ingeniería de seguridad

La ingeniería de seguridad es el proceso de incorporar controles de seguridad en un sistema de información para que los controles se conviertan en una parte integral de las capacidades operativas del sistema. ^{[1] Es similar a otras actividades de ingeniería de sistemas en que su motivación principal es apoyar la entrega de soluciones de ingeniería que satisfagan}requisitos funcionales y de usuario predefinidos , pero tiene la dimensión adicional de prevenir el uso indebido y el comportamiento malicioso. Esas limitaciones y restricciones a menudo se afirman como una política de seguridad .

De una forma u otra, la ingeniería de seguridad ha existido como un campo de estudio informal durante varios siglos. Por ejemplo, los campos de la cerrajería y la impresión de seguridad existen desde hace muchos años. Las preocupaciones por la ingeniería de seguridad y los sistemas informáticos modernos se solidificaron por primera vez en un artículo de RAND de 1967, "Seguridad y privacidad en sistemas informáticos" de Willis H. Ware. ^[2] Este documento, ampliado posteriormente en 1979, ^[3] proporcionó muchos de los conceptos fundamentales de seguridad de la información, denominados hoy en día como ciberseguridad, que impactan los sistemas informáticos modernos, desde implementaciones en la nube hasta IoT integrado.

Los acontecimientos catastróficos recientes, en particular el 11 de septiembre , han hecho que la ingeniería de seguridad se convierta rápidamente en un campo de rápido crecimiento. De hecho, en un informe finalizado en 2006, se estimó que la industria de la seguridad mundial estaba valorada en 150 mil millones de dólares.

La ingeniería de seguridad involucra aspectos de las ciencias sociales , la psicología (como diseñar un sistema para que " falle bien ", en lugar de intentar eliminar todas las fuentes de error) y la economía , así como la física , la química , las matemáticas , la criminología, la arquitectura y el paisajismo . ^[4] Algunas de las técnicas utilizadas, como el análisis del árbol de fallos , se derivan de la ingeniería de seguridad .

Otras técnicas, como la criptografía, anteriormente estaban restringidas a aplicaciones militares. Uno de los pioneros en establecer la ingeniería de seguridad como un campo de estudio formal es Ross Anderson .

Calificaciones

No existe una calificación única para convertirse en ingeniero de seguridad.

Sin embargo, una licenciatura y/o posgrado, a menudo en ciencias de la computación , ingeniería informática o títulos centrados en la protección física, como Ciencias de la Seguridad, en combinación con experiencia laboral práctica (sistemas, ingeniería de redes, desarrollo de software , modelado de sistemas de protección física, etc.) La mayoría califica a un individuo para tener éxito en el campo. Existen otras titulaciones con un enfoque de seguridad. Se encuentran disponibles varias certificaciones , como Profesional certificado en seguridad de sistemas de información o Profesional certificado en seguridad física, que pueden demostrar experiencia en el campo. Independientemente de la calificación, el curso debe incluir una base de conocimientos para diagnosticar los impulsores del sistema de seguridad, teoría y principios de seguridad que incluyen defensa en profundidad, protección en profundidad, prevención del delito situacional y prevención del delito a través del diseño ambiental para establecer la estrategia de protección (inferencia profesional). y conocimientos técnicos que incluyen física y matemáticas para diseñar y poner en marcha la solución de tratamiento de ingeniería. Un ingeniero de seguridad también puede beneficiarse de tener conocimientos en seguridad cibernética y seguridad de la información. También se valora cualquier experiencia laboral previa relacionada con la privacidad y la informática.

Todo este conocimiento debe estar respaldado por atributos profesionales que incluyen sólidas habilidades de comunicación y altos niveles de alfabetización para la redacción de informes de ingeniería. La ingeniería de seguridad también recibe el nombre de Ciencia de la Seguridad.

Campos relacionados

Seguridad de información

Ver especialmente La seguridad informática
proteger los datos del acceso no autorizado, uso, divulgación, destrucción, modificación o interrupción del acceso.

Seguridad física

disuadir a los atacantes de acceder a una instalación, recurso o información almacenada en un medio físico.

los aspectos económicos de la economía de la privacidad y la seguridad informática.

Metodologías

Los avances tecnológicos, principalmente en el campo de las computadoras , han permitido la creación de sistemas mucho más complejos, con nuevos y complejos problemas de seguridad. Debido a que los sistemas modernos abarcan muchas áreas del esfuerzo humano, los ingenieros de seguridad no sólo deben considerar las propiedades matemáticas y físicas de los sistemas; también deben considerar ataques a las personas que usan y forman parte de esos sistemas mediante ataques de ingeniería social . Los sistemas seguros tienen que resistir no sólo los ataques técnicos, sino también la coerción , el fraude y el engaño por parte de estafadores .

aplicaciones web

Según Microsoft Developer Network, los patrones y prácticas de ingeniería de seguridad constan de las siguientes actividades: ^[5]

Objetivos de seguridad
Directrices de diseño de seguridad
Modelado de seguridad
Revisión de diseño y arquitectura de seguridad
Revisión del código de seguridad
Pruebas de seguridad
Ajuste de seguridad
Revisión de la implementación de seguridad

Estas actividades están diseñadas para ayudar a cumplir los objetivos de seguridad en el ciclo de vida del software .

Físico

Comprensión de una amenaza típica y de los riesgos habituales para las personas y los bienes.
Comprender los incentivos creados tanto por la amenaza como por las contramedidas.
Comprender la metodología de análisis de riesgos y amenazas y los beneficios de un estudio empírico de la seguridad física de una instalación.
Comprender cómo aplicar la metodología a edificios, infraestructuras críticas, puertos, transporte público y otras instalaciones/complejos.
Descripción general de los métodos físicos y tecnológicos comunes de protección y comprensión de sus funciones en la disuasión , detección y mitigación.
Determinar y priorizar las necesidades de seguridad y alinearlas con las amenazas percibidas y el presupuesto disponible.

Producto

La ingeniería de seguridad de productos es ingeniería de seguridad aplicada específicamente a los productos que una organización crea, distribuye y/o vende. La ingeniería de seguridad de productos es distinta de la seguridad corporativa/empresarial, ^[6] que se centra en proteger las redes y sistemas corporativos que una organización utiliza para realizar negocios.

La seguridad del producto incluye la ingeniería de seguridad aplicada a:

Dispositivos de hardware como teléfonos celulares, computadoras, dispositivos de Internet de las cosas y cámaras.
Software como sistemas operativos, aplicaciones y firmware.

Estos ingenieros de seguridad suelen trabajar en equipos separados de los equipos de seguridad corporativos y trabajan en estrecha colaboración con los equipos de ingeniería de productos.

Endurecimiento objetivo

Cualquiera que sea el objetivo, existen múltiples formas de evitar la penetración de personas no deseadas o no autorizadas. Los métodos incluyen colocar barreras , escaleras u otros obstáculos resistentes fuera de edificios altos o políticamente sensibles para evitar atentados con coches y camiones . La mejora del método de gestión de visitantes y algunas cerraduras electrónicas nuevas aprovechan tecnologías como el escaneo de huellas dactilares , el escaneo de iris o retina y la identificación de huellas de voz para autenticar a los usuarios.

Ver también

Referencias

^ "Ingeniería de seguridad: descripción general | Temas de ScienceDirect". www.sciencedirect.com . Consultado el 27 de octubre de 2020 .
^ Ware, Willis H. (enero de 1967). "Seguridad y Privacidad en los Sistemas Informáticos".
^ Ware, Willis H. (enero de 1979). "Controles de seguridad para sistemas informáticos: Informe del grupo de trabajo de la Junta Científica de Defensa sobre seguridad informática".
^ "Paisajismo para la seguridad". Atardecer . 1988. Archivado desde el original el 18 de julio de 2012.
^ "patrones y prácticas de ingeniería de seguridad".
^ Watson, Philip (20 de mayo de 2013). "Seguridad corporativa versus seguridad del producto". Sala de lectura sobre seguridad de la información del Instituto SANS . Instituto SANS . Consultado el 13 de octubre de 2020 .

Otras lecturas

Ross Anderson (2001). Ingeniería de Seguridad. Wiley. ISBN 0-471-38922-6.
Ross Anderson (2008). Ingeniería de seguridad: una guía para crear sistemas distribuidos confiables . Wiley. ISBN 978-0-470-06852-6.
Ross Anderson (2001). "Por qué la seguridad de la información es difícil: una perspectiva económica" (PDF) . Proc. Conferencia Anual de Aplicaciones de Seguridad Informática . doi :10.1109/ACSAC.2001.991552.
Bruce Schneier (1995). Criptografía aplicada (2ª ed.). Wiley. ISBN 0-471-11709-9.
Bruce Schneier (2000). Secretos y mentiras: seguridad digital en un mundo en red . Wiley. ISBN 0-471-25311-1.
David A. Wheeler (2003). "Programación segura para Linux y Unix CÓMO". Proyecto de documentación de Linux . Archivado desde el original el 28 de abril de 2007 . Consultado el 19 de diciembre de 2005 .
Ron Ross, Michael McEvilley, Janet Carrier Oren (2016). «Ingeniería de Seguridad de Sistemas» (PDF) . Internet de las Cosas . Consultado el 22 de noviembre de 2016 .{{cite web}}: CS1 maint: multiple names: authors list (link)

Artículos y ponencias

patrones y prácticas Ingeniería de Seguridad en Channel9
patrones y prácticas Ingeniería de Seguridad en MSDN
patrones y prácticas Ingeniería de seguridad explicada
Endurecimiento de objetivos básicos del gobierno de Australia del Sur