Ingeniería de seguridad

La ingeniería de seguridad es el proceso de incorporar controles de seguridad en un sistema de información de modo que los controles se conviertan en una parte integral de las capacidades operativas del sistema. ^{[1] Es similar a otras actividades de ingeniería de sistemas en que su motivación principal es respaldar la entrega de soluciones de ingeniería que satisfagan}los requisitos funcionales y de usuario predefinidos , pero tiene la dimensión adicional de prevenir el uso indebido y el comportamiento malicioso. Esas restricciones y restricciones a menudo se afirman como una política de seguridad .

De una forma u otra, la ingeniería de seguridad ha existido como un campo de estudio informal durante varios siglos. Por ejemplo, los campos de la cerrajería y la impresión de seguridad han existido durante muchos años. Las preocupaciones por la ingeniería de seguridad moderna y los sistemas informáticos se solidificaron por primera vez en un artículo de RAND de 1967, "Seguridad y privacidad en sistemas informáticos" de Willis H. Ware. ^[2] Este artículo, ampliado posteriormente en 1979, ^[3] proporcionó muchos de los conceptos fundamentales de seguridad de la información, etiquetados hoy como ciberseguridad, que afectan a los sistemas informáticos modernos, desde las implementaciones en la nube hasta la IoT integrada.

Los recientes acontecimientos catastróficos, en particular el 11 de septiembre , han convertido a la ingeniería de seguridad en un campo de rápido crecimiento. De hecho, en un informe finalizado en 2006, se estimó que la industria mundial de la seguridad estaba valorada en 150.000 millones de dólares.

La ingeniería de seguridad involucra aspectos de las ciencias sociales , la psicología (como el diseño de un sistema para que " falle bien ", en lugar de tratar de eliminar todas las fuentes de error) y la economía , así como la física , la química , las matemáticas , la criminología, la arquitectura y el paisajismo . ^[4] Algunas de las técnicas utilizadas, como el análisis del árbol de fallas , se derivan de la ingeniería de seguridad .

Otras técnicas, como la criptografía, antes estaban restringidas a aplicaciones militares. Uno de los pioneros en establecer la ingeniería de seguridad como campo de estudio formal fue Ross Anderson .

Cualificaciones

No existe una única cualificación para convertirse en ingeniero de seguridad.

Sin embargo, un título de grado y/o posgrado, a menudo en ciencias de la computación , ingeniería informática o títulos centrados en la protección física como Ciencias de la Seguridad, en combinación con experiencia laboral práctica (sistemas, ingeniería de redes, desarrollo de software , modelado de sistemas de protección física, etc.) califican a una persona para tener éxito en el campo. Existen otras calificaciones de grado con un enfoque en seguridad. Hay múltiples certificaciones disponibles , como Profesional Certificado en Seguridad de Sistemas de Información o Profesional Certificado en Seguridad Física que pueden demostrar experiencia en el campo. Independientemente de la calificación, el curso debe incluir una base de conocimientos para diagnosticar los impulsores del sistema de seguridad, la teoría y los principios de seguridad que incluyen defensa en profundidad, protección en profundidad, prevención del delito situacional y prevención del delito a través del diseño ambiental para establecer la estrategia de protección (inferencia profesional), y conocimiento técnico que incluya física y matemáticas para diseñar y poner en marcha la solución de tratamiento de ingeniería. Un ingeniero de seguridad también puede beneficiarse de tener conocimientos en seguridad cibernética y seguridad de la información. También se valora cualquier experiencia laboral previa relacionada con la privacidad y la informática.

Todo este conocimiento debe estar respaldado por atributos profesionales que incluyan sólidas habilidades de comunicación y altos niveles de alfabetización para la redacción de informes de ingeniería. La ingeniería de seguridad también se conoce con el nombre de ciencia de la seguridad.

Campos relacionados

Seguridad de la información

Véase especialmente Seguridad informática
proteger los datos contra el acceso, uso, divulgación, destrucción, modificación o interrupción del acceso no autorizados.

Seguridad física

disuadir a los atacantes de acceder a una instalación, recurso o información almacenada en un medio físico.

Los aspectos económicos de la economía de la privacidad y la seguridad informática.

Metodologías

Los avances tecnológicos, principalmente en el campo de las computadoras , han permitido la creación de sistemas mucho más complejos, con nuevos y complejos problemas de seguridad. Debido a que los sistemas modernos abarcan muchas áreas de la actividad humana, los ingenieros de seguridad no solo deben considerar las propiedades matemáticas y físicas de los sistemas, sino que también deben considerar los ataques a las personas que utilizan y forman parte de esos sistemas mediante ataques de ingeniería social . Los sistemas seguros deben resistir no solo los ataques técnicos, sino también la coerción , el fraude y el engaño por parte de estafadores .

Aplicaciones web

Según Microsoft Developer Network, los patrones y prácticas de la ingeniería de seguridad consisten en las siguientes actividades: ^[5]

Objetivos de seguridad
Pautas de diseño de seguridad
Modelado de seguridad
Revisión de la arquitectura y el diseño de seguridad
Revisión del código de seguridad
Pruebas de seguridad
Ajuste de seguridad
Revisión de la implementación de seguridad

Estas actividades están diseñadas para ayudar a cumplir los objetivos de seguridad en el ciclo de vida del software .

Físico

Comprensión de una amenaza típica y de los riesgos habituales para las personas y los bienes.
Comprender los incentivos creados tanto por la amenaza como por las contramedidas.
Comprender la metodología de análisis de riesgos y amenazas y los beneficios de un estudio empírico de la seguridad física de una instalación.
Entender cómo aplicar la metodología a edificios, infraestructura crítica, puertos, transporte público y otras instalaciones/recintos.
Descripción general de los métodos físicos y tecnológicos comunes de protección y comprensión de sus funciones en la disuasión , la detección y la mitigación.
Determinar y priorizar las necesidades de seguridad y alinearlas con las amenazas percibidas y el presupuesto disponible.

Producto

La ingeniería de seguridad de productos es la ingeniería de seguridad aplicada específicamente a los productos que una organización crea, distribuye y/o vende. La ingeniería de seguridad de productos es distinta de la seguridad corporativa/empresarial, ^[6] que se centra en proteger las redes y los sistemas corporativos que una organización utiliza para realizar negocios.

La seguridad del producto incluye la ingeniería de seguridad aplicada a:

Dispositivos de hardware como teléfonos celulares, computadoras, dispositivos de Internet de las cosas y cámaras.
Software como sistemas operativos, aplicaciones y firmware.

Estos ingenieros de seguridad suelen trabajar en equipos separados de los equipos de seguridad corporativos y trabajan en estrecha colaboración con los equipos de ingeniería de productos.

Endurecimiento del objetivo

Sea cual sea el objetivo, existen múltiples formas de impedir la entrada de personas no deseadas o no autorizadas. Los métodos incluyen la colocación de barreras de Jersey , escaleras u otros obstáculos resistentes en el exterior de edificios altos o políticamente sensibles para evitar los atentados con coches y camiones . La mejora del método de gestión de visitantes y algunas nuevas cerraduras electrónicas aprovechan tecnologías como el escaneo de huellas dactilares , el escaneo del iris o de la retina y la identificación por huella de voz para autenticar a los usuarios.

Véase también

Referencias

^ "Ingeniería de seguridad: una descripción general | Temas de ScienceDirect" www.sciencedirect.com . Consultado el 27 de octubre de 2020 .
^ Ware, Willis H. (enero de 1967). "Seguridad y privacidad en sistemas informáticos".
^ Ware, Willis H. (enero de 1979). "Controles de seguridad para sistemas informáticos: Informe del grupo de trabajo de la Junta de Ciencias de la Defensa sobre seguridad informática".
^ "Paisajismo para la seguridad". Puesta de sol . 1988. Archivado desde el original el 18 de julio de 2012.
^ "Patrones y prácticas de ingeniería de seguridad".
^ Watson, Philip (20 de mayo de 2013). "Seguridad corporativa frente a seguridad de productos". SANS Institute Information Security Reading Room . SANS Institute . Consultado el 13 de octubre de 2020 .

Lectura adicional

Ross Anderson (2001). Ingeniería de seguridad. Wiley. ISBN 0-471-38922-6.
Ross Anderson (2008). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables . Wiley. ISBN 978-0-470-06852-6.
Ross Anderson (2001). "Por qué la seguridad de la información es difícil: una perspectiva económica" (PDF) . Proc. Conferencia anual sobre aplicaciones de seguridad informática . doi :10.1109/ACSAC.2001.991552.
Bruce Schneier (1995). Criptografía aplicada (2.ª edición). Wiley. ISBN 0-471-11709-9.
Bruce Schneier (2000). Secretos y mentiras: seguridad digital en un mundo conectado . Wiley. ISBN 0-471-25311-1.
David A. Wheeler (2003). "Secure Programming for Linux and Unix HOWTO". Proyecto de documentación de Linux . Archivado desde el original el 28 de abril de 2007. Consultado el 19 de diciembre de 2005 .
Ron Ross, Michael McEvilley, Janet Carrier Oren (2016). "Ingeniería de seguridad de sistemas" (PDF) . Internet de las cosas . Consultado el 22 de noviembre de 2016 .{{cite web}}: CS1 maint: multiple names: authors list (link)

Artículos y trabajos

Patrones y prácticas de ingeniería de seguridad en Channel9
Patrones y prácticas de ingeniería de seguridad en MSDN
Patrones y prácticas de ingeniería de seguridad explicadas
Endurecimiento de objetivos básicos del Gobierno de Australia del Sur