Una definición de un caso de seguridad es que es un argumento estructurado , respaldado por evidencia , destinado a justificar que un sistema es aceptablemente seguro para una aplicación específica en un entorno operativo específico. [1] Los casos de seguridad a menudo se requieren como parte de un proceso regulatorio, y se otorga un certificado de seguridad solo cuando el regulador está satisfecho con el argumento presentado en un caso de seguridad. Las industrias reguladas de esta manera incluyen el transporte (como la aviación , la industria automotriz y los ferrocarriles ) y los dispositivos médicos . Como tal, existen fuertes paralelismos con la evaluación formal del riesgo utilizada para preparar una evaluación de riesgos , aunque el resultado será específico del caso. Un caso de seguridad de un vehículo puede mostrar que es aceptablemente seguro para conducir en una carretera, pero concluir que puede no ser adecuado para conducir en terreno accidentado o con una carga descentrada, por ejemplo, si entonces habría un mayor riesgo de peligro, por ejemplo, una pérdida de control o una lesión al ocupante. La información utilizada para compilar el caso de seguridad puede garantizar formalmente especificaciones adicionales, como velocidades máximas seguras, cargas seguras permitidas o cualquier otro parámetro operativo. Se debe revisar el caso de seguridad cuando se va a reutilizar un producto existente de una manera nueva, si esto se extiende más allá del alcance de la evaluación original.
Un caso de seguridad tiene como objetivo demostrar que las afirmaciones específicas sobre seguridad están fundamentadas y, en el Reino Unido, que los riesgos se mantienen "tan bajos como sea razonablemente posible" ( ALARP , por sus siglas en inglés). En los EE. UU., la FDA publicó un documento de orientación en 2010 para exigir a los fabricantes de bombas de infusión que presenten casos de seguridad como parte de los 510(k). [2]
Una definición de la norma de defensa británica 00-56, número 4, establece: [3] Este enfoque basado en la evidencia se puede contrastar con un enfoque prescriptivo para la certificación de seguridad, que requiere que la seguridad se justifique utilizando un proceso prescrito. Estas normas normalmente no requieren explícitamente un argumento explícito para la seguridad y, en cambio, se basan en el supuesto de que seguir el proceso prescrito generará la evidencia requerida para la seguridad. Muchas normas del Reino Unido no son prescriptivas y exigen un enfoque basado en argumentos para justificar la seguridad, de ahí que se requiera un caso de seguridad.
Los casos de seguridad normalmente se documentan en notaciones textuales y gráficas, por ejemplo, utilizando la Notación de Estructuración de Objetivos (GSN). [4]
Los casos de seguridad se están volviendo más populares en aeronaves civiles/comerciales y en los sistemas de armas del Departamento de Defensa (DoD) a medida que aumenta la complejidad y la criticidad. [ cita requerida ] A menudo es necesario un cambio de paradigma para aceptar los casos de seguridad, ya que los enfoques y procesos tradicionales de análisis y verificación de seguridad del sistema y del software no están estructurados adecuadamente para presentar un argumento de seguridad eficaz en algunas arquitecturas más modernas que utilizan herramientas de desarrollo modernas y métodos formales.
Algunos programas importantes del Departamento de Defensa de los EE. UU., como el Sistema de Gestión de Vehículos (VMS) F-35 [ palabras equívocas ] , están utilizando la Ingeniería de Sistemas Basada en Modelos (MBSE) de manera efectiva en funciones de sistemas aéreos altamente complejas, intensivas en software y críticas para la seguridad, junto con la Notación de Estructuración de Objetivos (GSN). Las Evaluaciones de Seguridad y los Casos de Seguridad más elaborados y completos con GSN son efectivos siempre que se incluyan Argumentos de Refutación y mucho escrutinio utilizando análisis de riesgos y enfoques de seguridad tradicionales y se utilicen modelos para representar el comportamiento del sistema. Se están utilizando modelos más elaborados y métodos formales para la evidencia de seguridad colectiva. En el Reino Unido, la GSN como parte de los Casos de Seguridad ha demostrado ser útil para proporcionar evidencia de seguridad objetiva. [ cita requerida ] Un Caso de Seguridad es una forma ideal de reflejar el modelo MBSE, los casos de uso de software, la arquitectura de seguridad, el comportamiento funcional crítico de seguridad, los estados seguros y la secuenciación en el dominio de la seguridad. El comportamiento funcional a menudo se entiende, se expresa y se defiende mejor cuando se muestra gráficamente en cada paso del proceso en MBSE, en comparación con el desarrollo tradicional con una enorme cantidad de papeleo que es muy difícil de correlacionar en un caso de seguridad eficaz.
El Comité de Seguridad del Sistema G-48 de SAE International celebró el Taller de Casos de Seguridad en APT Research en Huntsville, AL el 15 de enero de 2014 con varias agencias del DoD y contratistas líderes presentes para estudiar y capturar más a fondo el proceso y los métodos de Casos de Seguridad para el refinamiento y posible promulgación futura en varias Normas de Seguridad, [5] como varias ya usan como parte de las mejores prácticas internas. "Ahora hay cada vez más evidencia de que algunas organizaciones en los EE. UU. están avanzando en la dirección de los casos de seguridad". [ palabras ambiguas ] [6] El G-48, compuesto por una Oficina de seguridad de la NASA, Agencias del DoD y varios representantes de contratistas de defensa líderes, cita varias ventajas de seguridad basadas en evidencia de los Casos de Seguridad sobre ANSI/GEA-STD-010 y MIL-STD-882, incluyendo 1. Articulación inicial de Argumentos (fundamentos y afirmaciones) que se utilizarán y (2) revisión independiente para verificar y validar. Dado que los casos de seguridad son enfoques estructurados y basados en evidencias para satisfacer el argumento de seguridad establecido al comienzo de los programas, pueden ser una buena opción para aumentar los métodos y técnicas de análisis de riesgos existentes y comprobados. Se prevé que, a medida que los casos de seguridad ganen popularidad y se incluyan en las mejores prácticas actuales, no reemplazarán ningún método de seguridad efectivo actual, como las evaluaciones de riesgos funcionales (FHA), pero pueden incluirse en ellas al principio y en metodologías de seguridad más integrales y combinadas para argumentar y mejorar la captura y documentación de evidencia de seguridad objetiva a lo largo del programa. Un caso de seguridad final debe tener todos los artefactos específicos necesarios y requeridos, como evidencia de prueba que respalde las afirmaciones de seguridad. Un caso de seguridad bien equilibrado también debe permitir una verificación especial dirigida a la seguridad, como la prueba de condiciones de falla creíbles, la prueba de fallas para observar estados seguros previstos y comportamiento planificado, inserción de fallas para la funcionalidad esperada en las peores condiciones, inmunidad a fallas para garantizar que el sistema ignore la corrupción y las amenazas no autorizadas, y condiciones fuera de lo nominal o modificadas, fuera de límites y otros resultados de pruebas de tipo para demostrar que se cumplen los requisitos de seguridad fuera del funcionamiento normal.
Idealmente, los conceptos futuros de casos de seguridad, que están evolucionando a medida que los sistemas de sistemas de alta tecnología y uso intensivo de software se vuelven más complejos, deben contener un paquete de datos enfocado con artefactos de seguridad integrales y deben incluir todos los análisis de seguridad, hallazgos y la determinación de la suma total del riesgo del sistema. Los casos de seguridad deben ir más allá de los informes de evaluación de seguridad MIL-STD-882 actuales que son un resumen más general de los hallazgos basados en peligros y riesgos. Los casos de seguridad con argumentos, metas y objetivos estructurados deben incluir más diversos aspectos de seguridad modernos, que generalmente incluyen seguridad basada en requisitos (INCOSE), seguridad basada en modelos, seguridad basada en software (IEEE STD-1228), seguridad basada en funciones (IEC-61508), prácticas recomendadas para la seguridad aeroespacial basadas en el diseño (SAE ARP 4761/4754A). [ cita requerida ]
Se han aplicado métodos de desarrollo ágiles a la producción de casos de seguridad. [7]
La revisión de casos de seguridad es una actividad importante en el proceso de ingeniería de seguridad, que se realiza durante el desarrollo, la operación y el mantenimiento, en la que se examinan y cuestionan los argumentos y la evidencia del caso de seguridad.