Metodología para la Construcción de Sistemas de Información Seguros Basada en Patrones y Experiencia
Fecha
2015
Autores
Título de la revista
ISSN de la revista
Título del volumen
Editor
Universidad Rey Juan Carlos
Resumen
La tecnología está cada vez más presente en nuestras vidas. Los sistemas de información son un elemento fundamental en la vida cotidiana de las personas. El uso que hacemos de dichos sistemas de información va desde un simple electrodoméstico hasta la más sofisticada tecnología que se encuentra en el ámbito industrial o de la medicina.
Ocio, sanidad, defensa, banca, son sectores en los que la tecnología se ha convertido en imprescindible.
Esta evolución experimentada en las últimas décadas
hace que sea una tarea difícil estar siempre al día en lo que a la estabilidad de la tecnología se refiere.
Esta situación causa que constantemente se detecten
nuevas vulnerabilidades en dicha tecnología y en los sistemas de información construidos con la misma.
Estas vulnerabilidades son críticas ya que son un objetivo para la delincuencia organizada debido a que
al explotarlas obtienen beneficios cuantiosos.
Por todo esto, es imprescindible que los sistemas de
información que dan soporte a los diferentes procesos diarios de los ciudadanos estén construidos atendiendo a requisitos de seguridad y robustez.
La tarea de construir sistemas de información seguros se hace más efectiva, si se diseñan desde el principio teniendo en mente la seguridad.
De esta manera se evita que, una vez estén construidos, haya que rehacerlos con la pérdida de
tiempo y coste que esto supone, para dejarlos robustos desde el punto de vista de seguridad, tanto de la tecnología como de la información que contienen.
Pero la seguridad en un sistema de información no se
puede aplicar de cualquier manera, y se torna imprescindible la aplicación de un método sistemático a la hora de construirlo para garantizar el éxito del mismo.
Y por supuesto, también es necesario establecer una serie de mecanismos de control del ciclo de vida del
sistema de información para que, una vez construidos, no merme su calidad y se pueda así mantener un nivel de seguridad óptimo a largo de la vida del sistema de información.
En la actualidad este es un enfoque adecuado a la hora de abordar la creación de sistemas de información seguros.
Pero no es suficiente para organizaciones reales y complejas que tienen sus sistemas de información
distribuidos a lo largo de las diferentes geografías del mundo.
Para este tipo de empresas, es necesario también que
el método sistemático de construcción de sistemas de información seguros vaya acompañado de soluciones estructuradas, homogéneas y a ser posibles probadas y validadas.
Este rol lo juegan los Patrones de Seguridad, que ayudan a los ingenieros de seguridad de las grandes
organizaciones a diseñar e implementar sistemas de
información seguros y homogéneos.
El principal problema de este enfoque es que no existe a día de hoy ninguna metodología científica que cubra todos los requisitos expuestos anteriormente, y que además haya sido probada con éxito en organizaciones reales y complejas.
Por este motivo esta tesis presenta una metodología para la construcción de arquitecturas tecnológicas seguras para los sistemas de información de este tipo
de organizaciones basada en Patrones de Seguridad y con el soporte de la experiencia de más de 8 años desempeñando personalmente la labor de diseñar y
construir sistemas de información seguros dentro de
una organización real, que han llevado al autor de esta tesis a liderar el departamento de ingeniería de seguridad en el que trabajan más de 30 personas divididos en diferentes equipos.
Para hacer un uso adecuado de las soluciones en formato de Patrones de Seguridad, se ha escogido la
modalidad de Enterprise Security Patterns, ya que son un tipo de patrones que son capaces de representar arquitecturas tecnológicas completas de sistemas de información en diferentes niveles de abstracción. Por otro lado, la definición de las diferentes actividades de la metodología y los procesos pertenecientes a cada una de estas actividades se modelan utilizando SPEM 2.0 aportando rigurosidad a su definición de forma que se facilita su implementación por parte de los ingenieros de seguridad en cualquier tipo de organización.
Además, se presenta una herramienta que da soporte a diferentes actividades de la metodología propuesta para que su adopción en cualquier organización sea más sencillo.
Por último destacar que esta metodología, desde sus
primeros borradores, lleva 4 años probándose en una
organización real y compleja, aspecto que ha permitido su refinamiento y validación, así como ha aportado un gran beneficio a la empresa suponiendo un caso de éxito para la misma.
Todo esto hace que la metodología propuesta sea eminentemente práctica y se haya conceptualizado desde un enfoque pragmático, pero sin olvidar los aspectos rigurosos de haber aplicado diversos métodos de investigación.
Descripción
Tesis Doctoral leída en la Universidad Rey Juan Carlos de Madrid en 2015. Directores de la Tesis: Eduardo
Fernandez--¿Medina
Patón y Marcos
López
Sanz