The Application Security Maturity (ASM) model
ASM Model
In de nieuwste (In)Secure magazine staat een interresant artikel over de Application Securit Maturity (ASM) model. In dit model worden Tools and Technology (T&T) afgezet tegen People and Process (P&P). Voor het maken van dit model heeft de Florida Institute of Technoloy (FIT) een groot aantal bedrijven bekeken en interviews gehouden gedurende een bepaalde tijd. Bij sommige was dit een paar maanden, bij anderen was dit meerdere jaren. Het resultaat was dat er een stabiele trend was welke al deze bedrijven volgden. Het model laat drie fasen zien.
De eerste (Panic scramble) is waarin het bedrijf vaak begint omdat bijvoorbeeld ze aangevallen zijn, gezien hebben dat dit een conculega is overkomen of dat er wetgeving is wat verplicht om met security te beginnen. Dit soort bedrijven beginnen met het aanschaffen van beveiligings software en verwachten dat ze veiliger zijn. Veelal belanden dit soort tools op de plank omdat de mensen er niet mee om kunnen gaan en beland het bedrijf in de tweede fase (The pit of despair).
In de tweede fase wordt er minder geinvesteerd in de tools maar meer in de mensen en processen. Cursussen worden gevolgd, processen worden verbeterd, maar er wordt tegelijkertijd ook gekort op het budget. Omdat er geen winst te zien met betrekking tot beveiliging blijven de bedrijven vaak in deze fase tot dat er een grote mentale verschuiving komt.
In de derde fase (Security as a Core Business Process) zie je dat er meer budget komt voor specialistische tools en training. Voor zowel IT als niet IT personeel. Beveiliging wordt een van de peilers van het bedrijf zelf.
Het artikel geeft een aantal tips hoe je kan bepalen waar jouw bedrijf staat op de curve. Als dit meerdere keren in de tijd gebeurt wordt zichtbaar hoe de voortgang is, ook ten opzichte van het gemiddelde.
