Metodología para el diseño de arquitecturas seguras.

Yuli Andrea Ordoñez Guzman

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería
Especialización en Seguridad Informática
Proyecto de Seguridad Informática I
Bogotá D.C
2019
 Metodología para el diseño de arquitecturas seguras.

El desarrollo de software ha venido en aumento en los últimos años en Colombia,

cada vez mas empresas optan por el uso de la tecnología para la gestión del activo
más importante que pueden tener, su información, la necesidad de llegar a más
clientes así como la expansión de las empresas vuelve una necesidad el uso de
sistemas software para la gestión de las empresas, pero estos sistemas y la
infraestructura en las cual están soportadas tiene retos muy grandes para poder que
la información que se transporta este segura. La información como activo valioso
para las empresas es un objetivo ante los ataques de delincuentes quienes buscan
sacar provecho de cualquier información a la cual puedan acceder, por lo cual se
tiene una necesidad muy grande que es proteger esos datos.
Con el fin de poder proteger esos datos, bien sea en reposo o en tránsito, surge la
seguridad informática que su principal objetivo es la búsqueda de nuevas y mejores
técnicas para la protección de datos en las empresas, pero la seguridad informática
no solo puede ser pensada en un tiempo de producción de los sistemas
informáticos, es muy importante incluir es requerimiento en todo el ciclo de vida de
los sistemas software. Para esto se han desarrollado distintos de métodos de
arquitecturas que nos ayudan a levantar requerimientos sobre arquitecturas como
el Quality Atribute Workshop (QAW) [1], para el diseño como el Attribute Driven
Design (ADD) [2], para la evaluación con el método Architecture Tradeoff Analysis
Method (ATAM) [3] y por el ultimo para la documentación de las arquitecturas como
lo es el enfoque Views and Beyond [4].

Se ha visto un esfuerzo enorme para mejorar la protección de la información de las

empresas, un ejemplo de esto son los Sistemas de Gestión de la Seguridad de la
Información según [5] esto es un proceso sistemático, documentado y que sea de
conocimiento de la organización con el objetivo de garantizar si Confidencialidad,
Integridad y Disponibilidad, pero pensar en SGSI no es suficiente para proteger la
información, por tal motivo y teniendo como base el SGSI se vienen sacando
propuestas de arquitecturas o enfoques para proteger la información.
Entre estos enfoques esta la propuesta de [6] que propone el diseño de una
arquitectura de red que se basa en un modelo de defensa profunda, esto consiste
en separa la arquitectura en capas muy bien definidas e implantar controles de
seguridad entre estas capas, de tal manera que entre mas profunde se desee llegar
en la arquitectura, mas controles de seguridad se deben pasar, la propuesta de [7],
pretende ofrecer una solución perimetral para redes de datos empresariales, esta
es una solución software y hardware que implementa un mecanismo de seguridad,
el cual tiene como objetivo prevenir, detectar y responder ante las amenazas que
pueda recibir un sistema, también está la propuesta de arquitectura de [8] que
consiste en una arquitectura de 3 capas donde la primera se llamada Capa de
Preprocesamiento y es la encargada de examinar los paquetes de datos en tiempo
de ejecución, cuando esta detecta un posible problema de seguridad, está la informa
a la segunda capa, llamada Capa de Detección de Eventos, la cual es la encargada
de decidir si los posibles ataques de seguridad son efectivamente ataques de
seguridad, cuando esto ocurre la tercera capa, llamada Capa de Decisión se
encarga de tomar acciones correctivas
Existen propuestas enfocadas a tipos de arquitectura muy específicos como son las
Arquitecturas Orientadas a Servicios (SOA) [9], entre esas propuestas esta (SOSA)
Service Oriented Security Architecture de [10], que propone la construcción de la
seguridad en servicios modulares los cuales sean independientes de la plataforma,
que sean reusables, fáciles de testear y de documentar; otra propuesta que sigue
la misma línea de la anterior es Service Oriented Security Reference Architecture
(SOSRA) [11], que está diseñada en base a la Service Oriented Reference
Architecture (S3) [12], y utilizando el Conceptual SOA Security Framework [13], pero
teniendo en cuenta que las aplicaciones no siempre son pesadas para ser seguras
existen propuestas como la de [14], que presenta un modelo para transforma una
aplicación insegura a una segura. También podemos encontrar propuestas que
ofrecen mecanismos de seguridad para las arquitecturas, como la propuesta de [15],
que nos muestra métodos para proveer seguridad en redes inalámbricas, aquí nos
describe 5 métodos para que la información que transita por las redes inalámbricas
de una organización no pueda ser interceptada.
Teniendo en cuenta que tenemos formas de levantar requerimientos sobre
arquitecturas, métodos para el diseño de arquitecturas y un amplio campo de
investigación sobre enfoques y mecanismos de seguridad, y tipos de arquitecturas
creo que es un tema viable investigar sobre un modelo para el diseño de
arquitecturas seguras basándose en las necesidades de los interesados y el análisis
de riesgos.
 Referencias

[1] M. R. Barbacci, R. Ellison, A. J. Lattanze, J. A. Stafford, C. B. Weinstock y W.

G. Wood, «Quality Attribute Workshops,» 2002.

[2] R. B. F. B. L. C. P. M. P. N. R. W. B. Wojcik, «Attribute-driven design ADD,»

2006.

[3] R. K. M. C. P. Kazman, «ATAM: Method for architecture evaluation,» 2000.

[4] P. G. D. B. L. S. J. N. R. I. J. R. Clements, Documenting software

architectures: views and beyond., Pearson Education, 2002.

[5] ISO27000, «http://www.iso27000.es,» [En línea]. Available:

http://www.iso27000.es/download/doc_sgsi_all.pdf.

[6] D. E. Suarez Acuña, «Diseño de una Arquitectura de Red Basado en un

Modelo de Defensa en Profundidad Utilizando Estándares de las Normas ISO
27000 y COBIT 5.0.».

[7] A. E. H. H. J. L. C. Cervantes, «Solución de ciber-seguridad perimetral para

redes de datos empresariales,» Revista Telemática, vol. 17, nº 2, pp. 1-12,
2018.

[8] D. J. J. M. R. D. M. Á. H. P. D. M. G. P. G. M. Molina, «Arquitectura dirigida

por eventos para un sistema de detección de intrusiones basado en
patrones,» 2008.

[9] D. B. K. &. S. D. Krafzig, Enterprise SOA: service-oriented architecture best

practices, Prentice Hall Professional., 2005.

[10] G. G. Opincaru C, «A service-oriented security architecture. Enterprise

Modelling and Information Systems Architectures - Concepts and
Applications. Proceedings of the 2nd International Workshop on Enterprise
Modelling and Information Systems Architectures,» 2007.

[11] I. S., «A service oriented security reference architecture,» International

Journal of Advanced Computer Science and Information Technology, 2012.

[12] A. Z. L. J. E. M. A. A. C. K. Arsanjani, «S3: A service-oriented reference

architecture,» IT professional, 2007.
[13] K. M, «Enabling security requirements for enterprise service-oriented
architecture,» Int. J. on Recent Trends in Engineering and Technology, 2011.

[14] G. H. Shin M., «Software Modeling of Evolution to a Secure Application: From

Requirements Model to Software Architecture,» Science of Computer
Programming, 2007.

[15] J. M. M. Molina, «Seguridad en redes inalámbricas,» 2004.