Metodología para la Construcción de Sistemas de Información Seguros Basada en Patrones y Experiencia
Fecha
2015
Autores
Título de la revista
ISSN de la revista
Título del volumen
Editor
Universidad Rey Juan Carlos
Enlace externo
Resumen
La
tecnología
está
cada
vez
más
presente
en
nuestras
vidas.
Los
sistemas
de
información
son
un
elemento
fundamental
en
la
vida
cotidiana
de
las
personas.
El
uso
que
hacemos
de
dichos
sistemas
de
información
va
desde
un
simple
electrodoméstico
hasta
la
más
sofisticada
tecnología
que
se
encuentra
en
el
ámbito
industrial
o
de
la
medicina.
Ocio,
sanidad,
defensa,
banca,
son
sectores
en
los
que
la
tecnología
se
ha
convertido
en
imprescindible.
Esta
evolución
experimentada
en
las
últimas
décadas
hace
que
sea
una
tarea
difícil
estar
siempre
al
día
en
lo
que
a
la
estabilidad
de
la
tecnología
se
refiere.
Esta
situación
causa
que
constantemente
se
detecten
nuevas
vulnerabilidades
en
dicha
tecnología
y
en
los
sistemas
de
información
construidos
con
la
misma.
Estas
vulnerabilidades
son
críticas
ya
que
son
un
objetivo
para
la
delincuencia
organizada
debido
a
que
al
explotarlas
obtienen
beneficios
cuantiosos.
Por
todo
esto,
es
imprescindible
que
los
sistemas
de
información
que
dan
soporte
a
los
diferentes
procesos
diarios
de
los
ciudadanos
estén
construidos
atendiendo
a
requisitos
de
seguridad
y
robustez.
La
tarea
de
construir
sistemas
de
información
seguros
se
hace
más
efectiva,
si
se
diseñan
desde
el
principio
teniendo
en
mente
la
seguridad.
De
esta
manera
se
evita
que,
una
vez
estén
construidos,
haya
que
rehacerlos
con
la
pérdida
de
tiempo
y
coste
que
esto
supone,
para
dejarlos
robustos
desde
el
punto
de
vista
de
seguridad,
tanto
de
la
tecnología
como
de
la
información
que
contienen.
Pero
la
seguridad
en
un
sistema
de
información
no
se
puede
aplicar
de
cualquier
manera,
y
se
torna
imprescindible
la
aplicación
de
un
método
sistemático
a
la
hora
de
construirlo
para
garantizar
el
éxito
del
mismo.
Y
por
supuesto,
también
es
necesario
establecer
una
serie
de
mecanismos
de
control
del
ciclo
de
vida
del
sistema
de
información
para
que,
una
vez
construidos,
no
merme
su
calidad
y
se
pueda
así
mantener
un
nivel
de
seguridad
óptimo
a
lo
largo
de
la
vida
del
sistema
de
información.
En
la
actualidad
este
es
un
enfoque
adecuado
a
la
hora
de
abordar
la
creación
de
sistemas
de
información
seguros.
Pero
no
es
suficiente
para
organizaciones
reales
y
complejas
que
tienen
sus
sistemas
de
información
distribuidos
a
lo
largo
de
las
diferentes
geografías
del
mundo.
Para
este
tipo
de
empresas,
es
necesario
también
que
el
método
sistemático
de
construcción
de
sistemas
de
información
seguros
vaya
acompañado
de
soluciones
estructuradas,
homogéneas
y
a
ser
posibles
probadas
y
validadas.
Este
rol
lo
juegan
los
Patrones
de
Seguridad,
que
ayudan
a
los
ingenieros
de
seguridad
de
las
grandes
organizaciones
a
diseñar
e
implementar
sistemas
de
información
seguros
y
homogéneos.
El
principal
problema
de
este
enfoque
es
que
no
existe
a
día
de
hoy
ninguna
metodología
científica
que
cubra
todos
los
requisitos
expuestos
anteriormente,
y
que
además
haya
sido
probada
con
éxito
en
organizaciones
reales
y
complejas.
Por
este
motivo
esta
tesis
presenta
una
metodología
para
la
construcción
de
arquitecturas
tecnológicas
seguras
para
los
sistemas
de
información
de
este
tipo
de
organizaciones
basada
en
Patrones
de
Seguridad
y
con
el
soporte
de
la
experiencia
de
más
de
8
años
desempeñando
personalmente
la
labor
de
diseñar
y
construir
sistemas
de
información
seguros
dentro
de
una
organización
real,
que
han
llevado
al
autor
de
esta
tesis
a
liderar
el
departamento
de
ingeniería
de
seguridad
en
el
que
trabajan
más
de
30
personas
divididos
en
diferentes
equipos.
Para
hacer
un
uso
adecuado
de
las
soluciones
en
formato
de
Patrones
de
Seguridad,
se
ha
escogido
la
modalidad
de
Enterprise
Security
Patterns,
ya
que
son
un
tipo
de
patrones
que
son
capaces
de
representar
arquitecturas
tecnológicas
completas
de
sistemas
de
información
en
diferentes
niveles
de
abstracción. Por
otro
lado,
la
definición
de
las
diferentes
actividades
de
la
metodología
y
los
procesos
pertenecientes
a
cada
una
de
estas
actividades
se
modelan
utilizando
SPEM
2.0
aportando
rigurosidad
a
su
definición
de
forma
que
se
facilita
su
implementación
por
parte
de
los
ingenieros
de
seguridad
en
cualquier
tipo
de
organización.
Además,
se
presenta
una
herramienta
que
da
soporte
a
diferentes
actividades
de
la
metodología
propuesta
para
que
su
adopción
en
cualquier
organización
sea
más
sencillo.
Por
último
destacar
que
esta
metodología,
desde
sus
primeros
borradores,
lleva
4
años
probándose
en
una
organización
real
y
compleja,
aspecto
que
ha
permitido
su
refinamiento
y
validación,
así
como
ha
aportado
un
gran
beneficio
a
la
empresa
suponiendo
un
caso
de
éxito
para
la
misma.
Todo
esto
hace
que
la
metodología
propuesta
sea
eminentemente
práctica
y
se
haya
conceptualizado
desde
un
enfoque
pragmático,
pero
sin
olvidar
los
aspectos
rigurosos
de
haber
aplicado
diversos
métodos
de
investigación.
Descripción
Tesis Doctoral leída en la Universidad Rey Juan Carlos de Madrid en 2015. Directores de la Tesis: Eduardo
Fernandez--¿Medina
Patón y Marcos
López
Sanz