Metodología para el diseño de arquitecturas seguras.
Yuli Andrea Ordoñez Guzman
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática Proyecto de Seguridad Informática I Bogotá D.C 2019 Metodología para el diseño de arquitecturas seguras.
El desarrollo de software ha venido en aumento en los últimos años en Colombia,
cada vez mas empresas optan por el uso de la tecnología para la gestión del activo más importante que pueden tener, su información, la necesidad de llegar a más clientes así como la expansión de las empresas vuelve una necesidad el uso de sistemas software para la gestión de las empresas, pero estos sistemas y la infraestructura en las cual están soportadas tiene retos muy grandes para poder que la información que se transporta este segura. La información como activo valioso para las empresas es un objetivo ante los ataques de delincuentes quienes buscan sacar provecho de cualquier información a la cual puedan acceder, por lo cual se tiene una necesidad muy grande que es proteger esos datos. Con el fin de poder proteger esos datos, bien sea en reposo o en tránsito, surge la seguridad informática que su principal objetivo es la búsqueda de nuevas y mejores técnicas para la protección de datos en las empresas, pero la seguridad informática no solo puede ser pensada en un tiempo de producción de los sistemas informáticos, es muy importante incluir es requerimiento en todo el ciclo de vida de los sistemas software. Para esto se han desarrollado distintos de métodos de arquitecturas que nos ayudan a levantar requerimientos sobre arquitecturas como el Quality Atribute Workshop (QAW) [1], para el diseño como el Attribute Driven Design (ADD) [2], para la evaluación con el método Architecture Tradeoff Analysis Method (ATAM) [3] y por el ultimo para la documentación de las arquitecturas como lo es el enfoque Views and Beyond [4].
Se ha visto un esfuerzo enorme para mejorar la protección de la información de las
empresas, un ejemplo de esto son los Sistemas de Gestión de la Seguridad de la Información según [5] esto es un proceso sistemático, documentado y que sea de conocimiento de la organización con el objetivo de garantizar si Confidencialidad, Integridad y Disponibilidad, pero pensar en SGSI no es suficiente para proteger la información, por tal motivo y teniendo como base el SGSI se vienen sacando propuestas de arquitecturas o enfoques para proteger la información. Entre estos enfoques esta la propuesta de [6] que propone el diseño de una arquitectura de red que se basa en un modelo de defensa profunda, esto consiste en separa la arquitectura en capas muy bien definidas e implantar controles de seguridad entre estas capas, de tal manera que entre mas profunde se desee llegar en la arquitectura, mas controles de seguridad se deben pasar, la propuesta de [7], pretende ofrecer una solución perimetral para redes de datos empresariales, esta es una solución software y hardware que implementa un mecanismo de seguridad, el cual tiene como objetivo prevenir, detectar y responder ante las amenazas que pueda recibir un sistema, también está la propuesta de arquitectura de [8] que consiste en una arquitectura de 3 capas donde la primera se llamada Capa de Preprocesamiento y es la encargada de examinar los paquetes de datos en tiempo de ejecución, cuando esta detecta un posible problema de seguridad, está la informa a la segunda capa, llamada Capa de Detección de Eventos, la cual es la encargada de decidir si los posibles ataques de seguridad son efectivamente ataques de seguridad, cuando esto ocurre la tercera capa, llamada Capa de Decisión se encarga de tomar acciones correctivas Existen propuestas enfocadas a tipos de arquitectura muy específicos como son las Arquitecturas Orientadas a Servicios (SOA) [9], entre esas propuestas esta (SOSA) Service Oriented Security Architecture de [10], que propone la construcción de la seguridad en servicios modulares los cuales sean independientes de la plataforma, que sean reusables, fáciles de testear y de documentar; otra propuesta que sigue la misma línea de la anterior es Service Oriented Security Reference Architecture (SOSRA) [11], que está diseñada en base a la Service Oriented Reference Architecture (S3) [12], y utilizando el Conceptual SOA Security Framework [13], pero teniendo en cuenta que las aplicaciones no siempre son pesadas para ser seguras existen propuestas como la de [14], que presenta un modelo para transforma una aplicación insegura a una segura. También podemos encontrar propuestas que ofrecen mecanismos de seguridad para las arquitecturas, como la propuesta de [15], que nos muestra métodos para proveer seguridad en redes inalámbricas, aquí nos describe 5 métodos para que la información que transita por las redes inalámbricas de una organización no pueda ser interceptada. Teniendo en cuenta que tenemos formas de levantar requerimientos sobre arquitecturas, métodos para el diseño de arquitecturas y un amplio campo de investigación sobre enfoques y mecanismos de seguridad, y tipos de arquitecturas creo que es un tema viable investigar sobre un modelo para el diseño de arquitecturas seguras basándose en las necesidades de los interesados y el análisis de riesgos. Referencias
[1] M. R. Barbacci, R. Ellison, A. J. Lattanze, J. A. Stafford, C. B. Weinstock y W.
G. Wood, «Quality Attribute Workshops,» 2002.
[2] R. B. F. B. L. C. P. M. P. N. R. W. B. Wojcik, «Attribute-driven design ADD,»
2006.
[3] R. K. M. C. P. Kazman, «ATAM: Method for architecture evaluation,» 2000.
[4] P. G. D. B. L. S. J. N. R. I. J. R. Clements, Documenting software
architectures: views and beyond., Pearson Education, 2002.
[6] D. E. Suarez Acuña, «Diseño de una Arquitectura de Red Basado en un
Modelo de Defensa en Profundidad Utilizando Estándares de las Normas ISO 27000 y COBIT 5.0.».
[7] A. E. H. H. J. L. C. Cervantes, «Solución de ciber-seguridad perimetral para
redes de datos empresariales,» Revista Telemática, vol. 17, nº 2, pp. 1-12, 2018.
[8] D. J. J. M. R. D. M. Á. H. P. D. M. G. P. G. M. Molina, «Arquitectura dirigida
por eventos para un sistema de detección de intrusiones basado en patrones,» 2008.
[9] D. B. K. &. S. D. Krafzig, Enterprise SOA: service-oriented architecture best
practices, Prentice Hall Professional., 2005.
[10] G. G. Opincaru C, «A service-oriented security architecture. Enterprise
Modelling and Information Systems Architectures - Concepts and Applications. Proceedings of the 2nd International Workshop on Enterprise Modelling and Information Systems Architectures,» 2007.
[11] I. S., «A service oriented security reference architecture,» International
Journal of Advanced Computer Science and Information Technology, 2012.
[12] A. Z. L. J. E. M. A. A. C. K. Arsanjani, «S3: A service-oriented reference
architecture,» IT professional, 2007. [13] K. M, «Enabling security requirements for enterprise service-oriented architecture,» Int. J. on Recent Trends in Engineering and Technology, 2011.
[14] G. H. Shin M., «Software Modeling of Evolution to a Secure Application: From
Requirements Model to Software Architecture,» Science of Computer Programming, 2007.
[15] J. M. M. Molina, «Seguridad en redes inalámbricas,» 2004.