Desarrollo software para salud - prácticas de desarrollo seguro SSDF NIST

¿Desarrollas software para el sector salud?

¿Qué tanto valoras seguir prácticas de desarrollo seguro?

En los últimos tiempos con nuestro equipo hemos estado seleccionando empresas que pudieran realizar desarrollo software a la medida en salud y nos preguntábamos cómo debíamos evaluarlas en relación a distintos aspectos.

Dentro de las diferentes métricas o instrumentos que consideramos para evaluar las empresas de desarrollo en particular en relación con los aspectos de seguridad, decidimos hacer también una suerte de experimento incorporando las recomendaciones que emanan del white paper del NIST “ Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF) ” (edición del 23 de Abril 2020 que disponible al siguiente enlace).

Nos preguntamos de qué forma podíamos solicitar a cada empresa que se manifestara acerca de estas prácticas, para que pudiera decirnos si las tiene implementadas y en caso positivo, en qué medida las tiene implementadas.

Fue así que decidimos en primer lugar traducir las prácticas y luego solicitamos a cada empresa que llenara un formulario expresando en qué medida consideraba que la tenía implementada a través de la siguiente “codificación” (ver imagen a continuación).

Resultados

Las respuestas que recibimos fueron sorprendentes. Casi dos tercios de las empresas de desarrollo que nos contestaron declararon que tenían implementadas todas las prácticas en su máximo nivel: código 3 !!! lo que -de ser cierto- sería algo espectacular.

Conclusiones

Considerando también otras informaciones sobre el perfil de las empresas que contestaron indicando que tenían el nivel máximo en todas las prácticas, se puede inferir que muchas de las respuestas probablemente no fueron sinceras. En esta ronda experimental no solicitamos evidencias ni tampoco implementamos mecanismos de verificación de la información proporcionada. Pero en la siguiente ronda no será así.

¿Quieres ver el formato del formulario basado en las prácticas del SSDF NIST que enviamos?

Lo puedes bajar a partir de este enlace.

¿Se te ocurren ideas para mejorarlo ?

Participa comentando en este hilo.

Excelente trabajo Maurizio, FELICITACIONES

Lic. Jorge A. Guerra
Management en Salud
Buenos Aires - Argentina