Page 25

Boletín de observación tecnológica en Defensa 49

en profundidad la reducción de los costes de correc-ción de errores y vulnerabilidades, pues éstos son más altos conforme más tarde son detectados. Acorde a lo publicado por NIST (National Ins-titute of Standards and Technology) en la figura 5, el coste que tiene la corrección de código o vulnerabili-dades, después de la publicación de una versión mediante la publicación de un parche, es hasta treinta veces mayor que su detección y corrección en etapas tempranas del desarrollo. Seguridad del software versus aseguramiento de la calidad Antes de comenzar con las activida-des y medidas de seguridad a integrar en el SDLC, es conveniente aclarar las principales diferencias entre ase-guramiento de la calidad y seguridad del software: • El aseguramiento de la calidad tie-ne como principal objetivo hacer que el software funcione correcta-mente conforme a las especifica-ciones del mismo. • La seguridad del software se refie-re a que tanto el software como su entorno de ejecución presenten el mínimo número de vulnerabilidades y, por tanto, su superficie de ataque sea la menor posible, de forma que sea confiable a pesar de la presen-cia de un ambiente externo hostil con ciberataques en curso. Estas diferencias se pueden caracte-rizar también en términos de amena-zas. Las principales que afectan a la calidad son internas no intencionadas debidas a errores o descuidos. Es decir, la presencia de defectos en el software que pongan en peligro su capacidad de funcionar correctamen-te y de manera previsible. Por otro lado, las amenazas a la segu-ridad pueden ser internas y externas e incluyen una intención maliciosa materializada en posibles ciberata-ques que puedan recibir el software o su entorno de ejecución cuando se tiene un comportamiento impredeci-ble por cualquier razón. En un proceso de desarrollo de sof-tware seguro, los profesionales de control de calidad deben tener siem-pre en cuenta la seguridad y ser exactos y rigurosos en las especifi-caciones, diseño y verificación de la seguridad del software, sobre la base de los riesgos estimados, de forma que el proceso de garantía de calidad incorpore algunas actividades de su gestión y nuevos procedimientos re-lacionados con la seguridad. Mejores prácticas de seguridad del software Aun así, la seguridad del software es algo más que la eliminación de las vulnerabilidades y la realización de pruebas de penetración. Como ya ha sido citado, un aspecto adicional a considerar es la adopción por los gerentes de un enfoque sistemático para incorporar principios de buenas prácticas de Seguridad del Software («touchpoints») en todo el Ciclo de Vida de Desarrollo de Software, para lograr de este modo el doble objeti-vo de producir sistemas con software más seguro y poder verificar su segu-ridad. De esta forma se estará adop-tando un ciclo de vida del software seguro S-SDLC. La figura 6, propone un ciclo de vida de desarrollo de software SDLC en cascada basado en el modelo de Mc- Graw 5. Para otros tipos como los ite-rativos sería similar, especificando las actividades y pruebas de seguridad a efectuar en cada fase del mismo. En el siguiente apartado se muestran diferentes tipos de S‑SDLC adopta-dos por diferentes empresas y orga-nizaciones. A este respecto, se enu-meran esas actividades o mejores prácticas de Seguridad del Software tomando como referencia las defi-nidas por Gay Mcgraw en Software Security: Building Security In 5 aña-diendo otras: • Modelado de ataques. Para conse-guir que el desarrollo de una apli-cación posea las propiedades y principios de diseño del software seguro presentadas, es necesario que el personal de diseño y desa-rrollo implemente la perspectiva del atacante modelada de las si-guientes dos formas: Patrones de ataque y Árboles de ataque. Los «patrones de ataque» constituyen un mecanismo o medio para cap-turar y representar la perspectiva y conocimiento del ciberatacante con el suficiente detalle acerca de cómo Fig. 4. Vulnerabilidades descubiertas en el año 2014. (Fuente: Referencia 6). Boletín de Observación Tecnológica en Defensa n.º 49. Primer trimestre 2016 25


Boletín de observación tecnológica en Defensa 49
To see the actual publication please follow the link above