4.

4 Ingeniera de Seguridad

La Ingeniera de la seguridad es una rama de la ingeniera, que usa todo

tipo de ciencias para desarrollar los procesos y diseos en cuanto a las
caractersticas de seguridad, controles y sistemas de seguridad. La
principal motivacin de esta ingeniera ha de ser el dar soporte de tal
manera que impidan comportamientos malintencionados.

El campo de esta ingeniera puede ser muy amplio, podra desarrollarse

en muchas tcnicas:

Equipos: Como el diseo de cerraduras, cmaras, sensores, etc.

Procesos: polticas de control, procedimientos de acceso.

Informtico: control de passwords, criptografa.

Tradicionalmente el tema de la seguridad en sistemas computarizados
se ha asociado a la criptografa y sus tcnicas. La inmensa complejidad
que caracteriza a los sistemas modernos hace que esta aproximacin
sea insuficiente.

Hoy en da la seguridad est asociada a la interaccin de una

multiplicidad de sistemas. La seguridad de un sistema en particular est
directamente relacionada a la seguridad de la ms dbil de sus partes.

Un sistema puede tener mecanismos criptogrficos que sean

considerados completamente seguros pero puede adolecer de
debilidades que hagan que sea innecesario atacar al sistema
criptogrfico.

Ejemplos de esto son:

Sistemas que fallan debido a problemas en el cdigo, como en la

mayora de los ataques conocidos como de buffer overflow, en los

cuales el no considerar aspectos de excepcin asociados a los sistemas

pueden representar que un atacante suficientemente hbil pueda asumir
funciones del administrador. Si en un determinado sistema alguien
asume las funciones del administrador puede tener muy fcil acceso a
claves y sistemas criptogrficos haciendo intil la fortaleza del sistema
criptogrfico que lo protege.

Algunos ataques aprovechan fallas de diseo en los sistema. Si una

determinada aplicacin ejecuta sin evaluar un determinado comando,
los atacantes del sistema pueden conseguir informacin vital sin
necesidad de romper las claves criptogrficas que lo protegen.

La existencia de sistemas de comunicacin mvil, basados

transmisin inalmbrica facilita actividades de fisgoneo en la seal.

en

Algunas veces lo que se conoce como ataques de ingeniera social

pueden resultar muy efectivos a la hora de atacar sistema
supuestamente seguros.

La poca comprensin que algunos implementadores de sistemas tienen

sobre los mecanismos de seguridad implcitos tambin ocasiona que
ciertos sistemas sean ms vulnerables. Un ejemplo clsico es la forma
en que se implementan algunos sistemas de contabilidad.

El sistema de doble registro, ancestralmente usado para proteger

sistemas de seguridad se ve violentado por sistemas que obligan al
cuadre entre cuentas lo cual facilita el ataque a sistemas de esta
naturaleza.
Nuestro proceso de desarrollo de software integra tcnicas de ingeniera
de la seguridad basadas en la nocin de patrn de seguridad. Un patrn
describe un problema recurrente que surge en un contexto especfico y
que presenta un esquema de solucin genrico y bien probado para su
solucin. Nuestro proceso de desarrollo usa el concepto de patrones de
seguridad para representar soluciones de seguridad existentes. Esta
propuesta facilita la definicin de perfiles y soluciones especficas para

entornos distintos. El proceso est diseado para ofrecer soporte a los

ingenieros de la seguridad en el desarrollo de soluciones formalmente
probadas relativas a la seguridad, pero adems para ayudarles en la
especificacin de los requisitos de seguridad, la validacin de sus
modelos comprobando la coherencia de los requisitos de seguridad a
diferentes niveles de abstraccin y la integracin de soluciones probadas
de seguridad en sus modelos. Nuestra visin dual del problema est
basada en el hecho de que no es realista pensar que los ingenieros de
software se conviertan en ingenieros de la seguridad. Por tanto,
proponemos que el proceso se use como conexin entre ambos. Los
ingenieros de la seguridad producirn soluciones de seguridad
(patrones) que sern usados por los ingenieros de software para
implementar los requisitos de seguridad en sus sistemas,
completndolos como las piezas que faltan dentro del gran puzzle del
sistema software. La figura muestra la integracin de la ingeniera de la
seguridad dentro de un proceso software genrico. Los ingenieros de la
seguridad usan el diseo de patrones, el modelado formal y las
herramientas de validacin para crear nuevas soluciones de seguridad
especializadas. Actualmente, esos patrones de seguridad se han
formalizado y analizado usando el Asynchronous Product Automata (APA)
[15] y el Simple Homomorphism Verification Tool (SHVT) [16], de forma
que se ofrezcan servicios de seguridad complejos, sin olvidar nunca la
fiabilidad de los mismos. Una vez que esas soluciones han sido probadas
formalmente, pueden ser integradas en una librera de patrones que
ser usada para cubrir los requisitos de seguridad en los modelos
software. Para facilitar su integracin, cada patrn de seguridad est
descrito semnticamente usando metamodelos basados en XML. Esas
descripciones incluyen pre y post condiciones, definicin de parmetros
y por supuesto, las propiedades de seguridad que cubre el patrn
descrito.

Por otro lado, los requisitos de seguridad especificados en los modelos

de usuario se analizan para buscar posibles inconsistencias en el modelo
(por ejemplo informacin confidencial que aparece como pblica en un
repositorio tambin pblico) con la ayuda de las descripciones
semnticas de las propiedades de seguridad. A partir de unos requisitos
de seguridad definidos en el modelo, buscamos automticamente los
patrones que mejor los representen. Entonces, los patrones
seleccionados deben adaptarse e integrarse en el modelo de usuario.
Hay que resaltar que cuando el cliente expresa requisitos de seguridad
complejos puede ser necesaria la composicin de diferentes patrones
antes de integrarlos en el modelo.

Bibliografa
http://web.iti.upv.es/~fsanchez/publications/RECSI04ManaSanchezRayYague.pd
f
http://200.94.73.190/ingenieria_de_seguridad.html
http://ingenieriaweb2584.blogspot.mx/2013/05/ingenieria-de-seguridadaspectos.html