Metodología para la Construcción de Sistemas de Información Seguros Basada en Patrones y Experiencia

Abstract

La tecnología está cada vez más presente en nuestras vidas. Los sistemas de información son un elemento fundamental en la vida cotidiana de las personas. El uso que hacemos de dichos sistemas de información va desde un simple electrodoméstico hasta la más sofisticada tecnología que se encuentra en el ámbito industrial o de la medicina. Ocio, sanidad, defensa, banca, son sectores en los que la tecnología se ha convertido en imprescindible. Esta evolución experimentada en las últimas décadas hace que sea una tarea difícil estar siempre al día en lo que a la estabilidad de la tecnología se refiere. Esta situación causa que constantemente se detecten nuevas vulnerabilidades en dicha tecnología y en los sistemas de información construidos con la misma. Estas vulnerabilidades son críticas ya que son un objetivo para la delincuencia organizada debido a que al explotarlas obtienen beneficios cuantiosos. Por todo esto, es imprescindible que los sistemas de información que dan soporte a los diferentes procesos diarios de los ciudadanos estén construidos atendiendo a requisitos de seguridad y robustez. La tarea de construir sistemas de información seguros se hace más efectiva, si se diseñan desde el principio teniendo en mente la seguridad. De esta manera se evita que, una vez estén construidos, haya que rehacerlos con la pérdida de tiempo y coste que esto supone, para dejarlos robustos desde el punto de vista de seguridad, tanto de la tecnología como de la información que contienen. Pero la seguridad en un sistema de información no se puede aplicar de cualquier manera, y se torna imprescindible la aplicación de un método sistemático a la hora de construirlo para garantizar el éxito del mismo. Y por supuesto, también es necesario establecer una serie de mecanismos de control del ciclo de vida del sistema de información para que, una vez construidos, no merme su calidad y se pueda así mantener un nivel de seguridad óptimo a lo largo de la vida del sistema de información. En la actualidad este es un enfoque adecuado a la hora de abordar la creación de sistemas de información seguros. Pero no es suficiente para organizaciones reales y complejas que tienen sus sistemas de información distribuidos a lo largo de las diferentes geografías del mundo. Para este tipo de empresas, es necesario también que el método sistemático de construcción de sistemas de información seguros vaya acompañado de soluciones estructuradas, homogéneas y a ser posibles probadas y validadas. Este rol lo juegan los Patrones de Seguridad, que ayudan a los ingenieros de seguridad de las grandes organizaciones a diseñar e implementar sistemas de información seguros y homogéneos. El principal problema de este enfoque es que no existe a día de hoy ninguna metodología científica que cubra todos los requisitos expuestos anteriormente, y que además haya sido probada con éxito en organizaciones reales y complejas. Por este motivo esta tesis presenta una metodología para la construcción de arquitecturas tecnológicas seguras para los sistemas de información de este tipo de organizaciones basada en Patrones de Seguridad y con el soporte de la experiencia de más de 8 años desempeñando personalmente la labor de diseñar y construir sistemas de información seguros dentro de una organización real, que han llevado al autor de esta tesis a liderar el departamento de ingeniería de seguridad en el que trabajan más de 30 personas divididos en diferentes equipos. Para hacer un uso adecuado de las soluciones en formato de Patrones de Seguridad, se ha escogido la modalidad de Enterprise Security Patterns, ya que son un tipo de patrones que son capaces de representar arquitecturas tecnológicas completas de sistemas de información en diferentes niveles de abstracción. Por otro lado, la definición de las diferentes actividades de la metodología y los procesos pertenecientes a cada una de estas actividades se modelan utilizando SPEM 2.0 aportando rigurosidad a su definición de forma que se facilita su implementación por parte de los ingenieros de seguridad en cualquier tipo de organización. Además, se presenta una herramienta que da soporte a diferentes actividades de la metodología propuesta para que su adopción en cualquier organización sea más sencillo. Por último destacar que esta metodología, desde sus primeros borradores, lleva 4 años probándose en una organización real y compleja, aspecto que ha permitido su refinamiento y validación, así como ha aportado un gran beneficio a la empresa suponiendo un caso de éxito para la misma. Todo esto hace que la metodología propuesta sea eminentemente práctica y se haya conceptualizado desde un enfoque pragmático, pero sin olvidar los aspectos rigurosos de haber aplicado diversos métodos de investigación.