada y la organizacin llev a cabo un anlisis de las plataformas de aplicacin existentes. Esta fase tambin incluy implementar varios conceptos para que el equipo de desarrollo mejorara sus herramientas de seguridad. Los equipos de desarrollo ya contaban con varias herramientas disponibles para realizar evaluaciones de tipo de calidad. Se realiz una investigacin adicional sobre herramientas de anlisis de cdigo y herramientas de pruebas de seguridad.
objetivos pRincipaLes
Durante esta fase del proyecto,VirtualWare implement las siguientes Prcticas y Actividades de SAMM.
1 EG 1 SR 1 CR 1 ST 1 VM 1
SM
A. Estimar el perfil global de riesgo del negocio B. Crear y mantener un plan de implementacin para el programa de aseguramiento A. Realizar entrenamiento tcnico de concientizacin en seguridad B. Crear y mantener lineamientos tcnicos A. Deducir los requisitos de seguridad a partir de la funcionalidad de negocios B. Evaluar la seguridad y los lineamientos de cumplimiento para regulaciones de los requisitos A. Crear listas de verificacin para la revisin de los requisitos de seguridad conocidos B. Realizar revisiones en cdigo de puntos de alto riesgo A. Deducir casos de prueba desde los requisitos de seguridad conocidos B. Conducir pruebas de intrusin en cada publicacin del software A. Identificar un punto de contacto para problemas de seguridad B. Crear equipo(s) informal(es) de respuesta de seguridad
86
Para alcanzar estos niveles de madurez, VirtualWare implement varios programas durante esta fase del implementacin. Se adoptaron las siguientes iniciativas: Curso de 1 da en codificacin segura (alto nivel) para todos los desarrolladores Construir un documento de orientacin tcnica para seguridad de aplicacin para tecnologas usadas en la organizacin Crear un proceso de riesgo y realizar evaluaciones de riesgo de negocio a alto nivel para las plataformas de aplicacin y analizar el riesgo de negocio Preparar lineamientos tcnicos iniciales y estndares para desarrolladores Realizar anlisis de cdigo cortos en las plataformas de aplicacin que representan un riesgo significativo para la organizacin Desarrollar casos de pruebas y uso para proyectos y evaluar los casos contra las aplicaciones; Nombrar un rol para iniciativas de seguridad de aplicacin Generar un plan estratgico inicial para la siguiente fase del programa de aseguramiento Debido a la cantidad limitada de experiencia en VirtualWare, la compaa contrat un grupo de consultores de seguridad de un tercero para asistir con la creacin del programa de entrenamiento, y ayudar a escribir plan de implementacin de el modelado de amenazas y el plan estratgico para la organizacin. Uno de los retos claves enfrentados durante esta fase fue conseguir que los 300 desarrolladores tomaran el curso de un da de entrenamiento. Para alcanzar esto,VirtualWare tuvo 20 das de curso, con solo un pequeo grupo de desarrolladores de cada equipo asistiendo al curso a la vez. Esto redujo el impacto general en los recursos de personal durante el periodo de entrenamiento. Durante esta fase del proyecto, VirtualWare invirti un esfuerzo significante en recursos en la adopcin de un proceso de anlisis de riesgo y revisando el riesgo de negocio de la organizacin. Aunque un esfuerzo considerable fue enfocado en estas tareas, fueron crticos para asegurar que los siguientes pasos implementados por VirtualWare estuvieran alineados con los riesgos de negocio enfrentados por la organizacin. La direccin de VirtualWare recibi feedback positivo de la mayora de los desarrolladores de la organizacin acerca del programa de formacin. Aunque no se detalla, los desarrolladores sintieron que la formacin inicial que recibieron les aporto los conocimientos bsicos para ayudarles a escribir cdigo seguro en su da a da.
costos de impLementacin
Durante esta fase del proyecto se invirti una cantidad significativa de recursos internos y costes. Hubo tres tipos diferentes de costes asociados a esta fase.
das
14 10 8
das
8 3 9
Arquitecto
das
das
Gestor
das
das
da
Recursos externos
Debido a la falta de conocimiento dentro de VirtualWare, se externalizo la creacin de contenido y la creacin/imparticin del programa de formacin a los desarrolladores. Consultor de seguridad
das
15
Consultor de formacin
das
sAMM / cAsos de estudio - V1.0 87
22
VirtualWare - Fase 2
objetivos pRincipaLes
Durante esta fase del proyecto,VirtualWare implement las siguientes Prcticas y Actividades de SAMM.
2 EG 2 TA 1 DR 1 CR 2 ST 2 OE 1
SM
A. Clasificar datos y aplicaciones basado en riesgo de negocio B. Establecer y medir los objetivos de seguridad por cada clasificacin A. Realizar entrenamiento de seguridad en aplicaciones especfico para cada rol B. Utilizar mentores de seguridad para mejorar los equipos A. Desarrollar y mantener modelos de amenaza especficos a cada aplicacin B. Elabore perfil de atacante desde la arquitectura de software A. Identificar superficies de ataques de software B. Analizar el diseo contra requisitos de seguridad conocidos A. Utilizar herramientas automatizadas de anlisis de cdigo B. Integrar anlisis de cdigo en el proceso de desarrollo A. Utilizar herramientas automatizadas para pruebas de seguridad B. Integrar pruebas de seguridad en el proceso de desarrollo A. Capturar la informacin de seguridad crtica para el ambiente de publicacin B. Documentar procedimientos para alertas de aplicacin tpicas
88
Para llegar a estos niveles de madurez VirtualWare implemento varios programas durante esta fase de implementacin. Se adoptaron las siguientes iniciativas: Cursos adicionales de educacin y entrenamiento los testadores de QA, administradores y arquitectos Realizar la clasificacin de datos y fijar metas de seguridad Desarrollar la metodologa de anlisis de riesgo en la forma de anlisis de amenazas con rboles de ataques y perfiles Revisar e identificar los requisitos de seguridad por plataforma de aplicacin Agregar herramientas automatizadas para asistir con la cobertura de cdigo y el anlisis de seguridad de las aplicaciones nuevas o existentes Revisar y mejorar los programas existentes de pruebas de intrusin Mejorar el ciclo de desarrollo de software existente para apoyar las pruebas de seguridad como parte del proceso de desarrollo VirtualWare adapt el programa de seguridad existente para crear una versin ms pequea y menos tcnica, que se us como programa inicial de seguridad para el negocio. Este es uno curso ms pequeo de 4 horas y se imparti a Administradores, dueos de negocio de la organizacin. Una revisin de alto nivel de los programas existentes de revisin de cdigo y pruebas de intrusin identific que el proceso era inadecuado y necesitaba ser mejorado para proveer mejores pruebas y resultados de las vulnerabilidades de seguridad en aplicaciones. El equipo implement un nuevo programa para realizar pruebas de intrusin y revisin de cdigo. Como parte de ese programa, los desarrolladores Sr. de cada equipo de desarrollo dedicaron 4 das a realizar una revisin de alto de nivel en el cdigo fuente de sus aplicaciones. Los ejecutivos de VirtualWare entendieron que la infraestructura y aplicaciones estn altamente integrados y durante esta fase, la parte operativa de las plataformas de aplicacin (infraestructura) fue revisada. Esta fase se vieron los requisitos de infraestructura y la posible integracin en las aplicaciones con el hardware e interfaces de aplicacin recomendadas. Durante esta fase el equipo de proyectos revis el plan estratgico de implementacin y la metodologa de seguridad para aplicaciones. El objetivo de esta revisin y actualizacin fue clasificar formalmente los activos de datos y fijar los niveles apropiados de riesgo de negocio asociado con los activos de datos y las aplicaciones. Despus de esto, el equipo de proyectos fue capaz de fijar las metas de seguridad para estas aplicaciones.
costos de impLementacin
En esta fase del proyecto un monto significativo fue invertido en recursos internos y otros costos. Hubo 3 tipos diferentes de costos asociados a esta fase.
das
das
5 3
Arquitecto
das
10 8 2
das
das
das
15
das
da
Gestor
1/2
da
1/2
da
Recursos Externos
sAMM / cAsos de estudio - V1.0 89
Dada la falta de conocimiento de VirtualWare, se usaron recursos externos para ayudar con la creacin de contenido y crear/dar el programa de entrenamiento a los desarrolladores. Consultor de seguridad
das
22
Consultor de formacin
das
VirtualWare - Fase 3
objetivos pRincipaLes
Durante esta fase del proyecto,VirtualWare implement las siguientes Prcticas y Actividades de SAMM.
1 TA 2 SR 2 SA 1 DR 2 VM 2 OE 2
PC
A. Identificar y monitorear los indicadores externos de cumplimiento B. Crear y mantener lineamientos de cumplimiento A. Desarrollar y mantener modelos de casos de abuso por proyecto B. Adoptar un sistema de ponderacin para la medicin de las amenazas A. Generar una matriz de control de acceso a los recursos y capacidades B. Especificar los requisitos de seguridad en base a los riesgos conocidos A. Mantener una lista de los marcos de trabajo de software recomendados B. Aplicar explcitamente los principios de seguridad para el diseo A. Inspeccionar por completo la provisin de los mecanismos de seguridad B. Implementar el servicio de revisin de diseo para los equipos de proyecto A. Establecer un proceso consistente de respuesta a incidentes B. Adoptar un proceso de divulgacin de problemas de seguridad A. Crear procedimientos de administracin de cambio por distribucin B. Mantener guas formales de seguridad de operaciones
90
Para llevar a estos niveles de madurez VirtualWare implemento varios programas durante esta fase de implementacin. Las siguientes iniciativas fueron adoptadas: Definir y publicar lineamientos tcnicos sobre los requisitos de seguridad y aseguramiento de arquitectura para los proyectos dentro de la organizacin Identificar y documentar los requisitos de cumplimiento y regulaciones Identificar y crear lineamientos de seguridad para la infraestructura de aplicaciones Crear una lista definida de marcos de trabajo aprobados para el desarrollo Mejorar el proceso de modelado de amenazas existente usado en VirtualWare Adoptar un plan de respuesta a incidentes y preparar el proceso de publicacin para las vulnerabilidades reportadas Agregar procedimientos de manejo de cambios y lineamientos formales para todos los proyectos Para coincidir con la introduccin de herramientas automatizadas de los desarrolladores (desde la fase anterior) se agregaron en la organizacin lineamientos tcnicos formales sobre las tcnicas de codificacin segura. Estos fueron documentos tcnicos especficos relacionados a los lenguajes y tecnologa, ellos proveen gua sobre las tcnicas de codificacin segura en cada lenguaje/aplicacin relevante. Con una solucin combinada de programas de educacin y concientizacin, las guas tcnicas y la introduccin de herramientas automatizadas para ayudar a los desarrolladores, VirtualWare inicio a ver una diferencia visible en el cdigo que estaba siendo publicado en las versiones de produccin de sus aplicaciones. Los desarrolladores dieron retroalimentacin positiva sobre las herramientas y la educacin puesta a su disposicin en este programa. Por primera vez el equipo de proyectos de VirtualWare se hizo responsable por la seguridad en el diseo de sus plataformas de aplicacin. Durante esta fase se realiz una revisin formal del proceso de revisin y validacin contra las mejores prcticas realizadas por cada equipo.Algunos equipos identificaron fallas relativas a la seguridad y el diseo de negocio que necesitaban ser revisadas. Se realiz un plan formal para asegurarse que las fallas fueran reparadas. Durante esta fase del proyecto se agreg un plan formal de respuesta a incidentes y procedimientos de manejo de cambio. Este fue un proceso de implementacin difcil y los equipos de VirtualWare batallaron inicialmente con el proceso dado que el impacto en la cultura y el lado operativo fue significativo. Sin embargo, con el tiempo, cada miembro de equipo identifico el valor en el nuevo proceso y los cambios fueron aceptados por el equipo durante el periodo de implementacin.
costos de impLementacin
En esta fase del proyecto un monto significativo fue invertido en recursos internos y otros costos. Hubo 2 tipos diferentes de costos asociados a esta fase.
das
5 7 9
das
Arquitecto
das
das
10 3
Gestor
das
das
Recursos Externos
Dada la falta de conocimiento en VirtualWare, se usaron recursos externos para ayudar con la creacin de contenido, ayudar a los equipos, crear los procesos y lineamientos. Consultor de seguridad
das
20
VirtualWare - Fase 4
El otro elemento clave en esta fase es la parte operativa de la implementacin. Los ejecutivos de VirtualWare identificaron la necesidad de un plan de respuesta a incidentes y procesos de administracin del cambio en la estrategia de largo plazo. VirtualWare vio esta fase como las bases de su futuro a largo plazo. En esta fase la organizacin implemento varias medidas finales para cimentar los bloques de construccin existentes que han sido puestos en las fases anteriores. En el largo plazo esto asegurar que los procesos, conceptos y controles implementados continen funcionado en la organizacin para asegurar los resultados ms seguros para sus plataformas de aplicacin. VirtualWare escogi para esta fase el introducir a sus clientes a sus nuevas iniciativas de seguridad proveer detalles de una serie de programas a los clientes de VirtualWare sobre seguridad en aplicaciones, publicacin segura de aplicaciones y reporte de vulnerabilidades en las aplicaciones de VirtualWare. La meta principal de estos programas es promover la confianza dentro la base de clientes y convencerlos de que las aplicaciones de VirtualWare estn construidas con seguridad en mente y que VirtualWare puede ayudar a sus clientes al asegurar que los ambientes de aplicacin de su tecnologa son seguros.
objetivos pRincipaLes
Durante esta fase del proyecto,VirtualWare implement las siguientes Prcticas y Actividades de SAMM.
92
3 PC 2 EG 3 SR 3 CR 3 VM 3 OE 3
SM
A. Realizar comparaciones de costo peridicas a nivel industria B. Recolectar mtricas histricas de gastos de seguridad A. Crear polticas y estndares para seguridad y cumplimiento B. Establecer la prctica de auditoria de proyecto A. Crear un portal formal de soporte de seguridad en aplicaciones B. Establecer exmenes o certificaciones por rol A. Incorporar los requisitos de seguridad a acuerdos con proveedores B. Ampliar el programa de auditora para los requisitos de seguridad A. Personalizar el anlisis de cdigo para las preocupaciones especficas de la aplicacin B. Establecer puntos de control para la liberacin de las revisiones de cdigo A. Conducir anlisis de causa raz para incidentes B. Recolectar mtricas por incidente A. Expandir el programa de auditora para informacin operativa B. Realizar firma de cdigo para componentes de aplicaciones
Para alcanzar estos niveles de madurez implement varios programas durante esta fase de la implementacin. Las siguientes iniciativas fueron adoptadas: Crear requisitos de seguridad bien definidos y un programa de pruebas para todos los proyectos Crear e implementar un plan de respuesta a incidentes Revisar los procedimientos existentes de alerta para aplicacin y documentar un proceso para capturar estos eventos Crear una publicacin sobre liberacin segura de aplicaciones para los clientes Revisar los gastos en seguridad actuales en los proyectos y determinar si el presupuesto de seguridad adecuado ha sido asignado para cada proyecto Implementar programas finales de educacin y de conocimiento para los diferentes roles de aplicacin Completar para la organizacin un plan de implementacin estratgico a largo plazo sobre seguridad en aplicaciones En fases anteriores VirtualWare public un plan formal de respuesta a incidentes para recibir las vulnerabilidades encontradas en su cdigo. Durante esta fase, VirtualWare tomo los resultados de las vulnerabilidades enviadas y condujo revisiones de porque y como ocurri el problema. Creo una serie de reportes para determinar cualquier tema en comn entre las vulnerabilidades reportadas. Como parte del esfuerzo continuo para asegurar que las aplicaciones son publicadas de manera segura internamente as como en las redes de los clientes, VirtualWare cre una serie de publicaciones basadas en los estndares de la industria, se proveyeron a los clientes y se recomend que mejoraran sus ambientes. El propsito de los lineamientos es proveer ayuda a los clientes sobre cual es la mejor solucin cuando publiquen sus aplicaciones. Durante esta fase, VirtualWare implemento un corto entrenamiento basado en computadora de manera que los desarrolladores nuevos y existentes puedan mantener sus habilidades de seguridad en aplicaciones. Se exigi tambin que todos los roles asociados a aplicaciones tomen un curso obligatorio de 1 da al ao. Esto se hizo para asegurar que las habilidades dadas a los desarrolladores no se pierdan y que los nuevos desarrolladores estn bien entrenados durante el tiempo que estn con la compaa.
costos de impLementacin
En esta fase del proyecto un monto significativo fue invertido en recursos internos y otros costos. Hubo 2 tipos diferentes de costos asociados a esta fase.
das
4 7 9
das
6 1
Arquitecto
das
das
Gestor
das
das
11
Recursos Externos
Dada la falta del conocimiento dentro de VirtualWare, se usaron recursos externos para ayudar con al implementacin de esta fase, incluyendo la documentacin, procesos y talleres. Consultor de seguridad
das
22
Una de las funciones finales implementadas en VirtualWare fue completar y revisar el anlisis de fallas tal cual (AS IS) y determinar que tan efectivos haban sido los ltimos 12 meses. Durante este corto programa se enviaron cuestionarios a todos los miembros del equipo involucrados, tambin se hizo una revisin comparativa contra el SAMM. Las debilidades y fortalezas identificadas durante la revisin fueron documentadas en un plan estratgico de implementacin de la organizacin y as se fij la estrategia para los prximos 12 meses para VirtualWare.
VirtualWare - Seguimiento
sAMM / cAsos de estudio - V1.0 94
Los ejecutivos de VirtualWare fijaron un lineamiento para asegurar que el software desarrollado en la compaa era seguro, que el mercado saba de las iniciativas de seguridad tomadas y a ayudar a sus clientes a asegurar sus plataformas de aplicacin. Para alcanzar estas metas administrativas los primeros doce meses fijaron el camino a seguir para una estrategia efectiva en VirtualWare y finalmente empez a ayudar a sus clientes a asegurar sus ambientes de aplicacin. Despus VirtualWare cre varias iniciativas en la organizacin para asegurar que la compaa no regresara a los viejos hbitos. Algunos de estos programas incluyen: Los dueos de negocio y lideres de equipo conocen el riesgo asociado con sus aplicaciones y requieren aprobarlas antes de su publicacin. Los lderes de equipo necesitan pasar todas sus aplicaciones por un proceso formal de seguridad y los desarrolladores realizan revisiones de cdigo semanales. Entrenamientos peridicos y anuales (incluyendo los CBTs) se proveen a todo el personal de los proyectos y los desarrolladores tienen que atender un curso por lo menos una vez al ao. Un lder de seguridad en aplicaciones dedicado fue creado y es responsable ahora de las comunicaciones con el clientes y de las publicaciones y guas tcnicas para los clientes. Adems VirtualWare ahora tiene una cultura de seguridad como parte de su ciclo de desarrollo de software, por lo que se asegura de que las aplicaciones desarrolladas y provedas a los clientes son seguras y robustas. Un proceso efectivo se ha implementado donde las vulnerabilidades se pueden reportan y son administradas por la organizacin cuando se requiere. Durante la fase final de implementacin se realiz un anlisis de carencias en los proyectos para identificar cualquier debilidad que apareciera durante la implementacin. En particular dada la alta rotacin del personal.VirtualWare necesit de entrenar constantemente a los nuevos desarrolladores conforme iniciaban labores con la organizacin. Como objetivo principal para manejar este problema esta el programa de induccin, que se agreg especficamente para los desarrolladores de manera que recibieran entrenamiento formal de seguridad cuando iniciaban con la organizacin. Esto tambin ayuda a crear una mentalidad de que la seguridad es importante dentro de la organizacin y su equipo de desarrollo.
antes
despus 1 3 1 2 0+ 3 0 3 0+ 3 0 1 0+ 2 0+ 3 1 2 1 3 0+ 0+
sAMM / cAsos de estudio - V1.0 95
Poltica y cumplimiento
Educacin y orientacin
Evaluacin de amenaza
Requisitos de seguridad
Arquitectura de seguridad
Revisin de diseo
Revisin de cdigo
Pruebas de seguridad
Administracin de vulnerabilidades
Habilitacin operativa
0+ 3
PaRa obtEnER MayoR infoRMacin, PoR favoR vEa El sitio dEl PRoyEcto En:
http://www.opensamm.org
contRibuidoRes y RevisoRes
Fabio Arciniegas Matt Bartoldus Sebastien Deleersnyder Jonathan Carter Darren Challey Brian Chess Dinis Cruz Justin Derry Bart De Win James McGovern Matteo Meucci Jeff Payne Gunnar Peterson Jeff Piper Andy Steingruebl John Steven Chad Thunberg Colin Watson Jeff Williams
PatRocinadoREs
Gracias a las siguientes organizaciones que han hecho contribuciones significativas a el proyecto SAMM.
cognosticus
PaRtidaRios
Nota: OWASP y el proyecto SAMM no endosa ningn producto o servicio comercial
OWASP
Gracias a las siguientes organizaciones por ayudar a revisar y apoyar el proyecto SAMM.
licEncia
Este trabajo se publica bajo la licencia Creative Commons Attribution-Share Alike 3.0. Para ver una copia de la licencia, visite http://creativecommons.org/licenses/ by-sa/3.0/ o enve una carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA.