MÉTODO PARA LA ESPECIFICACIÓN DE REQUERIMIENTOS DE SEGURIDAD DEL SOFTWARE COMO VÍA PARA LA IMPLEMENTACIÓN DE UN PROCESO DE DESARROLLO DE SOFTWARE SEGURO - MERSEC

Lilian Teresa Castro Mecias

Resumen


A menudo los incidentes de seguridad que tienen por objeto o utilizan como medio el software provocan serios daños como consecuencias legales, económica, etc. Resultados de una encuesta realizada por Kaspersky Lab reflejan que las vulnerabilidades en el software son la principal causa de los incidentes de seguridad en las empresas, el reporte muestra que el 85 % de las mismas han informado de incidentes de seguridad y las vulnerabilidades de software son el motivo principal, se estima además que los incidentes significativos pueden causar pérdidas valoradas desde 50,000 hasta 649,000 dólares. (1). En este sentido las investigaciones académicas y de la industria se enfocan en propuestas basadas en reducir las vulnerabilidades y fallas de las tecnologías, con una influencia positiva en como se desarrolla el software. Un proceso de desarrollo mejorado para la seguridad debe incluir prácticas y actividades desde las fases iniciales del software; de forma que se identifiquen las necesidades de seguridad, se gestione el riesgo y se implementen las medidas apropiadas. Este artículo aborda un método para el análisis, obtención y especificación de los requisitos de seguridad del software teniendo como base el análisis de varias propuestas y las deficiencias identificadas desde la observación participativa en equipos de desarrollo de software. La experimentación realizada utilizando la propuesta arroja resultados positivos en relación a la disminución de vulnerabilidades de seguridad y el cumplimiento de los objetivos de seguridad del software.


Palabras clave


amenazas; asegurar el software; requisitos de seguridad

Texto completo:

PDF

Referencias


KasperskyLab, 2013, Global Corporate IT Security Risks : 2013 [online]. Available from: http://media.kaspersky.com/en/business-security/Kaspersky_Global_IT_Security_Risks_Survey_report_Eng_final.pdf

Milano, Pablo. 2010.Seguridad en el ciclo de vida del desarrollo de software. s.l. : Consultor CYBSEC, 2010.

McGraw, Gary, 2006, Software Security Building Security In. United States: Addison Wesley Professional. Indiana. United States. ISBN 9780321356703.

McGraw, G., Software Security. IEEE Security & Privacity, 2004: p. 80-83.

SEI, 2006, Security Quality Requirements Engineering (SQUARE): Case Study Phase III [online].

Lamsweerde, Axel Van, 2003, From System Goals to Intruder Anti-Goals : Attack Generation and Resolution for Security Requirements Engineering. In Proceedings of the Requirements for High Assurance Workshop. 2003. Bélgica. Unión Europea. Vol. 6, no. 2, p. 3–7

Haley, Charles B, y otros. 2008. A Framework for Security Requirements Engineering. 1, s.l. : IEEE Transactions on software engineering, Febrero 2008, Vol. 34. http://mcs.open.ac.uk/cbh46/papers/Haley-SESS06-p35.pdf.

Mellado, Daniel, 2007, Un Proceso de Ingeniería de requisitos de seguridad en la práctica. IEEE Latin American Transactions. 2007. Vol. 5, no. 4, p. 211–217. Madrid. España.

Firesmith, Donald, 2011, a-collaborative-method-for-engineering-safety-and-security-relatedrequirements. Software Engineering Institute [online]. 2011. [Citado Febrero 2014]. Available from: http://blog.sei.cmu.edu/post.cfm/a-collaborative-method-for-engineering-safety-and-security-relatedrequirements

Alexander, Ian, 2002, Modelling the Interplay of Conflicting Goals with Use and Misuse Cases Direct Conflict of SubGoals. Proceedings of 8th International Workshop on Requirements Engineering Foundation for Software Quality [online]. 2002. Vol. Germany, p. 1–7. Available from: http://ceur-ws.org/Vol-109/paper1.pdf

Damodaran, Meledath, 2006, Secure Software Development. Issues in Information Systems [online]. 2006. Vol. VII, no. 1, p. 150–154.University of Houston. United States. [Citado Febrero 2014] Available from: http://iacis.org/iis/2006/Damodaran.pdf

MAP, 2012, MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método. Ministerio de Hacienda y Administraciones Públicas. Madrid, España. 2012.

Stoneburner, Gary, 2002, Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology.

Bahtit, Hanane and REGRAGUI, Boubker, 2013, Risk Management for ISO 27005 Decision support. Rabat. Marruecos. International Journal of Innovative Research in Science, Engineering and Technology. 2013. Vol. 2, no. 3, p. 530–538.

Vianca, Vega. 2008. Ingeniería de Requerimientos para Productos Seguros. Resultados de un Análisis Bibliográfico. Jornadas Chilenas de Computación 2008. Universidad Católica del Norte. Chile.


Enlaces refback

  • No hay ningún enlace refback.


Iberoamerican Journal of Project Management (IJoPM). ISSN 2346-9161(Online). www.ijopm.org. Correo: journal.ijopm@gmail.com.

Recomendamos utilizar el navegador Google Chrome. Recomendamos o uso do navegador Google Chrome. Recommend using the Google Chrome browser.