Lo decimos con frecuencia por aquí: cuando uno no tiene muy claro qué hacer con respecto a algún asunto lo mejor es mirar normativas, regulaciones, costumbres, lo que hay en el mercado y, claro, lo que hacen los demás.
Hace diez años nacieron dos proyectos relacionados con este tema, uno era el Building Security In Maturity Model (BSIMM) y el otro era Software Assurance Maturity Model. El segundo parece que está abandonado, pero el BSIMM publicó recientemente su último informe y nos enterábamos por BSIMM9: A Decade of Software Security Science de que había alcanzado su décimo aniversario.
El BSIMM se trata de un proyecto basado en observar y medir las mejores prácticas de seguridad del software en las empresas cubriendo en su última versión hasta 120.
The Building Security In Maturity Model (BSIMM) project turned ten this year, with ten years of careful observation of the best software security practices in real companies. BSIMM9, the ninth iteration of the report, describes the software security initiatives of 120 firms in detail.
Estamos hablando de empresas como Adobe, Alibaba, Bank of America, NVIDIA, Lenovo, Cisco, y muchas otras.
Una vez que se tiene esa información, una empresa puede medirse frente a otras y así determinar de qué debería preocuparse primero. Se hace con 116 actividades de seguridad agrupadas en doce prácticas dentro de cuatro dominios: gobernanza, inteligencia, desarrollo y despliegue (una de ellas, por cierto, la formación, dentro del dominio de la gobernanza).
Using the data we gather, we score the organization’s existing efforts in 116 specific software security activities organized into twelve practices. We can directly compare a particular firm’s measurement to the rest of the BSIMM population and draw important conclusions about software security maturity in the firm.
Muy interesante y ¡feliz aniversario!