OWASP SAMM es el modelo de madurez para el aseguramiento de software que te guía paso a paso para construir y evaluar aplicaciones seguras. Te sirve si lideras tecnología, diseñas software o necesitas auditar productos antes de adquirirlos.

A diferencia del Top 10, que solo lista los riesgos críticos más comunes, SAMM te entrega una metodología completa para integrar seguridad en cada etapa del ciclo de vida del software.

¿Qué es OWASP SAMM y en qué se diferencia del Top 10?

SAMM organiza la seguridad en cinco funciones de negocio que cubren todo el ciclo del software. Cada una agrupa prácticas concretas que puedes evaluar y mejorar.

• Gobernanza: políticas, métricas y reglas internas.
• Diseño: evaluación de amenazas y requisitos de seguridad.
• Implementación: cómo se construye el software.
• Verificación: pruebas de seguridad y security testing.
• Operaciones: hardening, firewalls y mantenimiento seguro.

¿Qué diferencia hay entre OWASP SAMM y el OWASP Top 10? El Top 10 enumera los 10 riesgos más críticos en aplicaciones web. SAMM, en cambio, te da una metodología completa para diseñar, construir y operar software seguro de forma medible.

El término modelo de madurez importa: no puedes transformar tu desarrollo de un día para otro. Te pones metas por práctica y avanzas por fases [01:30].

¿Cómo se evalúan las amenazas y los requisitos de seguridad?

En la función de diseño, SAMM te pide construir un threat model que identifique actores, motivaciones y exposición de tus aplicaciones [02:15]. Aquí defines a qué riesgos te enfrentas antes de escribir una línea de código.

De ese análisis salen los requisitos de seguridad: tipo de información que manejas, su sensibilidad y su valor. De ahí se desprenden decisiones técnicas como qué cifrado usar para proteger comunicaciones o datos almacenados.

¿Para qué sirve un modelo de amenazas? Para entender quién podría atacar tu aplicación, por qué lo haría y qué activos están en riesgo. Es la base para definir los controles técnicos correctos.

¿Cómo funcionan las pruebas de seguridad dentro de SAMM?

Dentro de la función de verificación existe la práctica de security testing, que evoluciona conforme tu organización madura [03:00].

• En niveles iniciales, las pruebas se hacen antes de pasar a producción.
• En niveles intermedios, aparecen las pruebas estáticas mientras el código se desarrolla.
• En niveles superiores, se suman pruebas dinámicas en ambientes de prueba.

El ethical hacking y el penetration testing encajan en esta práctica y te permiten mostrar diligencia frente a clientes que exigen auditorías. El hardening de servidores y la configuración de firewalls también caen dentro del modelo, en la función de operaciones.

¿Cómo se usa el toolbox de OWASP SAMM en Google Sheets o Excel?

SAMM ofrece un toolbox gratuito en hoja de cálculo que arranca con una entrevista de evaluación [04:20]. La herramienta te recorre cada función de negocio, sus prácticas y sus actividades, preguntándote si las aplicas o no.

Cada respuesta se mapea contra tres niveles de madurez y genera un ranking por práctica y un overall por función. ¿A quién debes entrevistar? Al arquitecto de software, al líder de tecnología y a quienes mejor conozcan cómo se diseña y opera el software en tu organización.

¿Quién debe responder la evaluación de OWASP SAMM? El arquitecto de software, el líder de tecnología y las personas con mayor conocimiento del diseño y la operación de las aplicaciones.

Al terminar, obtienes una gráfica de radio que muestra qué tan avanzada o deficiente está cada práctica de seguridad. Ese es tu punto de partida real.

¿Cómo se planifica la madurez con la gráfica de ballenas?

La parte interesante viene después: definir hacia dónde quieres ir. SAMM te permite proyectar tu madurez en fases (cada tres, seis o doce meses) y visualizarla en lo que se conoce como gráfica de ballenas [06:45].

Aquí va una advertencia clave: es fácil llenar el documento prometiendo demasiado. Sé realista con lo que tu organización puede ejecutar.

• Una fábrica de software como Aventuras Platzi Corp puede priorizar formación del equipo y calidad del código.
• Una entidad financiera o de salud necesita un nivel alto de cumplimiento de normas y leyes.
• Otras compañías deciden no madurar en cumplimiento si su modelo de negocio no lo exige.

En el ejemplo presentado, la organización busca llegar a nivel alto en evaluación de amenazas y al máximo en educación y concientización, pero mantiene bajo el cumplimiento normativo porque no es prioridad estratégica [08:10].

Cómo definir tus compromisos por fase

Por cada función de negocio decides qué hacer en la fase uno, dos, tres y cuatro. La recomendación es experimentar primero y ajustar después. El valor del modelo está en que siempre puedes compararte con tu pasado y comprobar que mejoraste.

Esta planificación también te ayuda a detectar necesidades de herramientas, recursos, formación del equipo y perfiles mínimos para contratar, completando un hito clave dentro de tu programa de seguridad de la información.

¿Ya hiciste una autoevaluación con el toolbox de SAMM en tu equipo? Cuéntame en los comentarios en qué función de negocio detectaste la mayor brecha.