miércoles, 22 de abril de 2009

Modelo de Madurez para el Desarrollo de Software Seguro.

Recientemente tuve noticias de una nueva iniciativa relacionada a la creación de software seguro. Esta nueva iniciativa lleva el nombre de "Building Security In Maturity Model (BSIMM)". Intenta recopilar las propuestas de diversas metodologías del desarrollo de software seguro (OWASP, CLASP, etc.) y presentarlo ya agrupado y ordenado bajo el nombre de “BSIMMM” para que una organización pueda seguirlo y de paso averiguar qué nivel de madurez  tiene una organización respecto al desarrollo seguro de software.

 

El BSIMM dice que no es una guía tipo "how-to", sino una "colección de buenas ideas y actividades que están siendo usadas hoy en día" en el marco del desarrollo seguro de aplicaciones. Entre los autores de esta iniciativa se encuentra Gary McGraw, reconocido experto en el desarrollo de software seguro y que ha escrito varios libros sobre este tema, entre otras contribuciones.

 

El BSIMM propone un marco de referencia de seguridad de software (Software Security Framework) que viene siendo el eje de la iniciativa. En general es un documento extenso y sí, está enfocado específicamente a las áreas de desarrollo de software de una empresa para que lo entiendan y vean si es posible aplicar algo (o todo) de lo propuesto por esta iniciativa.

 

Finalmente, alrededor del mundo (y México no es la excepción) la seguridad del software que se desarrolla es todo un tema y si grandes fabricantes desarrolladores de software tienen problemas de seguridad en su código, casi es una garantía que las áreas desarrolladoras de una empresa codificarán software funcional pero inseguro.

 

El mensaje es que nos preocupemos por poner en producción aplicaciones no sólo funcionales sino también seguras (o lo más seguras posibles) siguiendo la iniciativa o metodología preferida que tenga como objetivo final hacer desarrollos lo más estables posibles desde el punto de vista de seguridad. ¿Y en su empresa, desarrollan programas seguros o sólo funcionales?

 

Demos un vistazo a este documento, tal vez de buenas ideas: http://www.bsi-mm.com/

 

2 comentarios:

Anónimo dijo...

Buen aporte a la comunidad, gracias

Los referenciamos en nuestro blog.


Saludos



Cryptex - Seguridad de la Información
http://seguridad-informacion.blogspot.com/

MC Fausto Cepeda, CISSP, CISA. dijo...

Muchas gracias por la mención. Sl2.