OWASP SAMM v2.0 · 5 funciones · 15 prácticas · 2 streams · 3 niveles EU CRA · Reglamento (UE) 2024/2847
Inicio Simulación interactiva SAMM v2 → CRA-ready
Software Assurance Maturity Model

Asegura el SDLC con OWASP SAMM v2
de cero a CRA-ready

Tres simulaciones reales sobre el mismo modelo: adoptar en ciclos pequeños, fijar el riesgo a tu medida y hacer una medición simple de madurez. Cada una termina con la misma meta: una hoja de ruta verificable hasta el Reglamento de Ciberresiliencia europeo (EU CRA).

▸ Empezar simulación Ver contexto
Ilustración de simulación SAMM CRA
0
Funciones de negocio
0
Prácticas de seguridad
0
Niveles de madurez
0
CRA · aplicación plena
Contexto · qué problema resolvemos El modelo

SAMM v2: el mapa, el CRA: el destino

OWASP SAMM v2.0 es un modelo abierto para medir y mejorar la madurez de seguridad de tu software. Organiza el trabajo en 5 funciones de negocio, cada una con 3 prácticas (15 en total). Cada práctica tiene 2 streams (A y B) y se evalúa en 3 niveles de madurez. El EU CRA (Reglamento (UE) 2024/2847) es la regulación que exige seguridad por diseño y gestión de vulnerabilidades a casi todo producto con elementos digitales vendido en la UE.

Las 15 prácticas de seguridad

Las marcadas CRA son las que más directamente sostienen las obligaciones del Reglamento (seguridad por diseño y por defecto + manejo de vulnerabilidades).

La línea de tiempo del CRA (fechas oficiales)

Fuente: Reglamento (UE) 2024/2847; resumen oficial de la Comisión Europea (digital-strategy.ec.europa.eu).

¿Listo para simular?

Empieza por adoptar SAMM en ciclos pequeños — la forma recomendada por OWASP.

▸ Ir a Ciclos pequeños
Sub-simulación 01 · adopción iterativa Ciclos pequeños

Mejora por iteraciones, no de golpe

SAMM se adopta en fases cortas: cada iteración sube unas pocas prácticas un nivel, priorizando lo que más mueve la aguja del CRA. Ajusta cuántas iteraciones y cuánta capacidad tienes por ciclo y observa cómo evoluciona la madurez y cuándo cruzas los hitos reales del CRA.

0.00
Madurez global al final (0–3)
0%
Prácticas CRA-críticas en nivel ≥ 2
0
Meses totales del plan

Curva de madurez acumulada

Plan por iteración

Hoja de ruta: de cero a CRA-ready

Sub-simulación 02 · objetivos basados en riesgo Riesgo a tu medida

No todos necesitan nivel 3 en todo

SAMM es basado en riesgo: el nivel objetivo de cada función depende de tu exposición. Define el perfil de tu producto y la simulación calcula el nivel objetivo recomendado por función de negocio. La clase CRA del producto eleva los objetivos de Diseño, Implementación y Operaciones, que es donde el Reglamento pone el foco.

0
Índice de riesgo (0–100)

Nivel objetivo recomendado por función

Escala 0–3 (nivel de madurez SAMM). El objetivo se ajusta a tu perfil de riesgo: a mayor exposición, mayor nivel objetivo. Heurística pedagógica de esta simulación basada en el enfoque basado en riesgo de SAMM.

Hoja de ruta: de cero a CRA-ready

Sub-simulación 03 · assessment / scorecard Medición simple

Mide dónde estás hoy

Una evaluación SAMM consiste en asignar un nivel de madurez (0–3) a cada práctica. Marca tu nivel actual en las 15 prácticas (o usa un preset) y obtén el scorecard: madurez por función, madurez global y el perfil en radar. Al final verás tus brechas CRA.

Presets:
0.00
Madurez global (0–3)
Nivel global aproximado

Madurez por función de negocio

Hoja de ruta: de cero a CRA-ready

Conclusión · verifica lo aprendido Quiz final

6 preguntas · datos reales SAMM v2 + CRA

Cada respuesta incluye su justificación con la fuente. No hay penalización: el objetivo es consolidar los hechos verificables del modelo y del Reglamento.

Tu puntuación
0 / 6
Responde las preguntas para ver tu resultado.

¿Quieres aplicar SAMM v2 a tu producto?

Cuéntanos tu caso y te orientamos para trazar tu hoja de ruta de cero a CRA-ready.

Contáctanos → Medir mi madurez