Net gelezen, het Software Assurance Maturity Model (SAMM) heeft een uitbreiding gekregen. Nick Coblentz heeft een interview template ontwikkeld waarmee het huidig Maturity model voor een organisatie bepaald kan worden. De eerste versie is nu verkrijgbaar.
Bekijk hem hier (html format) online, of download hem hier (xls format).
ASM Model
In de nieuwste (In)Secure magazine staat een interresant artikel over de Application Securit Maturity (ASM) model. In dit model worden Tools and Technology (T&T) afgezet tegen People and Process (P&P). Voor het maken van dit model heeft de Florida Institute of Technoloy (FIT) een groot aantal bedrijven bekeken en interviews gehouden gedurende een bepaalde tijd. Bij sommige was dit een paar maanden, bij anderen was dit meerdere jaren. Het resultaat was dat er een stabiele trend was welke al deze bedrijven volgden. Het model laat drie fasen zien.
De eerste (Panic scramble) is waarin het bedrijf vaak begint omdat bijvoorbeeld ze aangevallen zijn, gezien hebben dat dit een conculega is overkomen of dat er wetgeving is wat verplicht om met security te beginnen. Dit soort bedrijven beginnen met het aanschaffen van beveiligings software en verwachten dat ze veiliger zijn. Veelal belanden dit soort tools op de plank omdat de mensen er niet mee om kunnen gaan en beland het bedrijf in de tweede fase (The pit of despair).
In de tweede fase wordt er minder geinvesteerd in de tools maar meer in de mensen en processen. Cursussen worden gevolgd, processen worden verbeterd, maar er wordt tegelijkertijd ook gekort op het budget. Omdat er geen winst te zien met betrekking tot beveiliging blijven de bedrijven vaak in deze fase tot dat er een grote mentale verschuiving komt.
In de derde fase (Security as a Core Business Process) zie je dat er meer budget komt voor specialistische tools en training. Voor zowel IT als niet IT personeel. Beveiliging wordt een van de peilers van het bedrijf zelf.
Het artikel geeft een aantal tips hoe je kan bepalen waar jouw bedrijf staat op de curve. Als dit meerdere keren in de tijd gebeurt wordt zichtbaar hoe de voortgang is, ook ten opzichte van het gemiddelde.
Deze site kwam ik ergens online tegen: http://bsi-mm.com/
The Building Security In Maturity Model (BSIMM) described on this website is designed to help you understand and plan a software security initiative. BSIMM was created through a process of understanding and analyzing real-world data from nine leading software security initiatives. Though particular methodologies differ (think OWASP CLASP, Microsoft SDL, or the Cigital Touchpoints), many initiatives share common ground. This common ground is captured and described in BSIMM. As an organizing feature, we introduce and use a Software Security Framework (SSF), which provides a conceptual scaffolding for BSIMM. Properly used, BSIMM can help you determine where your organization stands with respect to real-world software security initiatives and what steps can be taken to make your approach more effective.
Klinkt interessant. Wie heeft hier ervaring mee?
Na de release van BSI-MM is nu ook SAMM uitgebracht. SAMM is een open framework wat een organisatie kan helpen bij het formuleren en uitzetten van een strategie voor software security. SAMM is een OWASP project wat in samenwerking met Fortify is gerealizeerd. Op het hoogste niveau definieerd SAMM vier kritische functies. Elke functie heeft een drietal voorschriften en elk voorschrift heeft drie niveaus als doelen.
Als je ditzo leest ziet het hetzelfde uit als BSI-MM. Dit is niet verbasing wekkend als je er achterkomt dat ze dezelfde basis hebben. Eerst was er e studie waar Fortify aan meehielp. Pas op het moment dat Cigital/Fortify een ander idee had over de richting waarin het model moest gaan is er een splitsing gekomen.
Beide modellen hebben wel dezelfde structuur, maar verschillen van inhoud. Op de website van SAMM zal in de toekomst meer uitleg gegeven gaan worden over de verschillen tussen de twee.
Er zijn genoeg modellen om veilige software te bouwen. Microsoft heeft de SDL, OWASP heeft CLASP en Cigital heeft Touchpoints. Toch is het hebben van zo’n model geen garantie dat het werkt. Het vergt ook iets van de organisatie om met het model goed om te gaan.
Brian Chess, Garry McGraw en Sammy Migues hebben bij negen bedrijven bestudeerd welke onderdelen gemeenschappelijk zijn in de modellen. Deze gemeenschappelijkheden zijn samen gevoegd in, wat ze noemen, het Secure Software Framework. Dit framework is de basis voor het maturity model.
Het model verdeelt beveiliging op in twaalf categorieen, inclusief training, code review en software testen nadat het geschreven is. Elke categorie bevat een aantal activiteiten die kunnen helpen met het maken van veiligere software, zoals het baseren van trainings sessies op bestaande beveiligings incidenten en niet op theoretische. Het is bedoelt voor het hoofd van de IT afdeling en kan vrij gedownload worden.
Event: PaSS-ende antwoorden - http://pass.sogeti.nl/?p=355 - posted on 22/04/2010 09:12:30
Threats are caused by a combination of defects http://pass.sogeti.nl/?p=328 - posted on 12/02/2010 15:18:43
Martin Knobloch Sogetist van het jaar! - http://pass.sogeti.nl/?p=316 - posted on 19/01/2010 22:52:18
PaSS the word for Security - http://pass.sogeti.nl/?p=293 - posted on 28/12/2009 09:13:00
Part 2 on #Secure #Java Programming Guidelines is available on http://bit.ly/3Ixbpa - posted on 03/11/2009 13:08:37
 |
