Definición y propósito

BSIMM describe las actividades comunes observadas en diversas iniciativas de seguridad del software. Al presentar un conjunto de buenas prácticas, ayuda a las organizaciones a medir la madurez de su programa de seguridad del software y les guía en la mejora de su postura de seguridad del software. Su objetivo es proporcionar a las organizaciones datos tangibles para comparar sus esfuerzos de seguridad con otras organizaciones, facilitando la mejora continua en la seguridad del software.

Órgano de Gobernanza

BSIMM se inició como un esfuerzo conjunto de Cigital (ahora parte de Synopsys) y Fortify Software (ahora parte de Micro Focus). Hoy en día, está supervisado por Synopsys.

Última actualización

BSIMM se lanzó en septiembre de 2022 y no ha tenido actualizaciones importantes.

Aplicable a

BSIMM es independiente del sector y puede aplicarse a cualquier organización centrada en la seguridad del software. Con el tiempo, BSIMM ha acumulado datos de varias industrias, incluidos los servicios financieros, la salud, la tecnología y más, lo que hace que sus observaciones y hallazgos sean relevantes en múltiples sectores.

Controles y requisitos

BSIMM se estructura alrededor de 12 prácticas que abarcan el dominio de la seguridad del software. Estas prácticas, a su vez, constan de múltiples actividades. Las 12 prácticas son:

1. Estrategia y Métricas
2. Cumplimiento y Política
3. Análisis de Arquitectura
4. Revisión de Código
5. Pruebas de Seguridad
6. Pruebas de Penetración
7. Entorno de Software
8. Capacitación
9. Cultura y Organización
10. Respuesta y Gestión de Incidentes
11. Inteligencia e Investigación
12. Operaciones

Cada práctica se desglosa en una serie de actividades, sumando un total de más de 100 actividades distintas que las organizaciones pueden usar para medir sus iniciativas de seguridad del software.

Por favor, consulte el documento oficial de BSIMM para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

BSIMM no es un marco de auditoría en el sentido tradicional, sino más bien un modelo de madurez. Las organizaciones generalmente interactúan con evaluadores de BSIMM de Synopsys para realizar una evaluación. Esta evaluación compara las prácticas actuales de la organización con los datos de BSIMM.

La frecuencia de tales evaluaciones queda a discreción de la organización, pero podría ser beneficioso realizarlas anualmente o cada dos años para medir el progreso y adaptarse a los cambiantes escenarios de seguridad del software.

La duración de la evaluación puede variar, pero generalmente dura unos pocos días o un par de semanas, dependiendo del tamaño y la complejidad de la organización.