ingeniero
INFONOR 2012
.
.
.
• Presentación del relator
• Iniciativas similares a SAMM
• El modelo SAMM
• Aplicación de SAMM
• Niveles y Actividades SAMM
• SAMM en el mundo real.
Carlos Allendes Droguett
carlos.allendes@owasp.org
1
29-05-2013
Carlos Allendes Droguett
carlos.allendes@owasp.org
Presidente del capítulo OWASP Chile
Ingeniero Civil enInformática, USACH
Experiencia exitosa en proyectos
PCI DSS, acreditación seguridad
ITIL, implantación procesos
CMMi, evaluación sw factory
SCM, Gestión configuración software
PMO, creación y gestiónoficinas de proyectos
Testing Factory, implantación modelo Testing Remoto
Dominio herramientas de IT Governance, Testing y PMO
.
.
Carlos Allendes Droguett
carlos.allendes@owasp.org
229-05-2013
CLASP= Comprehensive, Lightweight Application Security Process
Proceso de seguridad de aplicación completo y liviano
– 7 buenas prácticas para desarrollo de aplicaciones seguras
–Cubre todo el SDLC (no sólo fase de desarrollo)
Adaptable a cualquier proceso de desarrollo
– Define roles en todo el SDLC
– 24 procesos basados en definición de roles
– Comienzo simple yadaptación según necesidades
.
Security Development LifeCicle
Construido internamente por MS para software MS
Extendido y hecho público para la comunidad
Validado por la comunidad OpenSource
.Carlos Allendes Droguett
carlos.allendes@owasp.org
3
29-05-2013
• El modelo de Gary McGraw y Cigital
.
CLASP
Amplia colección de actividades, pero sin priorización.
Microsoft SDLMuy “denso”, bueno para grandes sw Factory
Touchpoints
De alto nivel, operativamente no es muy detallado.
TODOS
• Buenos para usuarios expertos, usables como referencia.
• Dificiles parausarlos como guía, cuando el usuario(s) no
tiene conocimientos de seguridad.
.
Carlos Allendes Droguett
carlos.allendes@owasp.org
4
29-05-2013
.
Las organizaciones cambian lentamente...
Regístrate para leer el documento completo.