Costes de desarrollo seguros

20

¿Qué estudios de casos o referencias están disponibles de las compañías que han implementado un proceso de desarrollo seguro (por ejemplo, SDL o similar) en relación con el costo / esfuerzo involucrado?

Si bien es probable que cada departamento de desarrollo sea un caso único, aún es importante comprender aproximadamente los costos de un programa antes de dedicar mucho tiempo a la determinación del alcance.

Algunas referencias disponibles son este artículo reciente que enlaza con este Grupo Aberdeen que busca tener alguna información interesante y esta referencia aquí . Es un poco académico y con mucha fórmula, pero algo de información interesante.

    
pregunta Rоry McCune 26.05.2011 - 15:10
fuente

1 respuesta

9

Con las fórmulas del libro, "Métricas de seguridad de TI", puede asignar personal a su organización con profesionales de seguridad de aplicaciones que coincidan con el número predecible de incidentes por trimestre utilizando una distribución de Poisson. Podría calcular 100 mil dólares por año por salario (duplicado en la mayoría de los casos debido a los beneficios y el costo del negocio), 180 mil dólares por año por 3 SAST comercial y 25 mil dólares por año por 1 DAST (por persona). La gente y las herramientas son muy caras. Asegúrese de no gastar más del 37 por ciento de los activos que intenta proteger. Recuerde que Veracode cuesta alrededor de 5 a 6 mil dólares por aplicación (aplicaciones en incrementos de tamaño de paquete de 100 MB) que los envíe, y que los precios de los competidores no están muy lejos de ese número también.

Si desea utilizar una aproximación, como las que se usan en la seguridad de la información normal, existe el "6-7 por ciento" aprobado por Gartner del total de la fórmula de activos de TI. Para la seguridad de la aplicación, simplemente aplique estos números en los activos de desarrollo de la aplicación de una organización.

    
respondido por el atdre 26.05.2011 - 16:25
fuente

Lea otras preguntas en las etiquetas