SOFTWARE SEGURO, Pero, ¿EN QUÉ ENTORNO?

SOFTWARE SEGURO, pero, ¿EN QUÉ ENTORNO?

INTRODUCCIÓN

La información es uno de los activos más importantes de una organización y como bien es sabido por todos siempre ha estado amenazada. La valoración económica de la protección de ésta y las consecuencias de sus fallos son una tarea compleja, la casuística de los riesgos potenciales muy grande, y la complejidad y diversidad de las medidas de seguridad disponibles dificulta su selección e implantación.

Seguridad implica proteger un valor frente a un conjunto de riesgos. El intento, por parte de los expertos, de concienciar a las organizaciones de que la seguridad de la información forme parte de todos los procesos de negocio, tanto si los procesos son manuales como automatizados empieza a ver la luz. Recordemos la célebre frase de Bruce Schneier (2000) “La seguridad no es un producto es un proceso”.

SOFTWARE SEGURO: ¿en qué Entorno?

Históricamente el software y sus vulnerabilidades han estado detrás de la mayoría de los problemas de seguridad informática, si éste no se comporta de forma adecuada surgirán problemas de [C] Confidencialidad, [I] Integridad, [D] Disponibilidad, [A] Autenticidad y [T] Trazabilidad, viéndose afectada la proyección de la imagen de la organización, afectando además la interrelación que ésta tenga con terceros sean estos socios, clientes, colaboradores…

La criticidad de los actuales sistemas de información en diferentes dominios de la sociedad determina que, si bien es importante asegurar que el software se desarrolla de acuerdo a las necesidades del usuario (requerimientos funcionales), también lo es garantizar que el mismo sea seguro. Hasta hace poco tiempo la Ingeniería de Software y la Ingeniería de Seguridad venían desarrollándose de forma independiente, limitando la posibilidad de que la seguridad fuera considerada como parte del proceso de desarrollo de sistemas de software seguros.

Todos los expertos están de acuerdo en que un software seguro ayuda a proteger uno de los bienes más valiosos de la organización, LA INFORMACIÓN, a través de la adopción de las medidas adecuadas. La implantación de un software seguro ayuda a la organización a cumplir sus objetivos, protegiendo sus recursos financieros, sus sistemas, su reputación, su situación legal, y otros bienes inmateriales. Pero implantar un software seguro en una empresa no va a valer de mucho si no hay implantados protocolos de seguridad en el resto de los activos de la empresa u organización: usuarios, sistema de comunicación, hardware, …

Desafortunadamente, en ocasiones se ve a la seguridad informática como algo que dificulta la consecución de los propios objetivos de la empresa u organización, imponiendo normas y procedimientos rígidos a los usuarios, a los sistemas y a los gestores. Sin embargo, debe verse la seguridad informática, no como un objetivo en sí mismo, sino como un medio de apoyo a la consecución de los objetivos de las empresas u organizaciones. Para las empresas obtener beneficios y, para las organizaciones ofrecer un servicio eficiente y de calidad a los usuarios.

Un software seguro debe estar siempre respaldado por un conjunto de medidas de seguridad de los sistemas informáticos que permitan reducir el riesgo de pérdidas debidas a la aparición de incidentes. Sabiendo que el nivel de exposición al riesgo es cada vez mayor y, en general, se comprende de manera limitada debido a que: el software es el nexo más débil en la correcta ejecución de sistemas interdependientes; el tamaño y la complejidad del software dificultan su comprensión e imposibilitan la realización de pruebas exhaustivas; existen limitaciones para realizar un examen exhaustivo del software adquirido o de los componentes de software que se integran; los programas de ataque presentan una naturaleza más furtiva y sofisticada; las consecuencias que resultan de la reutilización de software legado en nuevas aplicaciones son imprevisibles; los líderes de las organizaciones tienen dificultades para respaldar decisiones respecto a inversiones en seguridad del software acordes a los riesgos que enfrentan.

Dentro de las medidas técnicas, entre las más consolidadas, encontramos las copias de respaldo, los antivirus, los cortafuegos, los mecanismos de autenticación y la criptografía. Las copias de respaldo y, en general, cualquier forma de redundancia, se

encaminan a garantizar la disponibilidad de los sistemas frente a cualquier eventualidad y con ello la continuidad del negocio. Los objetivos y los riesgos que puede suponer para la empresa la pérdida de integridad de su información, la indisponibilidad de sus sistemas o la violación de la confidencialidad de su información, pueden llevarlas a plantear éstas técnicas con mayor rigor.

De la vertiente estratégica de la información y de los sistemas corporativos surgen las medidas de gestión: las políticas de seguridad y el plan de contingencia. Las políticas de seguridad requieren de la organización que se describan la criticidad de los sistemas y de la información, los roles de cada puesto de trabajo y la mecánica de acceso a los sistemas, herramientas, documentación y cualquier otro componente del sistema de información. Y por otra parte, el plan de contingencia requiere de la descripción de los procedimientos que deben seguirse ante la aparición de eventualidades significativas que puedan suponer graves consecuencias para la organización.

Todos los estudios avalan en que hay que incluir la seguridad en todo el ciclo de vida del desarrollo del software, aunque, se sabe que la seguridad total es inalcanzable. Han surgido nuevos modelos como el propuesto por Allen et al., “el Ciclo de Vida de Desarrollo de Software CDVS” que se define como un proceso iterativo en el cual se identifican cuatro etapas principales: Requisitos, Diseño, Desarrollo y Pruebas, todas enfocadas a un propósito común “la creación de software seguro”.

Según la teoría de juegos la cual utiliza modelos para estudiar interacciones en estructuras formalizadas de incentivos (los llamados «juegos») y llevar a cabo procesos de decisión. Sus investigadores estudian las estrategias óptimas así como el comportamiento previsto

...