SAMMY es una plataforma de gestión de seguridad de aplicaciones que ayuda a las organizaciones a realizar evaluaciones de seguridad de aplicaciones, seguir la madurez y planificar mejoras medibles utilizando marcos de la industria.
Está diseñado para líderes de seguridad de aplicaciones, gerentes de programas de seguridad, líderes de ingeniería y equipos que necesitan una forma estructurada de evaluar las prácticas actuales, identificar brechas y coordinar el trabajo de mejora en uno o más equipos o ámbitos. SAMMY admite evaluaciones contra marcos de madurez, programas y controles como OWASP SAMM, OWASP DSOMM, BSIMM, NIST SSDF, ISO 27001, NIST CSF y OWASP ASVS, además de otros estándares.
Para reducir el esfuerzo duplicado, SAMMY incluye capacidades de mapeo de marcos que pueden trasladar resultados de un marco a otro, incluyendo mapeos OpenCRE y mapeos directos, con opciones que pueden generar una nueva evaluación basada en un mapeo.
• Evaluaciones de múltiples marcos para diferentes tipos de evaluación, incluyendo autoevaluaciones, de arriba hacia abajo, de abajo hacia arriba, externas y evaluaciones de fusiones y adquisiciones, para apoyar diferentes contextos de evaluación.
• Mapeos de marcos para reutilizar resultados entre marcos y reducir el trabajo de evaluación redundante cuando múltiples estándares están en el ámbito.
• Hojas de ruta de mejora con asignaciones y plazos, además de orientación sobre objetivos y metas, para convertir los hallazgos de la evaluación en elementos de trabajo planificados para los equipos.
• Tableros en vivo e informes internos para seguir las puntuaciones de madurez, el progreso hacia los objetivos y las comparaciones entre equipos, incluyendo exportaciones de análisis de brechas a Excel.
• Informes externos que generan informes PDF formateados para apoyar auditorías y certificaciones utilizando resultados de evaluaciones y datos de validación.
SAMMY también se puede utilizar para crear una cadencia de evaluación y gobernanza repetible que mantenga el trabajo de mejora de seguridad visible, priorizado y alineado con las expectativas de entrega de ingeniería y cumplimiento a lo largo del tiempo.
