Ciclo de vida de seguridad

El ciclo de vida de la seguridad es la serie de fases desde el inicio y las especificaciones de los requisitos de seguridad, que abarcan el diseño y el desarrollo de características de seguridad en un sistema crítico para la seguridad y terminan con el desmantelamiento de ese sistema. Este artículo utiliza el software como contexto, pero el ciclo de vida de la seguridad se aplica a otras áreas como la construcción de edificios, por ejemplo. En el desarrollo de software, se utiliza un proceso (ciclo de vida del software) y este proceso consta de algunas fases, que generalmente cubren el inicio, el análisis, el diseño, la programación, las pruebas y la implementación. El objetivo es construir el software. Algunos programas tienen problemas de seguridad mientras que otros no. Por ejemplo, un sistema de solicitud de licencia no tiene requisitos de seguridad. Pero nos preocupa la seguridad si falla el software que se utiliza para controlar los componentes de un avión. Entonces, para este último, la pregunta es cómo se debe gestionar la seguridad, siendo tan importante, dentro del ciclo de vida del software. ^[1]

¿Qué es el ciclo de vida de la seguridad?

El concepto básico en la construcción de seguridad del software, es decir, características de seguridad en el software, es que las características de seguridad y el comportamiento del software y del sistema deben especificarse y diseñarse en el sistema. ^[2]

El problema para cualquier diseñador de sistemas radica en reducir el riesgo a un nivel aceptable y, por supuesto, el riesgo tolerado variará entre aplicaciones. Cuando se va a utilizar una aplicación de software en un sistema relacionado con la seguridad, esto debe tenerse en cuenta en todas las etapas del ciclo de vida del software. El proceso de especificación y garantía de seguridad a lo largo de las fases de desarrollo y operación a veces se denomina "ciclo de vida de seguridad".

Fases del ciclo de vida de la seguridad

Las primeras etapas del ciclo de vida implican evaluar los peligros potenciales del sistema y estimar el riesgo que plantean. Uno de esos métodos es el análisis del árbol de fallas .

A esto le sigue una especificación de requisitos de seguridad que se ocupa de identificar las funciones críticas para la seguridad (especificación de requisitos funcionales) y el nivel de integridad de seguridad para cada una de estas funciones. ^[3] La especificación puede describir cómo debe comportarse el software para minimizar el riesgo o puede exigir que el peligro nunca surja.

Luego se sigue un modelo de proceso "normal" prestando especial atención a la validación (inspección, pruebas, etc.) del sistema. Parte de esa validación debería ser una actividad explícita de validación de la seguridad.

Ver también

• Ingeniería de Seguridad
• Ingeniero de seguridad
• Seguridad del sistema

Referencias

1. Hamid, Brahim; Geisel, Jacob; Ziani, Adel; González, David (2012). Avgeriou, París (ed.). "Modelado de procesos de desarrollo del ciclo de vida de seguridad para sistemas integrados: ejemplo de dominio ferroviario". Ingeniería de Software para Sistemas Resilientes . Apuntes de conferencias sobre informática. 7527 . Berlín, Heidelberg: Springer: 63–75. doi :10.1007/978-3-642-33176-3_5. ISBN 978-3-642-33176-3.
2. Alberico, David. "Manual de seguridad del sistema de software" (PDF) . Comité de Seguridad del Software de Servicios Conjuntos.
3. Pisos, Neil (1996). Sistemas informáticos críticos para la seguridad . Harlow: Prentice Hall. pag. 10.ISBN​ 0-201-42787-7.

enlaces externos

Ciclo de vida de seguridad: beneficios de la implementación e impacto en los dispositivos de campo (PDF) , ISA.org, archivado desde el original (PDF) el 31 de marzo de 2012