Page 27

Boletín de observación tecnológica en Defensa 49

en profundidad Fig. 6. Mejores prácticas de seguridad del software en el SDLC. (Fuente: Adaptación referencia 5). seguridad del sistema y del riesgo y contribuye a mejorar la seguridad al descubrir amenazas y riesgos residuales existentes, que pueden pasar desapercibidos para el equi-po interno. Una vez finalizadas am-bas revisiones y en función de los resultados obtenidos habrá que revisar el análisis de riesgos y su gestión, incorporar nuevas amena-zas e incluso modificar las especi-ficaciones del sistema. Al igual que la gestión de riesgos, las actividades o buenas prácticas pre-sentadas anteriormente hay que reali-zarlas de forma continua a lo largo de las diferentes iteraciones del ciclo de vida. Conforme se descubren nuevas amenazas, se introducen cambios adicionales o nuevos componentes, se reparan defectos o bugs detecta-dos, hay que rehacer el análisis de riesgos con nuevos casos de abuso asociados, e incluso se pude llegar a tener que modificar las especificacio-nes iniciales del sistema. Conclusiones Actualmente las tecnologías de segu-ridad de red pueden ayudar a aliviar los ciberataques, pero no resuelven el problema de seguridad real ya que una vez que el ciberatacante consigue vencer esas defensas, por ingeniería social por ejemplo, y comprometer una máquina del interior, a través de la misma podrá atacar a las demás empezando por las más vulnerables. Se hace necesario por tanto disponer de software seguro que funcione en un entorno agresivo y malicioso. Para conseguir software confiable que solo realice las tareas para las que está diseñado y minimizar al máximo los ataques en la capa de aplicación y, por tanto, el número de vulnerabilidades explotables, es ne-cesario seguir un proceso sistemáti-co o disciplina que aborde la seguri-dad en todas las etapas del ciclo de vida de desarrollo del software que incluya una serie de buenas prácti-cas de seguridad (S-SDLC), como la especificación de requisitos segu-ridad, casos de abuso, análisis de riesgo, análisis de código, pruebas de penetración dinámicas, mode-lado de amenazas, operaciones de seguridad y revisiones externas, ne-cesarias para asegurar la confianza y robustez del mismo. En este sentido los profesionales de las Tecnologías de la Información y Comunicaciones tienen que ser cons-cientes de la seguridad del software, en cuanto a los beneficios que pro-duce, su importancia en la seguridad global de un sistema, las propiedades de un software seguro, los ataques a los que se tiene que enfrentar y las metodologías aplicables a los proce-sos de desarrollo seguro de software. Todo un ciclo de seguridad iterativo y en paralelo al propio desarrollo del software. Referencias 1. Hewlett-Packard Development Company (2011). Top Cyber Security Risks Report. 2. Karen Mercedes Goertzel. (2009). Introduction to Software Security. Edi-ción en español. Recuperado el 27 de marzo de 2013 de: https://buildsecu-rityin. us-cert.gov/bsi/547-BSI.html 3. Klocwork Inc. Improving Software By Reducing Coding Defects Investing in software defect detection and pre-vention solutions to improve software reliability, reduce development costs, and optimize revenue opportunities. 4. SAFECode. (2010). Software In-tegrity Controls. Assurance-Based approach to minimizing risks in the sof-tware supply chain. Recuperado el 27 de marzo de 2013 de: http://www.safe-code. org/publications/SAFECode_Sof-tware_ Integrity_Controls0610.pdf 5. Gary McGraw. (2005). Software Security: Building Security In. Addi-son Wesley Professional. 6. Hewlett-Packard Development Com-pany, L.P. HP Security Research. Cy-ber Risk Report 2015. Año 2015. http:// www8.hp.com/us/en/software-solutions/ cyber-risk-report-security-vulnerability/ 7. DoD Software Assurance Initiative, CNSSI 4009 Terms National Informa-tion Assurance (IA) Glossary. Año 2006. http://jitc.fhu.disa.mil/pki/documents/ committee_on_national_security_sys-tems_ instructions_4009_june_2006.pdf Boletín de Observación Tecnológica en Defensa n.º 49. Primer trimestre 2016 27


Boletín de observación tecnológica en Defensa 49
To see the actual publication please follow the link above