Invitación a presentar expresiones de interés – Programa Seguridad en TIC – Proyecto Seguridad del software
Inicio: –Cierre: 09-06-2014Tipo: Expresiones de InterésÁrea: Seguridad en TICLugar a efectuarse el trabajo: Ciudad Autónoma de Buenos Aires.
| DIRECCIÓN PARA RETIRAR PLIEGOS y PRESENTAR PROPUESTAS | PLAZO PARA RETIRAR PLIEGOS | PLAZO PARA PRESENTAR LAS PROPUESTAS | APERTURA DE PROPUESTAS |
| Oficina de la FUNDACIÓN, sita en Av. Córdoba 744 Piso 5º Of. “I”, (C1054AAT) CABA, Rep. Argentina. TE: +54-11-4328-5164 | — | Las entidades interesadas deberán expresar su interés enviando una carta firmada por una autoridad competente de la organización y el cuestionario anexo de 14 preguntas por correo electrónico a stic@fundacionsadosky.org.ar o a la dirección postal indicada a continuación con fecha límite 9 de junio de 2014, designando un responsable institucional y un responsable técnico para seguimiento y participación en el proyecto. | — |
Consultas
Los interesados pueden obtener más información y enviar sus consultas por correo electrónico a stic@fundacionsadosky.org.ar
Resumen:
La Fundación Dr. Manuel Sadosky invita a empresas, organizaciones de la sociedad civil y organismos del Estado nacional y estados provinciales que realizan actividades de desarrollo de software, tanto para uso interno como para comercialización, a participar en una iniciativa para medir el estado de la seguridad del software desarrollado en la Argentina y promover actividades tendientes a mejorarlo.
La participación es gratuita y solo requiere que personal clave de la organización dedique 90 minutos a una entrevista presencial con el equipo del proyecto.
Como resultado del proyecto, las organizaciones participantes recibirán un informe de madurez con un diagnóstico general de su nivel de madurez respecto a la seguridad del software, una descripción detallada de todas las actividades detectadas que la organización ya realiza y un conjunto de recomendaciones generales y actividades específicas que podrían contribuir a lograr mejoras en el corto, mediano y largo plazo.
Las organizaciones interesadas deberán expresar su interés enviando al equipo del proyecto una carta firmada por una autoridad competente de la organización y completar el cuestionario anexo de 14 preguntas antes del 9 de junio de 2014.
Los requisitos y la información de contacto están detallados en la sección Requisitos de este documento.
Contexto
En diciembre de 2012, la Fundación Sadosky y la Facultad Regional Santa Fe de la Universidad Tecnológica Nacional, subscribieron un acta complementaria al convenio marco de cooperación y asistencia mutua firmado con anterioridad. Con la firma del acta se inició la ejecución del proyecto “Metodologías para evaluar la madurez de la seguridad en el proceso de desarrollo de software”, basado en la adaptación del modelo BSIMM (Building Security in Maturity Model) de madurez de seguridad de software. BSIMM es un modelo de madurez con licencia para uso y adaptación abierta y gratuita basado en el estudio de las iniciativas de desarrollo de software seguro adoptadas por más de 67 empresas reconocidas mundialmente –Google, Microsoft, Bank of America, Nokia, SAP, Visa e Intel, entre otras– que le permite a una empresa determinar cuál es su situación respecto a las actividades de desarrollo de software seguro, y cómo puede mejorar sus acciones en esta área.
El proyecto – auspiciado por el programa de Seguridad en TIC de la Fundación Sadosky con la coordinación técnica del Grupo de Investigación en Seguridad de Tecnologías de Información y comunicación (GISTIC) de la UTN, Facultad Regional Santa Fe– busca adaptar el modelo BSIMM al contexto nacional y desarrollar los recursos locales necesarios para promover, entre las empresas, organismos públicos y otras organizaciones con actividades de desarrollo de software – tanto para comercializar como para uso propio-, el empleo de metodologías orientadas a mejorar la calidad de sus productos en lo referente a la seguridad.
El lanzamiento de este proyecto conjunto se realizó el 14 de marzo de 2013 en la ciudad de Santa Fe, en la sede de la Universidad Tecnológica Nacional, donde a su vez se seleccionaron 5 empresas, radicadas en la ciudad y su zona de influencia, para participar de una prueba piloto de la utilización del modelo BSIMM en el contexto local.
En la prueba piloto, realizada entre mayo y junio del 2013, se hizo una “medición de la madurez de seguridad del software” a cada empresa participante, lo que permitió identificar y clasificar todas las actividades relacionadas con seguridad del software llevadas a cabo en la organización medida. Con los resultados de cada medición el equipo del proyecto elaboró, para cada organización, un reporte detallado de las actividades identificadas, un diagnóstico general sobre el estado de madurez y un conjunto de recomendaciones específicas de acciones prácticas a emprender en el corto, mediano y largo plazo para mejorar la seguridad de software de la organización.
La primera fase del proyecto se concluyó en 2013 con la entrega de los Informes de Madurez a cada organización participante.
Proyecto 2014
La segunda fase del proyecto -comprendida en el período de mayo a diciembre de 2014- tiene como objetivo obtener, utilizando la metodología desarrollada y probada en 2013, la primera medición general del nivel de madurez de organizaciones nacionales en lo relativo a seguridad del software.
Para ello se realizará una “medición BSIMM” en 12 organizaciones para las que las actividades de desarrollo de software sean críticas o de gran relevancia para la concreción de sus metas y objetivos.
Una “medición” se hace mediante una serie de entrevistas presenciales del equipo del proyecto a personal clave de la empresa a medir con el objetivo de identificar todas las actividades relacionadas con seguridad del software que la organización lleva a cabo. Las entrevistas no insumen más de 90 minutos cada una y no se requiere soporte documental para ellas. Una vez detectadas las actividades, se las clasifica en 12 prácticas y 4 dominios conceptuales de acuerdo al modelo BSIMM y se determina el nivel de madurez de la organización medida en general y en cada una de las prácticas.
Los resultados de la medición se presentarán a cada organización participante en un reporte que incluye un diagnóstico general del estado de la seguridad del software, un detalle de las actividades detectadas, gráficos comparativos con el promedio global de todas las organizaciones (67) medidas usando el modelo y recomendaciones de corto, mediano y largo plazo para mejorar la seguridad del software que desarrolla la organización.
La información relevada y los informes de madurez resultantes no serán divulgados públicamente ni entre las entidades participantes. Cada entidad participante sólo recibirá el informe de madurez propio y, con la finalización de la fase 2 del proyecto, un reporte con información estadística agregada que no identifique a los participantes ni sus prácticas de desarrollo de software.
Requisitos
La Fundación Dr. Manuel Sadosky invita a empresas, organizaciones de la sociedad civil y organismos del estado nacional y estados provinciales que realizan actividades de desarrollo de software, tanto para uso interno como para comercialización, a participar de manera gratuita en la primera medición de alcance nacional seguridad del software.
Las entidades interesadas deberán expresar su interés enviando una carta firmada por una autoridad competente de la organización y el cuestionario anexo de 14 preguntas por correo electrónico a stic@fundacionsadosky.org.ar o a la dirección postal indicada a continuación con fecha límite 9 de junio de 2014, designando un responsable institucional y un responsable técnico para seguimiento y participación en el proyecto.