# SAMMY Reviews **Vendor:** Codific **Category:** [Otras herramientas GRC](https://www.g2.com/es/categories/other-grc-tools) **Average Rating:** 4.9/5.0 **Total Reviews:** 6 ## About SAMMY SAMMY es una plataforma de gestión de seguridad de aplicaciones que ayuda a las organizaciones a realizar evaluaciones de seguridad de aplicaciones, seguir la madurez y planificar mejoras medibles utilizando marcos de la industria. Está diseñado para líderes de seguridad de aplicaciones, gerentes de programas de seguridad, líderes de ingeniería y equipos que necesitan una forma estructurada de evaluar las prácticas actuales, identificar brechas y coordinar el trabajo de mejora en uno o más equipos o ámbitos. SAMMY admite evaluaciones contra marcos de madurez, programas y controles como OWASP SAMM, OWASP DSOMM, BSIMM, NIST SSDF, ISO 27001, NIST CSF y OWASP ASVS, además de otros estándares. Para reducir el esfuerzo duplicado, SAMMY incluye capacidades de mapeo de marcos que pueden trasladar resultados de un marco a otro, incluyendo mapeos OpenCRE y mapeos directos, con opciones que pueden generar una nueva evaluación basada en un mapeo. • Evaluaciones de múltiples marcos para diferentes tipos de evaluación, incluyendo autoevaluaciones, de arriba hacia abajo, de abajo hacia arriba, externas y evaluaciones de fusiones y adquisiciones, para apoyar diferentes contextos de evaluación. • Mapeos de marcos para reutilizar resultados entre marcos y reducir el trabajo de evaluación redundante cuando múltiples estándares están en el ámbito. • Hojas de ruta de mejora con asignaciones y plazos, además de orientación sobre objetivos y metas, para convertir los hallazgos de la evaluación en elementos de trabajo planificados para los equipos. • Tableros en vivo e informes internos para seguir las puntuaciones de madurez, el progreso hacia los objetivos y las comparaciones entre equipos, incluyendo exportaciones de análisis de brechas a Excel. • Informes externos que generan informes PDF formateados para apoyar auditorías y certificaciones utilizando resultados de evaluaciones y datos de validación. SAMMY también se puede utilizar para crear una cadencia de evaluación y gobernanza repetible que mantenga el trabajo de mejora de seguridad visible, priorizado y alineado con las expectativas de entrega de ingeniería y cumplimiento a lo largo del tiempo. ## SAMMY Reviews ### 1. SAMMY: Plataforma intuitiva y rica en marcos para la madurez de la seguridad y la mejora continua **Rating:** 5.0/5.0 stars **Reviewed by:** Jim Stanhope - C. | Staff Engineer - Product Security, Empresa (> 1000 empleados) **Reviewed Date:** February 27, 2026 **¿Qué es lo que más le gusta de SAMMY?** SAMMY es una plataforma excepcional para cualquier organización que se tome en serio la maduración de su programa de seguridad de aplicaciones y aseguramiento de software. Construido por colaboradores de OWASP SAMM (Modelo de Madurez de Aseguramiento de Software), SAMMY proporciona una forma estructurada, intuitiva y altamente efectiva de evaluar y mejorar las prácticas de seguridad a lo largo del ciclo de vida del desarrollo de software. Una de las mayores fortalezas de SAMMY es su amplio soporte para marcos de la industria. Incorpora sin problemas OWASP SAMM junto con estándares como ISO 27001, NIST SSDF y NIST SP 800‑34, lo que permite a los equipos gestionar el cumplimiento y la madurez de la seguridad en un solo lugar centralizado. Esa flexibilidad es especialmente valiosa para las organizaciones que necesitan equilibrar múltiples requisitos regulatorios o de seguridad. La plataforma también sobresale en la evaluación y mejora continua. Ayuda a los equipos a identificar rápidamente las brechas en su postura de seguridad actual y luego construir hojas de ruta significativas y medibles para abordarlas. La interfaz fácil de usar de SAMMY, combinada con el acceso basado en roles, apoya una colaboración fluida entre las partes interesadas técnicas y no técnicas por igual, un área donde muchas herramientas de seguridad se quedan cortas. Además de eso, el equipo de SAMMY es extremadamente receptivo a los comentarios de los clientes y a las solicitudes de características. Sugerí agregar la función OWASP AIMA (Evaluación de Madurez de Inteligencia Artificial), y tuvieron AIMA en SAMMY en unas pocas semanas. **¿Qué es lo que no le gusta de SAMMY?** No tengo ningún disgusto. SAMMY es una plataforma excelente que ofrece resultados significativos a un costo muy razonable. **¿Qué problemas resuelve SAMMY y cómo le beneficia eso?** Establecimiento de la línea base de la madurez del programa de aseguramiento de software, análisis de brechas y desarrollo de una hoja de ruta para la mejora. ### 2. Una plataforma poderosa para el cumplimiento de la ciberseguridad y la mejora continua de la madurez **Rating:** 5.0/5.0 stars **Reviewed by:** Mark W. | Chief Executive Officer, Pequeña Empresa (50 o menos empleados) **Reviewed Date:** February 04, 2026 **¿Qué es lo que más le gusta de SAMMY?** En Conquest Security, nuestra práctica de GRC se centra en diseñar, implementar y mantener Sistemas de Gestión de Seguridad de la Información (ISMS) que ayudan a las organizaciones a gestionar el riesgo, demostrar cumplimiento y mejorar continuamente su madurez en ciberseguridad. Utilizamos SAMMY como una plataforma central para apoyar programas basados en NIST CSF, implementaciones de ISO/IEC 27001 y preparación para CMMC Nivel 1 y Nivel 2 como una Organización de Practicantes Registrados de CMMC (RPO). ISO/IEC 27001 y CMMC requieren más que controles documentados. Requieren disciplina operativa, responsabilidades definidas y evidencia de ejecución sostenida. SAMMY proporciona una plataforma práctica para documentar la implementación de controles, asignar responsabilidades, rastrear acciones de tratamiento de riesgos y mantener evidencia a lo largo del tiempo. Para nuestro trabajo de preparación para CMMC Nivel 1 y Nivel 2, esto es crítico. Podemos mostrar claramente cómo se implementan, monitorean y sostienen las prácticas en lugar de ensamblarlas como artefactos de cumplimiento de una sola vez. SAMMY reúne evaluaciones, bibliotecas de controles y seguimiento de evidencia en un solo sistema. Esta integración es particularmente valiosa para organizaciones que alinean la gestión de riesgos empresariales, los resultados de NIST CSF, ISO/IEC 27001 y las prácticas de CMMC. Reduce la duplicación, mejora la trazabilidad y apoya resultados consistentes a través de revisiones internas, evaluaciones de preparación y auditorías externas. Desde una perspectiva de ISMS, esto apoya directamente las actividades de monitoreo continuo y revisión de gestión. El equipo de Codific demuestra un fuerte entendimiento práctico de los marcos de ciberseguridad y los desafíos reales de implementación de GRC. Su apoyo refleja cómo las organizaciones realmente construyen y operan programas alineados con CSF, implementan ISO/IEC 27001 y se preparan para evaluaciones de CMMC. Esta experiencia en el dominio acelera la incorporación y mejora la adopción a largo plazo, particularmente para organizaciones pequeñas y medianas sin equipos internos dedicados a GRC. **¿Qué es lo que no le gusta de SAMMY?** SAMMY está diseñado para apoyar programas de ciberseguridad estructurados y basados en un marco, por lo que las organizaciones obtienen el mayor valor cuando lo abordan con una mentalidad de Sistema de Gestión de Seguridad de la Información. Los equipos que están en las primeras etapas de su madurez en GRC pueden necesitar alguna orientación inicial para alinear completamente sus procesos, roles y documentación con la plataforma. En nuestra experiencia, cuando SAMMY se implementa junto con un soporte claro de gobernanza y asesoría, esta alineación inicial se convierte rápidamente en una fortaleza a largo plazo. **¿Qué problemas resuelve SAMMY y cómo le beneficia eso?** SAMMY resuelve el problema de las organizaciones que luchan por entender claramente su postura de seguridad actual y definir una postura objetivo realista y medible a través de equipos y ámbitos. Sin esta claridad, las inversiones en controles de ciberseguridad suelen ser ineficientes, desalineadas con el contexto empresarial o impulsadas únicamente por listas de verificación de cumplimiento en lugar de una mejora real. SAMMY permite a los equipos mapear su postura de seguridad actual y definir posturas objetivo a un nivel granular, a nivel de equipo. Estas posturas objetivo pueden estar impulsadas por el cumplimiento, como los requisitos de CMMC Nivel 1 o Nivel 2, o impulsadas por el riesgo, teniendo en cuenta la pila tecnológica de la organización, las realidades operativas y los objetivos empresariales. Este enfoque ayuda a maximizar el retorno de la inversión al enfocar el esfuerzo en controles que reducen significativamente el riesgo o avanzan en la madurez. La biblioteca de la plataforma de posturas objetivo predefinidas proporciona orientación práctica para diferentes marcos y contextos operativos, incluyendo NIST CSF, ISO/IEC 27001 y CMMC. Para Conquest Security, esto nos permite guiar a los clientes hacia resultados de seguridad alcanzables y defendibles y demostrar un progreso claro a lo largo del tiempo. Apoya un enfoque de sistema de gestión en el que la mejora de la postura de seguridad es intencional, medible y sostenida, en lugar de reactiva o impulsada por evaluaciones. ### 3. Evaluaciones de Madurez del Ciclo de Vida de Desarrollo de Software Simplificadas con SAMMY **Rating:** 4.5/5.0 stars **Reviewed by:** Simon M. | Secure Software Analyst, Mediana Empresa (51-1000 empleados) **Reviewed Date:** January 06, 2026 **¿Qué es lo que más le gusta de SAMMY?** La cualidad más fuerte de SAMMY es su alineación con principios con OWASP SAMM, entregada a través de un flujo de trabajo de entrevistas claro y guiado y una puntuación automática. Los cuestionarios estructurados, los cálculos integrados y las tarjetas de puntuación agilizan los talleres y mantienen las evaluaciones consistentes entre los equipos. En la práctica, esto reduce el tiempo de preparación y ayuda a los interesados a centrarse en la evidencia y las decisiones en lugar de en la mecánica. La capacidad de exportar resultados en un formato compatible con benchmarks es particularmente útil cuando colaboramos en líneas base de madurez y compartimos ideas anonimizadas con iniciativas comunitarias. También apreciamos el acceso seguro basado en roles y la incorporación con múltiples factores, lo que apoya nuestra mentalidad de cumplimiento mientras mantiene la herramienta accesible para no especialistas. Coordinar licencias e invitaciones para nuevos analistas ha sido sencillo y nos permite iniciar sesiones de trabajo rápidamente. En general, SAMMY ofrece una combinación bien equilibrada de fidelidad metodológica, eficiencia operativa y resultados pragmáticos que son fáciles de discutir tanto con ingeniería como con la gerencia. Su estructura consistente nos ayuda a comparar equipos de manera justa, priorizar mejoras y conectar los hallazgos de las evaluaciones con hojas de ruta accionables sin perder trazabilidad. Además, el equipo es muy reactivo y varias veces he visto características que solicité siendo implementadas en pocas semanas. **¿Qué es lo que no le gusta de SAMMY?** Aunque SAMMY es efectivo, hay algunas áreas que podrían mejorar la experiencia del usuario. Los flujos del ciclo de vida de la cuenta pueden ser frágiles a veces (rara vez, para ser honesto), lo que interrumpe la incorporación para los equipos de proyecto ocupados. Desde una perspectiva de informes, el cuadro de mando estandarizado es útil, pero el diseño y las opciones de personalización se sienten limitados para algunas audiencias; plantillas más ricas (narrativas configurables, visualizaciones, agrupaciones de riesgos,...) ayudarían a adaptar los entregables a diferentes partes interesadas sin procesamiento posterior. Ninguno de estos puntos son obstáculos, y no disminuyen el valor del producto principal. Abordarlos simplemente haría que SAMMY fuera más resiliente en entornos empresariales complejos y aceleraría aún más nuestra facilitación durante las evaluaciones. **¿Qué problemas resuelve SAMMY y cómo le beneficia eso?** SAMMY nos ayuda a estandarizar y escalar nuestras evaluaciones de madurez del SDLC. Al mapear directamente SAMM con otros marcos como ISO27001, proporciona un lenguaje común entre los equipos de gobernanza y técnicos, asegurando que las prácticas se evalúen de manera consistente y que las acciones de mejora sean rastreables. Esta claridad reduce el debate sobre los criterios, acelera los talleres y apoya la toma de decisiones basada en evidencia. Operativamente, las entrevistas guiadas y la puntuación automatizada de la herramienta acortan el tiempo de ciclo y mejoran la calidad, permitiéndonos comparar múltiples equipos en igualdad de condiciones e identificar remediaciones de alto impacto. También fortalece la colaboración entre varios evaluadores en un solo proyecto. En resumen, SAMMY reduce la carga de las evaluaciones, aumenta la consistencia y convierte los hallazgos de madurez en hojas de ruta accionables y priorizadas. ### 4. Herramienta SAMM de primera clase con soporte y escalabilidad excepcionales **Rating:** 5.0/5.0 stars **Reviewed by:** Usuario verificado en Consultoría | Mediana Empresa (51-1000 empleados) **Reviewed Date:** January 12, 2026 **¿Qué es lo que más le gusta de SAMMY?** Es la mejor herramienta con soporte comercial para implementar SAMM, y se adapta bien desde un único ámbito hasta organizaciones multinacionales complejas. Realmente destaca cuando los equipos están capacitados para hacerse cargo de su propia hoja de ruta de mejora, ya que crea un centro central para que todas las partes interesadas puedan seguir el progreso. El ritmo de desarrollo es rápido y el equipo de codificación siempre está dispuesto a escuchar comentarios e incorporar mejoras sugeridas si creen que beneficia a la base de usuarios más amplia. La herramienta ha evolucionado de ser una herramienta SAMM a una suite de gestión de madurez más genérica con cobertura para varios marcos ampliamente utilizados en el espacio de GRC y seguridad de productos. **¿Qué es lo que no le gusta de SAMMY?** La herramienta sigue evolucionando y, a veces, las funciones o los diseños cambian. Por otro lado, es una señal de desarrollo continuo. **¿Qué problemas resuelve SAMMY y cómo le beneficia eso?** Para mí, Sammy resuelve la implementación de SAMM a escala empresarial. La caja de herramientas SAMM por defecto es una herramienta decente para comenzar, pero tan pronto como superas la marca de 8-10 equipos para gestionar, manejar los archivos de la caja de herramientas se convierte en una pesadilla. Sammy es un soplo de aire fresco y te permite gestionar decenas o incluso cientos de equipos con facilidad, con potentes características para identificar dependencias, informar sobre el progreso y mapear los impulsores de cumplimiento externo a las hojas de ruta del equipo. ### 5. Herramienta SAMMY intuitiva con paneles claros, integraciones potentes y soporte increíble. **Rating:** 5.0/5.0 stars **Reviewed by:** Usuario verificado en Tecnología de la información y servicios | Pequeña Empresa (50 o menos empleados) **Reviewed Date:** March 21, 2026 **¿Qué es lo que más le gusta de SAMMY?** SAMMY ayuda a dar vida al Modelo de Madurez de Aseguramiento de Software. Proporciona una interfaz intuitiva para capturar el estado actual de las respuestas en SAMM y va más allá al ofrecer establecimiento de objetivos para metas y planificación de proyectos. Las integraciones con numerosos marcos complementarios son invaluables para el cumplimiento o la comprensión de la cobertura. SAMMY apoya a múltiples equipos o líneas de negocio para que toda la organización pueda estar representada. Los paneles y los informes son claros y proporcionan una buena visión del estado actual y el progreso que se está logrando. La interfaz de usuario es receptiva y fluida. El equipo ha brindado un soporte increíble cuando ha sido necesario. **¿Qué es lo que no le gusta de SAMMY?** Realmente no tengo ninguna queja sobre SAMMY en este momento. Aprecio que esté enfocado en proporcionar una herramienta de gestión sólida para la garantía de software a un buen precio, sin intentar ser todo para todos. **¿Qué problemas resuelve SAMMY y cómo le beneficia eso?** Intentando gestionar el desarrollo seguro de software a gran escala. La hoja de cálculo de Excel que proporciona SAMM es un buen comienzo, pero cuando llegas al punto en que necesitas seguir el progreso, los cambios, las mejoras y múltiples equipos, SAMMY es invaluable en este ámbito y ahorra mucho tiempo y ayuda a garantizar la consistencia y precisión. ### 6. Convirtió un proceso doloroso y confuso en uno alcanzable. **Rating:** 5.0/5.0 stars **Reviewed by:** Usuario verificado en Gestión Educativa | Pequeña Empresa (50 o menos empleados) **Reviewed Date:** February 25, 2026 **¿Qué es lo que más le gusta de SAMMY?** Convirtieron un proceso doloroso y confuso en uno alcanzable. Y mi interacción de soporte con ellos fue de primera clase. **¿Qué es lo que no le gusta de SAMMY?** Realmente no tengo quejas. Inicialmente tenía algunas, pero les di mi opinión y lo arreglaron todo al día siguiente. **¿Qué problemas resuelve SAMMY y cómo le beneficia eso?** Lo usamos para realizar el seguimiento del proceso de cumplimiento de NIST-800-171. - [View SAMMY pricing details and edition comparison](https://www.g2.com/es/products/sammy/reviews?section=pricing&secure%5Bexpires_at%5D=2026-05-26+06%3A28%3A49+-0500&secure%5Bsession_id%5D=160c0293-acb9-4dbe-985d-30a10d30a2d8&secure%5Btoken%5D=3d189dba5f4dd52d1e2d3e0f609404aa451f750355dd29038f6ca1754a3200dc&format=llm_user) ## Top SAMMY Alternatives - [Microsoft Purview Records Management](https://www.g2.com/es/products/microsoft-purview-records-management/reviews) - 4.3/5.0 (39 reviews) - [Formalize](https://www.g2.com/es/products/formalize/reviews) - 4.9/5.0 (37 reviews) - [SAP Management of Change](https://www.g2.com/es/products/sap-management-of-change/reviews) - 4.1/5.0 (17 reviews)