ENTERPRISE SECURITY PATTERNS Un nuevo tipo de Patrón de Seguridad

Abstract

En los últimos años, la mayoría de las organizaciones, sin tener en cuenta su geografía o sector, han sufrido ataques intencionales contra sus activos de información. La mayoría de estos ataques son llevados a cabo por grupos de ciber-crimen organizado, cuyo objetivo principal es obtener o modificar datos confidenciales de las organizaciones. Por esta razón, el principal objetivo de las organizaciones en términos de seguridad, es asegurar la continuidad de las operaciones de negocio y proteger sus activos de información. Con este propósito en mente, las organizaciones están buscando soporte en las arquitecturas de seguridad empresariales. El objetivo de las arquitecturas de seguridad empresariales es proporcionar un diseño conceptual de las infraestructuras de seguridad. Este diseño enlaza todos los componentes incluidos en las arquitecturas como una unidad cohesiva con el objetivo de proteger los activos de la organización. Para hacer esto, las arquitecturas de seguridad empresariales determinan qué activos de información deben ser protegidos, desde qué tipo de ataques, y quién (personas) o qué (sistemas) tiene acceso a la información. Debido al valor fundamental de los activos de información para las organizaciones, es necesario un enfoque sistemático a la hora de construir sistemas seguros. Las metodologías basadas en patrones proporcionan este enfoque. Dentro del ámbito de los patrones hay varios tipos de catálogos. En particular, los patrones de seguridad combinan un conocimiento significativo sobre seguridad con la estructura sistemática proporcionada por los patrones. Estos patrones proporcionan guías para apoyar la construcción y evaluación de mecanismos de seguridad. El uso de los patrones de seguridad ayuda a incorporar los principios de seguridad a la hora de construir sistemas seguros, sin embargo, estos patrones tienen algunas limitaciones a la hora de construir grandes arquitecturas de seguridad. Debido a estas limitaciones, en esta tesis doctoral hemos definido un nuevo tipo de patrón de seguridad, llamado Enterprise Security Patterns, para facilitar el diseño de arquitecturas de seguridad empresariales. Hemos adoptado ese nombre, porque el objetivo de estos patrones es proporcionar una estrategia basada en modelos para definir arquitecturas de seguridad en diferentes niveles de abstracción, incluyendo la implementación tecnológica. Estos patrones no intentan remplazar a los patrones de seguridad. Estos patrones utilizan e incorporan los patrones seguridad, proporcionando un patrón cohesivo que puede gestionar más riesgos o amenazas. Enterprise Security Patterns combinan un amplio rango de elementos describiendo arquitecturas de seguridad empresariales que protegen activos de información en un contexto específico. Para ello, describimos el meta-modelo del patrón, un proceso de desarrollo de arquitecturas de seguridad empresariales basado en el enfoque de arquitecturas dirigidas por modelos, un nuevo lenguaje especifico del dominio para diseñar nuevas arquitecturas, un conjunto de transformaciones para aplicar transiciones entre los modelos de la solución y un proceso para facilitar la minería de este nuevo tipo de patrones. Además, mostramos un caso de estudio real realizado con una entidad financiera internacional. A la hora de mitigar un problema de seguridad, las organizaciones podrían utilizar los Enterprise Security Patterns con el objetivo de seleccionar una estrategia de seguridad global, proporcionando a sus diseñadores un conjunto de guías de seguridad óptimas y validadas. Además, los ingenieros de seguridad podrían (i) gestionar por separado los elementos de seguridad incluidos en los distintos modelos de abstracción y (ii) realizar transformaciones entre los elementos. Este hecho facilitaría al diseñador en la selección y ajuste de las políticas de seguridad, mecanismos y tecnologías a la hora de construir nuevas arquitecturas.