You are on page 1of 4

PLAN DE SEGURIDAD EN EL CICLO DE VIDA

DE SOFTWARE
Jairo David Moscoso Moreno
Facultad de Ingeniería en Sistemas
Escuela Superior Politécnica Nacional
Quito, Ecuador
jairo.moscoso@epn.edu.ec

I. INTRODUCTION
El software se ha convertido en el uno de los elementos
medulares para el desarrollo y evolución del ser humano. Su
amplia aplicación ha hecho posible que se realicen estudios,
pruebas y teorías acerca del desarrollo de software. Dentro de
los análisis realizados se encuentra sin duda el ciclo de vida de
software, el que muestra detalladamente cuales son las fases
que sufre un sistema desde el momento en el que nace la
necesidad de solucionar un problema hasta cuando ha
completado su vida útil y funcionalmente es obsoleto.
El ciclo de vida ha permitido determinar buenas prácticas,
estándares y normas que ayudan a obtener productos de calidad
o seguridad. Existen varios estándares que brindan
lineamientos que permiten mejorar la seguridad dentro del ciclo
de vida, son documentos extensos y detallados. Sin embargo, la
duda nace aquí en saber ¿Cuál es la mejor opción para mi  IEEE
empresa? ¿Qué estándar se adapta mejor a mis necesidades? En esta cadena de búsqueda se realizó con dos palabras
¿Cómo crear un plan de seguridad con los requerimientos que nos aseguren que el tema sea relacionado con el
necesarios para mi empresa? ciclo de vida de software (SDLC) y seguridad (se
En este documento analizaremos los documentos acerca de asume que es dentro de cada uno de los procesos del
la seguridad en el ciclo de vida de software, la importancia del ciclo). Adicionalmente se colocó un filtro de tiempo,
mismo y sobre todo cuáles son los criterios que nos permita para que la información sea no más de 3 años de
elegir que normativa de seguridad utilizar y como moldearla a antigüedad.
las necesidades de la empresa. Cadena de búsqueda: ((SECURITY) AND SDLC)
Finalmente, luego del análisis de los documentos y tras 2015-2017 (Los filtros aplicados en esta búsqueda no
haber obtenido las ideas y mapeado los conceptos se procederá corresponden a una sola cadena sino se muestran por
a generar el estado del arte del tema tratado. separado)

II. METODOLOGÍA

A. Fase de búsqueda
El proceso inicia con la recolección de los documentos que
se van a analizar, recolectando de diferentes sitios los
resultados más importantes, filtrados mediante las cadenas de
búsqueda diseñadas anteriormente.
 Google Académico
Fue la primera fuente de búsqueda, obteniendo gran
cantidad de resultados, en esta cadena se excluyó la
palabra (book) ya que solo se desea obtener artículos
científicos, y en esta fuente se encuentran tanto
artículos como libros.
Cadena de búsqueda: SECURITY DEVELOPMENT
FASE LIFECYCLE SOFTWARE -CLOUD -BOOK
 SCOPUS

XXX-X-XXXX-XXXX-X/XX/$XX.00 ©20XX IEEE


El último repositorio consultado. El número de
resultados obtenidos es manejable y los filtros
realizados en esta cadena excluyen áreas que no
aplican y publicaciones realizadas antes del 2015. Las
dos palabras claves utilizadas fueron Security y SDCL.

Cadena de conexión: TITLE-ABS-KEY ( security


AND sdlc ) AND ( LIMIT-TO ( PUBYEAR , 2018 )
OR LIMIT-TO ( PUBYEAR , 2017 ) OR LIMIT-TO
( PUBYEAR , 2016 ) OR LIMIT-TO ( PUBYEAR , Dentro del Excel se fue discriminando mediante la revisión
2015 ) ) AND ( EXCLUDE ( SUBJAREA , "SOCI" ) y descarga de cada uno de los elementos. Permitiendo así
OR EXCLUDE ( SUBJAREA , "MATH" ) OR apartar todos los resultados que no son lineamiento de la
EXCLUDE ( SUBJAREA , "DECI" ) ) investigación, obteniendo 8 artículos de gran importancia.

Los archivos seleccionados serán los que permitirán obtener


el estado del arte. Es importante mencionar que la forma de
discriminación de los papers se basó en el análisis de la
B. Fase de Ejecución
introducción de cada uno de los elementos.
Según la búsqueda realizada se puede clasificar a los
resultados (los más relevantes) de la siguiente manera:

Key Security Development SDLC Total


SCOPUS 5 9 4 18

IEEE 4 3 2 9

Google
7 11 4 22
Académico

Total 16 23 10 49

La clasificación y delimitación de los documentos se realizó Gracias a la cada una de las cadenas de búsqueda los
mediante el filtro de año de publicación, ya que la seguridad archivos obtenidos han sido de gran impacto y aprendizaje en
sus requerimientos van variando en el tiempo, tomando como el tema tratado. Esto permitió que se moldee la idea a
importancia mayor los temas de seguridad delicados y de más acoplando conceptos e ideas nuevas.
influencia en el mercado actual. Se han seleccionado elementos en inglés, ya que si bien
discriminamos elementos que pueden ser importantes en otros
C. Fase de Extracción idiomas, los servidores de alojamiento de artículos aprobados y
Se exportó la data mediante un CSV de cada una de las de impacto han sido desarrollados en ingles.
fuentes anteriormente mencionadas. Luego se realizó la carga
de las mismas en un editor CSV para realizar el ordenamiento y III. ESTADO DEL ARTE
clasificación. Se utilizó CSVed como herramienta y La base principal para hablar de seguridad en cada una de
posteriormente Excel. las fases del ciclo de vida de software representa por sobre todo

Identify applicable funding agency here. If none, delete this text box.
el manejo de vulnerabilidades, políticas y controles y pruebas y defectos de seguridad, podrá realizar un seguimiento de las
certificaciones realizadas [1]. tendencias en su cartera de aplicaciones.
El ciclo de vida de desarrollo de software o (SDLC) consta En teoría, a medida que el programa SDLC seguro madure,
de una serie de etapas o fases que proporcionan un modelo se detectarán más errores de seguridad al principio del ciclo de
sistemático para la creación y gestión de una aplicación de vida del software. Esta métrica ayudará a verificar esto en la
software. práctica. Además, las medidas adecuadas ayudarán a identificar
problemas de cadena de herramientas o, a la inversa,
justificarán sus gastos. [6]
El ciclo de vida de desarrollo del sistema es el proceso
general de desarrollo, implementación, y eliminación de los
sistemas de información a través de un proceso de varios pasos
de iniciación, análisis, diseño, implementación y
mantenimiento de su eliminación. Para cualquier modelo
SDLC que se utiliza, seguridad de la información debe
integrarse en el SDLC para garantizar una protección adecuada
de la información que el sistema transmitirá, procesar y
almacenar [3].

Existen estándares industriales, como el ISO / IEC 12207,


que en algunos casos definen los procesos para establecer el
ciclo de vida de un software, la forma en que debe
implementarse o cómo deben ejecutarse los sistemas en los que
se ejecuta. configurado. Los diversos tipos de modelos de
SDLC (que consideraremos en breve) a veces se denominan
Modelos de proceso de desarrollo de software, y cada uno
sigue un ciclo de vida particular para garantizar un proceso
exitoso de desarrollo y entrega de software.[4]
Uno de los principales modelos utilizados es CMMI,
proporciona las últimas mejores prácticas para el desarrollo de
productos y de servicios, mantenimiento y adquisición,
incluidos los mecanismos para ayudar a las empresas a mejorar
sus procesos y proporciona criterios para la evaluación de la
capacidad del proceso y la madurez de los procesos. [1] Sin En el escenario actual, donde la seguridad del software es
embargo, existen varios mas que no solo brindan madurez sino un tema de gran preocupación, es muy necesario para
que se enfocan principalmente en seguridad. salvaguardar el software de ataques maliciosos.
A medida que el programa SDLC seguro madure, las Es necesario que la seguridad debe ser incorporado ' Desde
vulnerabilidades deberían detectarse y corregirse antes en el ataques maliciosos. Es necesario que la seguridad debe ser
ciclo de vida. Para saber si el programa realmente funciona, las incorporado 'Desde el principio' es decir, el estadio del requisito
organizaciones deben capturar las métricas. Las métricas por lo que puede proporcionar el software fuerte y segura que
específicas elegidas deben respaldar y alinearse con los puede seguir trabajando de manera eficiente en el entorno
objetivos comerciales y el programa de gestión de riesgos de la malicioso. [2]
organización.
Cualquier proceso llevado a cabo para mejorar la seguridad
Las métricas de seguridad del plan relacionadas con el debe ser medido adecuadamente para su buen funcionamiento.
SDLC se captan mejor en los puntos de control de seguridad. El uso de la métrica de seguridad ha demostrado como un
Estos puntos de control o puertas pueden incluir análisis potencial mecanismo para medir la seguridad de los sistemas
estático IDE, análisis de confirmación de código, análisis de software. Es un enfoque cuantificable de medir la seguridad.
estático de tiempo de construcción, revisión manual de código,
exploración dinámica en QA (Pruebas de Calidad) / prueba de Entonces, La complejidad del aspecto de la seguridad es un
integración y pruebas de penetración previa y posterior a la factor muy importante que incide en el desarrollo y gestión de
producción. [6] software seguro. En el escenario actual hay muy pocas medidas
que pueden ser candidato potencial para la medición de la
Los programas de recompensas internas y externas también seguridad del software que tiene un mecanismo de evaluación
pueden incluirse como opciones de postproducción. Al capturar fiable, bien definido y preciso. [6] Por lo tanto, en la estimación
qué punto de control o herramienta se utilizó para descubrir qué actual, precisa, exacta y eficaz para la planificación y el control
de los aspectos de seguridad de la ingeniería de software es un variaciones, para que evalúen de forma más certera la
problema con la comunidad de investigación que necesita ser seguridad.
explorado más.
 Una empresa de desarrollo del grupo de las PYMEs
Para la incorporación de la seguridad en el proceso de maneja un presupuesto poco negociable, es importante
desarrollo de software y de medir su eficacia necesitamos un adaptar las soluciones e implementaciones necesarias
amplio métricas de software cuyo objetivo es (i) identificar los basándonos no solo en los requerimientos de la
parámetros esenciales de seguridad que afectan el proceso de organización, sino en su capital y evolución
software seguro, (ii) medir, y, (iii) si se requiere, para su
control. V. BIBLIOGRAFÍA
Como hemos visto, el enfoque principal de cada uno de los
artículos es el control en todos los procesos en los que existe [1] N. M. R. Ashok Kumar Gottipalla, «Software Development
riesgo o amenaza, sin embargo, no explican cómo manejar eso Life Cycle Processes with Secure,» International Journal
para las empresas que se especializan en desarrollo.
of Scientific and Research Publications, 2013.
Las empresas actuales manejan por sobre todo el ciclo el [2] V. P. K. Khari, «Embedding Security in Software
área de desarrollo, no existe un análisis de riesgos y mejores Development Life,» IEEE, 2016.
prácticas que se adapten a los PYMES, sobre todo del Ecuador. [3] N. Davis, «Secure Software Development Life,» Software
Adicionalmente no se habla del valor de la implementación Engineering Institute , 2013.
de seguridad y de cómo manejar el mismo en los costos de [4] M. A. Barabanov Alexander, «Synthesis Of Secure
desarrollo y planificación de costos de los proyectos. Software Development,» 2014.
[5] J. H. Yulia Cherdantseva, «A Reference Model of
Information Assurance & Security,» International
IV. CONCLUSIONES Conference on Availability, Reliability and Security, 2013.
[6] A. B. P. D. M. C. Banerjee, «Evaluating the Relevance of
Prevailing Software Metrics to Address Issue of Security
 La principal forma de mejorar la seguridad es el análisis Implementation in SDLC,» International Journal of
de los riesgos que existe en las diferentes fases del ciclo Advanced Studies in Computer Science & Engineering, vol.
de vida de software. 3, 2014.
 Cada una de las fases tiene una descripción de los puntos [7] D. M. G. M. F. Unuakhalu, «Integrating Risk Management
principales de control y análisis de seguridad que existen in System Development Life Cycle,» International
actualmente. Association of Scientific Innovation and Research (IASIR) ,
2014.
 Se debe analizar cuáles son las métricas que aplican a la
empresa, sin embargo, no es suficiente con eso ya que
algunas de ellas, aunque si se apliquen van a tener ciertas

You might also like