El estudio BSIMM8 refuerza la evaluación comparativa como un ejercicio crítico en las primeras etapas de las iniciativas de seguridad del software

20171009_snps_bsimmballoons

Lanzada por primera vez en APAC, la última iteración del modelo de madurez de seguridad del edificio muestra que más organizaciones están impulsando sus iniciativas de seguridad de software con evaluaciones y mejorando con el tiempo

Singapur, @mcgallen #microwireinfo, 9 de octubre de 2017 - Synopsys, Inc. (Nasdaq: SNPS) ha lanzado BSIMM8, la última versión de un modelo de madurez de seguridad de software líder, que se basa en datos del mundo real y ayuda a las organizaciones a planificar, ejecutar y medir sus iniciativas de seguridad de software (SSI). Lanzada por primera vez en APAC, la octava iteración del Building Security in Maturity Model (BSIMM) se basa en datos recopilados de la comunidad más grande hasta la fecha. BSIMM8 muestra que la seguridad del software se está convirtiendo en una prioridad empresarial crítica con más organizaciones que comparan sus esfuerzos al principio de su ciclo de vida SSI y utilizan los resultados estratégicamente para mejorar su postura de riesgo a lo largo del tiempo. Para descargar el informe, visite https://www.bsimm.com/download.html.

"Con el aumento de ataques ampliamente distribuidos y cada vez más disruptivos dirigidos a software vulnerable, estamos viendo un cambio del enfoque reactivo de 'penetrar y parchear' hacia estrategias más proactivas que permiten a las organizaciones construir software seguro de forma sistemática desde cero", dijo el Dr. Gary McGraw, vicepresidente de tecnología de seguridad de Synopsys. “Las organizaciones están comenzando a comprender que pueden mitigar el riesgo de manera más efectiva si establecen una iniciativa de seguridad de software, evalúan sus fortalezas y debilidades desde el principio a través de instrumentos como el BSIMM y enfocan sus esfuerzos en las prácticas y actividades más apropiadas”.

BSIMM8 incluye datos recopilados de 109 empresas y describe el trabajo de 4,769 profesionales de seguridad de software, mostrando la ciencia detrás de las mejores prácticas de seguridad de software. Su trabajo guía y maximiza los esfuerzos de seguridad de casi 300,000 desarrolladores en aproximadamente 95,000 aplicaciones. Las firmas de BSIMM8 representan verticales de la industria que incluyen servicios financieros, proveedores de software independientes (ISV), nube, atención médica, Internet de las cosas (IoT) y seguros.

Hallazgos clave del estudio BSIMM8:

  • Las organizaciones utilizan BSIMM para impulsar sus SSI. BSIMM8 introduce empresas en las primeras etapas del ciclo de vida de SSI, como lo demuestra una ligera disminución en el puntaje de madurez promedio1 (33.1, por debajo de 33.9 en BSIMM7) y la edad promedio del grupo de seguridad de software (3.88 años, por debajo de 3.94 en BSIMM7) del Población BSIMM. La evaluación comparativa de SSI es uno de los primeros pasos fundamentales en el viaje de la seguridad del software.
  • Las firmas BSIMM maduran con el tiempo. Las empresas que han participado en múltiples evaluaciones BSIMM muestran una clara tendencia de mejora, con puntajes que aumentan en un promedio de 10.3 o 33.4 por ciento. La evaluación comparativa es un ejercicio eficaz para guiar a las organizaciones por el camino óptimo hacia la creación de software seguro de forma coherente.
  • La madurez varía según la industria. Cada industria prioriza ciertas actividades sobre otras, y cada industria y organización individual tiene un camino diferente hacia la construcción de la seguridad. En promedio, las empresas de nube, servicios financieros e ISV son más maduras que las empresas de atención médica, IoT y seguros. Los servicios financieros y las empresas en la nube tienen puntuaciones notablemente más altas en las prácticas de políticas y cumplimiento, mientras que las empresas de IoT tienen las prácticas de entorno de software más maduras.

Según Gartner, “la seguridad de las aplicaciones requiere un enfoque programático estructurado para lidiar con el aparente caos de la nueva tecnología y un panorama de amenazas en evolución. Un programa de seguridad de aplicaciones exitoso debe ser una combinación equilibrada de personas, procesos y tecnología ”. 2

El BSIMM observa firmas que han establecido iniciativas reales de seguridad de software, cuantificando la ocurrencia de 113 actividades para mostrar los puntos en común que comparten muchas iniciativas, así como las variaciones que hacen que cada iniciativa sea única. Los datos de BSIMM muestran que las iniciativas de alta madurez están bien integradas: llevan a cabo numerosas actividades en las 12 prácticas descritas por el modelo. Las organizaciones pueden utilizar BSIMM para comparar iniciativas y determinar qué actividades adicionales podrían ser útiles.

AGRADECIMIENTOS
El Dr. McGraw, junto con Sammy Migues, científico principal de Synopsys, y Jacob West, arquitecto jefe de NetSuite, analizaron los datos recopilados durante los últimos nueve años de investigación sobre seguridad de software. Las empresas que participan en las evaluaciones incluyen: Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco. , Citigroup, Citizen's Bank, Comerica Bank, Cryptography Research (una división de Rambus), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JPMorgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors NV, Oracle NSGBU, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Target, TD Ameritrade, The Advisory Board, The Home Depot, The Vanguard Group, Trainline, Trane, US Ba nk, Veritas, Verizon, Wells Fargo, Zendesk y Zephyr Health.

1. La puntuación BSIMM refleja el número total de actividades de seguridad de software observadas durante la evaluación de la iniciativa de seguridad de software de una empresa. Cada actividad vale un punto y el marco BSIMM incluye 113 actividades.

2. Fuente: Gartner, “Marco de orientación para establecer y madurar un programa de seguridad de aplicaciones”, 23 de diciembre de 2016, Michael Isbitski & Ramon.

Sobre el BSIMM
Iniciado en 2008, Building Security in Maturity Model (BSIMM) es una herramienta para medir y evaluar iniciativas de seguridad de software. Un modelo basado en datos y una herramienta de medición desarrollada a través del estudio y análisis cuidadosos de iniciativas de seguridad de software, el BSIMM incluye datos del mundo real de más de 100 organizaciones. El BSIMM es un estándar abierto que incluye un marco basado en prácticas de seguridad de software, que una organización puede usar para evaluar sus propios esfuerzos en seguridad de software. Para más información visite https://www.bsimm.com.

Acerca de la plataforma de integridad del software Synopsys
Synopsys ofrece la solución más completa para integrar la integridad (seguridad y calidad) en el ciclo de vida del desarrollo de software y la cadena de suministro. La plataforma de integridad de software une tecnologías de prueba líderes, análisis automatizados y expertos para crear una cartera sólida de productos y servicios. Esta cartera permite a las empresas desarrollar programas personalizados para detectar y remediar defectos y vulnerabilidades en las primeras etapas del proceso de desarrollo, minimizando el riesgo y maximizando la productividad. Synopsys, un líder reconocido en pruebas de seguridad de aplicaciones, se encuentra en una posición única para adaptar y aplicar las mejores prácticas a las nuevas tecnologías y tendencias como IoT, DevOps, CI / CD y la nube. Para obtener más información, visite www.synopsys.com/software.

Sobre Synopsys
Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en www.synopsys.com.

###