Software Assurance Maturity Model (SAMM)

SAMM - Introduo

Originalmente desenvolvido por Chandra (consultor de segurana)

Pravir

O primeiro projeto foi desenvolvido por Fortify Software Inc Licena Creative Commons Atualmente a maior iniciativa da OWASP (The Open Web Application Security Project) trabalha na padronizao de transaes financeiras online

SAMM Definio

um framework aberto que auxilia as organizaes/empresas a formular e implementar estratgias para segurana de software, as quais so adaptadas para os riscos especficos do segmento de negcios Pode ser utilizado por pequenas, mdias ou grandes corporaes, para um nico ou vrios ramos de negcios ou at mesmo em projetos individuais

SAMM Recursos Disponveis

Avaliao das prticas de segurana de software existentes na empresa Construo de um processo/programa para equilibrado, seguro e bem definido para produo de software Demonstrao concreta das melhorias para se obter softwares mais seguros Definio e medio das atividades relacionadas com segurana em toda a organizao

SAMM Princpios de Construo

O comportamento de uma organizao muda lentamente ao longo do tempo um software seguro deve ser especificado em pequenas iteraes que fornecem pequenos resultados e realizam trabalhos incrementais com objetivos de longo prazo. No existe uma receita simples que funciona em todas as organizaes um software security framework precisa ser flexvel para que as organizaes sejam capazes de criar as suas solues de segurana.

SAMM Princpios de Construo

Orientaes sobre segurana devem prescritas/estabelecidas todos passos na construo e no acesso de programa seguro(assurance) devem simples, bem definidos e mensurveis.

ser os um ser

SAMM Viso Geral

O conceito inicial so as Business Function (inerentes a qualquer empresa de desenv de de software). Cada BS define trs Prticas de Segurana (PS) Para cada PS, existem 3 Niveis de Maturidade definidos como Objetivos (que tm mtricas e atividadas especficas)

SAMM Viso Geral

Governana: como uma organizao gerencia as suas atividades globais (macro) de desenvolvimento de software (processos de negcios, cross-cut groups, etc) Construo: com uma organizao define metas e desenvolve os projetos de software (gesto de produtos, levantamento de requisitos, projeto detalhado e implementao)

SAMM Viso Geral

Verificao: como uma organizao realiza os testes do software produzido durante o desenvolvimento (garantia de qualidade, testes e atividades de avaliao) Implantao: como uma organizao administra a release do software implementado (transporte/venda de produtos para os usurios finais, implantao em hosts, etc)

SAMM Viso Geral

Estratgia & Mtricas: direo estratgica do software assurance e a preparao de processos e atividades para definir mtricas de segurana de uma organizao Poltcas & Compliance: criao de segurana/controle de compliance , bem como framework de auditoria. Isos gera maior segurana na construo/operao do software Educao & Orientao: aumento do conhecimento sobre segurana entre as equipes de desenvolvimento (formao e orientao sobre temas de segurana relevantes para cada funo)

SAMM Viso Geral NVEIS DE MATURIDADE

Cada ums das 12 Prticas de Segurana tm trs Nveis de Maturidade , mas todos comeam em ZERO:

0 : implcito, representa o nvel insatisfatrio 1 : Entendimento inicial, uma ad hoc provision das Prticas de Segurana 2 : Incremento de eficincia e/ou efetividade das Prticas de Segurana 3 : Domnio completo das Prticas de Segurana

SAMM Viso Geral Exemplo para Governana

Estratgia & Mtricas: Nvel de Maturidade 1 => Objetivo: estabelecer uma estratgia unificada (roadmap) para segurana de software na organizao => Atividades:

Estimativa global de negcios com um perfil de riscos Construir e manter um roteiro (roadmap)

SAMM Viso Geral Exemplo para Governana

Estratgia & Mtricas: Nvel de Maturidade 2 => Objetivo: mensurar o valor relativo dos dados e do software desenvolvido. Defonir uma tolerncia de risco => Atividades:

Classificar dados e aplicaes com base nos riscos do negcio Estabelecer e mensurar as metas de segurana

Referncias

https://www.owasp.org http://www.opensamm.org