Diseño De Software Seguro

u n o

Diseño de software seguro
Manuel Dávila Sguerra
l software es un elemento catalogado de seguridad nacional en los países que tienen un plan de desarrollo orientado hacia la sociedad del conocimiento. La preocupación en esos países se basa en el hecho de que la Ingeniería de software no ha logrado que los desarrollos de software cumplan con la característica denominada “trusworthy”, esdecir, digno de confianza. Este artículo pretende recoger una serie de especificaciones que contribuyan a que se cumpla el desarrollo de software seguro. No es la seguridad perimetral la que preocupa en esta investigación, es el software en sí. Para ello se ha consultado la estrategia de desarrollo de software de los Estados unidos para el 2015, se resumen los planteamientos de Gary McGraw, uno delos líderes en la propuesta de metodologías de software seguro, y se hace una propuesta para incluir en el ciclo de desarrollo las etapas necesarias para lograr estos desarrollos. Finalmente, haciendo uso de los referentes de ACM e IEEE sobre los diseños curriculares para crear programas de Ingeniería de sistemas o afines, se proponen algunos puntos importantes para incluir en los nuevosprogramas la formación en este tipo de competencias.
74 Sistemas

E

Palabras clave: Software seguro, trustworthy, diseño curricular, Ingeniería de sistemas.

1. Introducción En los países orientados a conformar sociedad del conocimiento y que tienen en el desarrollo de software un compromiso como industria, se le considera a éste un producto de seguridad nacional. Es el caso de los Estados Unidosque en el reporte de la segunda cumbre del Centro Nacional de Software así lo presenta, en un documento llamado “Software 2015: A national software strategy to ensure U.S. Security and competitiveness” [1] Consideran que su nación es altamente dependiente de las tecnologías de la información siendo el punto central el software, el cual se encuentra en todos los elementos de la vida cotidiana delas personas y las organizaciones. Determinan que su país es una nación bajo riesgo de consecuencias inaceptables por las fallas del software. Estas fallas pueden crear serios problemas en varios riesgos, enumerando específicamente la infraestructura nacional, la economía, la vida de las personas, la pérdida de confianza pública, de la identidad y liderazgo. Si bien nuestros países no se comparancon la capacidad productiva de software

que tiene Estados Unidos, es de mucha utilidad conocer esos planes, pues de todas maneras las tecnologías informáticas tienen carácter global. Siendo innegable la importancia del software, así como su penetración en la vida cotidiana se ve la necesidad de revisar el estado de la Ingeniería de software, la cual en sus 50 años de existencia aún no ha podidoresolver el riesgo de que un avión se caiga por culpa de un overflow en una variable. Vale la pena anotar que el nivel de seguridad que se necesita en el diseño de los programas va más allá de la tradicional seguridad perimetral, para entrar en el campo del diseño de las aplicaciones. Este estudio ha contemplado las premisas de la estrategia de los Estados Unidos como referencia para entrar en unadiscusión de índole más local. 2. Software digno de confianza o trustworthiness Se introduce el término trusworthiness o la cultura sobre las características que debe cumplir el software para ser “trustworthy” o sea, digno de confianza. Estas características se resumen en: seguridad, confianza, fiabilidad y supervivencia. El significado de cada una de estas características se detalla acontinuación. Seguridad: se refiere a la exposición de los programas a peligros no intencionados en sus especificaciones; es decir, que no se dan por mala Ingeniería de software o malas prácticas en la programación, sino por aspectos de índole externo. Cabe hablar aquí de código malicioso y malintencionado como son los virus, troyanos, puertas traseras, spam lo que no sólo crea problemas reales de...