A terceira versão da "Building Security In Maturity Model" (BSIMM) continua a adicionar dados do mundo real, (na definição de parâmetros de referência) para o êxito do desenvolvimento e operação de uma empresa de iniciativa de segurança de software. O estudo revela que as empresas participantes do projeto BSIMM, mostram melhoria mensurável em suas iniciativas de software de segurança ao longo do tempo.
BSIMM3 descreve o trabalho de 786 profissionais de software de segurança, que trabalham com um satélite de 1750 profissionais afiliados para garantir o software criado por 185.316 desenvolvedores.
Originalmente lançado em março de 2009, o BSIMM é a primeira ferramenta da indústria de softwarede mensuração de segurança, construída a partir de dados do mundo real, ao invés de ser baseada na filosofia e na teoria. Lembrando que o BSIMM2 foi lançado em maio de 2010, e triplicou o tamanho do estudo original de nove organizações, chegando a trinta.
Abrangência de Empresas Fornecedoras de Soluções Financeiras e Tecnológicas
Além de tudo isso, BSIMM3 abrange 42 empresas que representam uma série de oito verticais sobrepostas incluindo serviços financeiros (17), fornecedores de software independentes (15), empresas de tecnologia (10),telecomunicações (3), seguros (2), energia (2), meios de comunicação (2) e saúde (1).
A versão atual inclui 109 descrições de atividades completamente atualizadas e um estudo longitudinal, que descreve a evolução de onze das 42 empresas ao longo do tempo. O BSIMM atinge o desafio de medir a segurança, especialmente a segurança de software. A ferramenta de mensuração BSIMM e suas descobertas, são consideradas extremamente valiosos.
Através da utilização da vara de medição BSIMM, o Dr. GaryMcGraw, Dr. Brian Chess, e Sammy Migues realizaram uma série de reuniões pessoais com executivos encarregados de iniciativas de segurança de software. Assim, onze dessas sessões foram realizadas duas vezes com a mesma empresa, em uma média de 19 meses de intervalo, a fim de determinar como iniciativas em larga escala de software de segurança mudam com o tempo.
Destaques para a Terceira Versão do BSIMM:
BSIMM3 agora inclui 42 empresas, descreve 109 atividades em 12 práticas com 2 ou mais exemplos reais para cada atividade.
Onze empresas foram medidas duas vezes (fornecendo dados de Estudo Longitudinal) e os dados mostraram grande melhoria mensurável. O conjunto de dados BSIMM3 tem 81 medidas diferentes (algumas empresas foram medidas duas vezes, e algumas empresas têm várias divisões medidas separadamente).
BSIMM3 revela que empresas líderes em média, empregam dois especialistas em tempo integral de software de segurança para cada 100 desenvolvedores. Além de todas essas integrações e resultados grandiosos de um trabalho intensificado, os resultados da BSIMM3 mostram que as iniciativas de segurança de software são bem estabelecidas, com atividades em todas as doze práticas, incluindo: estratégia emétricas, de conformidade e de políticas, análisede arquitetura,revisão de código, testes de segurança, testes de penetração, e gerenciamento de configuração.
Entre as empresas que contribuem para o estudo, estão incluídas a Adobe, Aon, Bank of America, Capital One, The Depository Trust & Clearing Corporation (DTCC), EMC, Fannie Mae, Google, Intel, Intuit, McKesson, Microsoft, Nokia, QUALCOMM, Sallie Mae, SAP, Scripps Networks Interactive, Sony Ericsson, Standard Life, SWIFT, Symantec, Telecom Italia, Thomson Reuters, Visa, VMware, Wells Fargo e Zynga.
Links de Interesse:
-BSIMM