Modelos de Madurez de Seguridad de Software
DeliciaEsmeraldaLuce1
14 views
61 slides
Aug 31, 2025
Slide 1 of 61
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
About This Presentation
Modelos de Madurez de Seguridad de Software
Slide Content
Modelos de Madurez de
Seguridad de Software
Ciberseguridad
Seguridad de Software
Ciberseguridad
1.- Ciclo de Vida del Software (SDLC)
Definición
•El ciclo de vida del software es el conjunto de etapas que sigue un sistema de
software desde que se concibe hasta que se retira del uso.
•Este ciclo proporciona una estructura para planificar, desarrollar, mantener y
finalizar un producto de software de manera organizada y controlada.
•El ciclo de vida del software es el conjunto de etapas que sigue un sistema de
software desde que se concibe hasta que se retira del uso.
•Este ciclo proporciona una estructura para planificar, desarrollar, mantener y
finalizar un producto de software de manera organizada y controlada.
Etapas
•Se da de baja el software.
•Puede implicar migración a otro sistema.
•SRS / SSS
•Qué debe hacer el software
•Viabilidad y riesgos
•Arquitectura del sistema
•Interfaces, bases de datos,
estructuras de datos y
algoritmos.
•código fuente
•Verificación y validación
•Puede incluir capacitación,
instalación y configuración
•Actualizaciones, mejoras
y adaptaciones a nuevos entornos.
•Se da de baja el software.
•Puede implicar migración a otro sistema.
•SRS / SSS
•Qué debe hacer el software
•Viabilidad y riesgos
•Arquitectura del sistema
•Interfaces, bases de datos,
estructuras de datos y
algoritmos.
•código fuente
•Verificación y validación
•Puede incluir capacitación,
instalación y configuración
•Actualizaciones, mejoras
y adaptaciones a nuevos entornos.
Validación y Verificación
Ejemplo : Modelo Incremental
Ejemplo : Modelo en Cascada
Ejemplo : Modelo en Espiral
Ejemplo : Modelo basado en prototipado
Ejemplo : Modelo Ágil
Ejemplo : Modelo RUP
Ejemplo : Modelo DevOps
2.- Modelo de Madurez
Definición
•Herramienta que permite evaluar qué tan desarrollado o avanzado está un proceso,
una organización o una capacidad, y establecer un camino para mejorar
progresivamente.
•Un modelo de madurez define niveles escalonados que representan el progreso
desde un estado inicial (caótico o inmaduro) hasta uno óptimo (estable, eficiente y
medible).
Modelo de madurez Kanban
Business Process Maturity Model
CMMI
•Herramienta que permite evaluar qué tan desarrollado o avanzado está un proceso,
una organización o una capacidad, y establecer un camino para mejorar
progresivamente.
•Un modelo de madurez define niveles escalonados que representan el progreso
desde un estado inicial (caótico o inmaduro) hasta uno óptimo (estable, eficiente y
medible).
Modelo de madurez Kanban
Business Process Maturity Model
CMMI
Características
Para que sirve un MM
Ejemplo : Modelo CMMI
Ejemplo : Modelo ISO/IEC 15504 (SPICE)
Ejemplo : Modelo TMMi (Testing Maturity
Model integration)
Model integration)
Ejemplo : Modelo MMS (Modelo de Madurez
de Software - latinoamericano)
de Software - latinoamericano)
Ejemplo : Modelo ISO/IEC 330xx(substituto
de ISO 15504)
de ISO 15504)
Ejemplo : Modelo DevOps
Ejemplo : Modelo Agile
3.- OWASP SAMM
Definición
•OWASP SAMM (Software Assurance Maturity Model) es un modelo de madurez
desarrollado por la organización OWASP (Open Worldwide Application Security
Project), diseñado para ayudar a las organizaciones a:
❖Evaluar
❖ Mejorar
❖ Gestionar sus prácticas de seguridad en el ciclo de vida del software (SDLC).
•OWASP SAMM (Software Assurance Maturity Model) es un modelo de madurez
desarrollado por la organización OWASP (Open Worldwide Application Security
Project), diseñado para ayudar a las organizaciones a:
❖Evaluar
❖ Mejorar
❖ Gestionar sus prácticas de seguridad en el ciclo de vida del software (SDLC).
Alcance
❑Integrar la seguridad desde el inicio del desarrollo de software.
❑Adaptarse a diferentes tamaños de organización y metodologías (ágil, cascada, DevOps, etc.).
❑Proporcionar una ruta clara de mejora continua en la seguridad del software.
❑Integrar la seguridad desde el inicio del desarrollo de software.
❑Adaptarse a diferentes tamaños de organización y metodologías (ágil, cascada, DevOps, etc.).
❑Proporcionar una ruta clara de mejora continua en la seguridad del software.
Para que sirve
❑Hacer un autodiagnóstico de madurez en seguridad.
❑Definir una hoja de ruta de mejora.
❑Alinear prácticas de desarrollo seguro con los objetivos de negocio.
❑Compararse frente a estándares o entre equipos/empresas.
❑Hacer un autodiagnóstico de madurez en seguridad.
❑Definir una hoja de ruta de mejora.
❑Alinear prácticas de desarrollo seguro con los objetivos de negocio.
❑Compararse frente a estándares o entre equipos/empresas.
Evolución
OpenSAMM
OpenSAMM
1.0
March2009
March2016
OWASP
SAMM1.1
February2017
OWASP
SAMM1.5
2018-2019
OWASP
SAMM2.0
OpenSAMM
OpenSAMM
1.0
March2009
March2016
OWASP
SAMM1.1
February2017
OWASP
SAMM1.5
2018-2019
OWASP
SAMM2.0
Evolución
Versión 1 (2009)
Versión 1 (2009)
Evolución
Versión 2 (2020)
Fuente: OWASP SAMM
3 ML
15
5
Funciónde
Negocio
Prácticade
Seguridad
Actividad Actividad
Prácticade
Seguridad
Actividad
ML: Maturity Level
Flujo Flujo
Versión 2 (2020)
Fuente: OWASP SAMM
3 ML
15
5
Funciónde
Negocio
Prácticade
Seguridad
Actividad Actividad
Prácticade
Seguridad
Actividad
ML: Maturity Level
Flujo Flujo
Evolución
Versión 2 (2019)
•Separación de Diseño y Operaciones
•Mayor claridad en actividades y objetivos
•Mejor alineación con metodologías ágiles y DevOps
•Mayor énfasis en riesgos y métricas de cumplimiento
•Materiales de soporte y documentación mejorados (guías, plantillas, herramientas).
Versión 2 (2019)
•Separación de Diseño y Operaciones
•Mayor claridad en actividades y objetivos
•Mejor alineación con metodologías ágiles y DevOps
•Mayor énfasis en riesgos y métricas de cumplimiento
•Materiales de soporte y documentación mejorados (guías, plantillas, herramientas).
Evolución
Evolución
•Objective
•Activities
•Assessment
•Results
•SuccessMetrics
•Costs
•Personnel
•RelatedLevels
•Objective
•Activities
•Assessment
•Results
•SuccessMetrics
•Costs
•Personnel
•RelatedLevels
Evaluación
4.- Estructura OWASP SAMM
Formato
Estructura
Funciones
Funciones : Gobierno
•Es el marco de dirección y control que establece la base para que las demás funciones (Diseño,
Implementación, Verificación y Operaciones) integren buenas prácticas de seguridad.
•Su objetivo es garantizar que la seguridad del software esté integrada en la visión estratégica,
en lugar de tratarla como una actividad técnica aislada.
Strategy and
Metrics
Policy &
Compliance
Education and
Guidance
Prácticas de Seguridad:
•Es el marco de dirección y control que establece la base para que las demás funciones (Diseño,
Implementación, Verificación y Operaciones) integren buenas prácticas de seguridad.
•Su objetivo es garantizar que la seguridad del software esté integrada en la visión estratégica,
en lugar de tratarla como una actividad técnica aislada.
Strategy and
Metrics
Policy &
Compliance
Education and
Guidance
Prácticas de Seguridad:
Funciones : Diseño
•Es el proceso de anticipar amenazas y estructurar arquitecturas seguras, incluso antes de
escribir una línea de código. Se relaciona con la seguridad por diseño (security by design).
•Su objetivo es Reducir el riesgo desde la fase de diseño, tomando decisiones informadas que
mitiguen vulnerabilidades antes de que el software se implemente.
Prácticas de Seguridad:
Threat
Assessment
Security
Requirements
Security
Architecture
•Es el proceso de anticipar amenazas y estructurar arquitecturas seguras, incluso antes de
escribir una línea de código. Se relaciona con la seguridad por diseño (security by design).
•Su objetivo es Reducir el riesgo desde la fase de diseño, tomando decisiones informadas que
mitiguen vulnerabilidades antes de que el software se implemente.
Prácticas de Seguridad:
Threat
Assessment
Security
Requirements
Security
Architecture
Funciones : Implementación
•En OWASP SAMM, la función de negocio Implementación (Implementation) se centra en asegurar que
el código fuente y los procesos de construcción del software se realicen de forma segura, controlada y
reproducible.
•Esta función busca garantizar la seguridad durante la codificación y el despliegue, aplicando buenas
prácticas de desarrollo seguro y control de versiones.
•Su objetivo es Reducir riesgos introducidos durante la codificación, construcción y despliegue de
software, asegurando que el producto final sea confiable y reproducible.
Prácticas de Seguridad:
Secure Build
Secure
Deployment
Defect
Management
•En OWASP SAMM, la función de negocio Implementación (Implementation) se centra en asegurar que
el código fuente y los procesos de construcción del software se realicen de forma segura, controlada y
reproducible.
•Esta función busca garantizar la seguridad durante la codificación y el despliegue, aplicando buenas
prácticas de desarrollo seguro y control de versiones.
•Su objetivo es Reducir riesgos introducidos durante la codificación, construcción y despliegue de
software, asegurando que el producto final sea confiable y reproducible.
Prácticas de Seguridad:
Secure Build
Secure
Deployment
Defect
Management
Funciones : Verificación
•En OWASP SAMM, la función de negocio Verificación (Verification) tiene como objetivo asegurar que el
software cumpla con los requisitos de seguridad esperados, a través de actividades de pruebas y
revisiones técnicas.
•Verificación se refiere a la evaluación activa del software para detectar vulnerabilidades, validar
controles implementados y mejorar la calidad del código desde el punto de vista de seguridad.
•Su objetivo es Detectar y corregir fallos de seguridad antes del lanzamiento, asegurando que el
producto entregado sea robusto y confiable.
Prácticas de Seguridad:
Architecture
Assessment
Requirements-
driven testing
Security
Testing
•En OWASP SAMM, la función de negocio Verificación (Verification) tiene como objetivo asegurar que el
software cumpla con los requisitos de seguridad esperados, a través de actividades de pruebas y
revisiones técnicas.
•Verificación se refiere a la evaluación activa del software para detectar vulnerabilidades, validar
controles implementados y mejorar la calidad del código desde el punto de vista de seguridad.
•Su objetivo es Detectar y corregir fallos de seguridad antes del lanzamiento, asegurando que el
producto entregado sea robusto y confiable.
Prácticas de Seguridad:
Architecture
Assessment
Requirements-
driven testing
Security
Testing
Funciones : Operaciones
•En OWASP SAMM , la función de negocio Operaciones (Operations) se enfoca en mantener la
seguridad del software durante su ejecución y ciclo de vida en producción. Es decir, aborda cómo
se gestiona la seguridad una vez que el software está desplegado.
•Se trata de garantizar que los entornos donde el software se ejecuta (producción, staging, etc.) estén
protegidos, monitoreados y preparados para responder a incidentes.
•Su objetivo es Asegurar que el software siga siendo seguro en su entorno operativo, gestionando
cambios, vulnerabilidades y eventos de seguridad de forma proactiva
Prácticas de Seguridad:
Incident
Management
Environment
Management
Operational
Management
•En OWASP SAMM , la función de negocio Operaciones (Operations) se enfoca en mantener la
seguridad del software durante su ejecución y ciclo de vida en producción. Es decir, aborda cómo
se gestiona la seguridad una vez que el software está desplegado.
•Se trata de garantizar que los entornos donde el software se ejecuta (producción, staging, etc.) estén
protegidos, monitoreados y preparados para responder a incidentes.
•Su objetivo es Asegurar que el software siga siendo seguro en su entorno operativo, gestionando
cambios, vulnerabilidades y eventos de seguridad de forma proactiva
Prácticas de Seguridad:
Incident
Management
Environment
Management
Operational
Management
5.- Niveles de Madurez
Niveles
Practica Incorporada
Mayor Eficiencia /
eficacia
Practica por
demanda
Practica incumplida •Vista Transparente en cada nivel
•Se ven mejoras detalladas
No
Muchas
Al menosla mitad
Pocas/Algunas
Practica Incorporada
Mayor Eficiencia /
eficacia
Practica por
demanda
Practica incumplida •Vista Transparente en cada nivel
•Se ven mejoras detalladas
No
Muchas
Al menosla mitad
Pocas/Algunas
6.- Roles OWASP SAMM
Roles
7.- Auto Evaluación
Ciclo de Vida
Preparación
Evaluación
Eleccióndel
Objetivo
Definicióndel
Plan
Implementación
Mejorar
Preparación
Evaluación
Eleccióndel
Objetivo
Definicióndel
Plan
Implementación
Mejorar
Preparación
•Asegurar un correcto inicio del proyecto.
DefinirelAlcance
IdentificarInteresados
Comunicar
•Asegurar un correcto inicio del proyecto.
DefinirelAlcance
IdentificarInteresados
Comunicar
Evaluación
•Identificar y comprender la madurez del alcance elegido en cada una de las 15 prácticas de
seguridad de software.
Evaluarlas prácticas
actuales
Determinarelnivel
de madurezactual
•Identificar y comprender la madurez del alcance elegido en cada una de las 15 prácticas de
seguridad de software.
Evaluarlas prácticas
actuales
Determinarelnivel
de madurezactual
Elección del Objetivo
•Desarrolle un puntaje objetivo que pueda usar como criterio de medición para guiarlo en la
acción sobre las actividades más importantes para su situación.
•
DefinirelObjetivo
Estimarelimpacto
•Desarrolle un puntaje objetivo que pueda usar como criterio de medición para guiarlo en la
acción sobre las actividades más importantes para su situación.
•
DefinirelObjetivo
Estimarelimpacto
Definición del Plan
•Desarrolle o actualice su plan para llevar su organización al siguiente nivel.
Determinarel
cronogramade cambios
Desarrollar/actualizar el
plan de la hoja de ruta
•Desarrolle o actualice su plan para llevar su organización al siguiente nivel.
Determinarel
cronogramade cambios
Desarrollar/actualizar el
plan de la hoja de ruta
Implementación
•Implementar el plan.
Implementar actividades. Implementar todas las actividades de este período. Considere su
impacto en los procesos, las personas, el conocimiento y las herramientas. El modelo SAMM
contiene consejos prescriptivos sobre cómo hacerlo. Los proyectos OWASP pueden facilitarlo.
•Implementar el plan.
Implementar actividades. Implementar todas las actividades de este período. Considere su
impacto en los procesos, las personas, el conocimiento y las herramientas. El modelo SAMM
contiene consejos prescriptivos sobre cómo hacerlo. Los proyectos OWASP pueden facilitarlo.
Mejorar
•Asegúrese de que las mejoras estén disponibles y se utilicen eficazmente dentro de la
organización.
Evangelizar mejoras
Medir la efectividad
•Asegúrese de que las mejoras estén disponibles y se utilicen eficazmente dentro de la
organización.
Evangelizar mejoras
Medir la efectividad
8.- Ejercicio
Microsoft Excel Toolbox
https://github.com/owaspsamm/core/releases/tag/v2.1.0
https://github.com/owaspsamm/core/releases/tag/v2.1.0
Microsoft Excel Toolbox
Microsoft Excel Toolbox
Microsoft Excel Toolbox
Gracias
Tags
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 14
- Slides 61
- Age 104 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
67 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
64 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
55 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
52 views
21
Know for Certain
DaveSinNM
29 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
33 views