Modelo de Madurez en la Construcción de Seguridad (BSIMM)
El Modelo de Madurez en la Construcción de Seguridad (BSIMM) es un modelo basado en datos que proporciona una visión en profundidad de las iniciativas de seguridad del software. BSIMM no es un estándar ni una lista de verificación, sino un reflejo de las prácticas actuales observadas en programas de seguridad del software del mundo real. Al evaluar las iniciativas de seguridad del software de múltiples organizaciones, BSIMM ofrece un punto de referencia para comparar y guiar las prácticas de seguridad del software.
Solicite una demostración de Secureframe Custom FrameworksDefinición y propósito
BSIMM describe las actividades comunes observadas en diversas iniciativas de seguridad del software. Al presentar un conjunto de buenas prácticas, ayuda a las organizaciones a medir la madurez de su programa de seguridad del software y les guía en la mejora de su postura de seguridad del software. Su objetivo es proporcionar a las organizaciones datos tangibles para comparar sus esfuerzos de seguridad con otras organizaciones, facilitando la mejora continua en la seguridad del software.
Órgano de Gobernanza
BSIMM se inició como un esfuerzo conjunto de Cigital (ahora parte de Synopsys) y Fortify Software (ahora parte de Micro Focus). Hoy en día, está supervisado por Synopsys.
Última actualización
BSIMM se lanzó en septiembre de 2022 y no ha tenido actualizaciones importantes.
Aplicable a
BSIMM es independiente del sector y puede aplicarse a cualquier organización centrada en la seguridad del software. Con el tiempo, BSIMM ha acumulado datos de varias industrias, incluidos los servicios financieros, la salud, la tecnología y más, lo que hace que sus observaciones y hallazgos sean relevantes en múltiples sectores.
Controles y requisitos
BSIMM se estructura alrededor de 12 prácticas que abarcan el dominio de la seguridad del software. Estas prácticas, a su vez, constan de múltiples actividades. Las 12 prácticas son:
- Estrategia y Métricas
- Cumplimiento y Política
- Análisis de Arquitectura
- Revisión de Código
- Pruebas de Seguridad
- Pruebas de Penetración
- Entorno de Software
- Capacitación
- Cultura y Organización
- Respuesta y Gestión de Incidentes
- Inteligencia e Investigación
- Operaciones
Cada práctica se desglosa en una serie de actividades, sumando un total de más de 100 actividades distintas que las organizaciones pueden usar para medir sus iniciativas de seguridad del software.
Por favor, consulte el documento oficial de BSIMM para una lista detallada de controles y requisitos.
Tipo de auditoría, frecuencia y duración
BSIMM no es un marco de auditoría en el sentido tradicional, sino más bien un modelo de madurez. Las organizaciones generalmente interactúan con evaluadores de BSIMM de Synopsys para realizar una evaluación. Esta evaluación compara las prácticas actuales de la organización con los datos de BSIMM.
La frecuencia de tales evaluaciones queda a discreción de la organización, pero podría ser beneficioso realizarlas anualmente o cada dos años para medir el progreso y adaptarse a los cambiantes escenarios de seguridad del software.
La duración de la evaluación puede variar, pero generalmente dura unos pocos días o un par de semanas, dependiendo del tamaño y la complejidad de la organización.