Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Software
M.A. Armando Hernndez Basilio
Unidad IV. Seguridad en Ingeniera
de Software
Introduccin.
El sistema especializado para la normalizacin en todo el mundo est conformado por ISO
(Organizacin
Internacional
de
Normalizacin)
IEC
(Comisin
Electrotcnica
Cualquier empresa de software es candidata a la certificacin ISO/IEC27001, describe los factores que influyen en la decisin.
(ISO, ISO, 2013) ISO/IEC 270001 ms reciente (2013) especifica los requisitos para
establecer, implementar, mantener y mejorar continuamente un SGSI en el contexto de la
organizacin. Incluye requisitos para la evaluacin y el tratamiento de los riesgos de
seguridad de la informacin a medida de las necesidades de la organizacin. Los requisitos
establecidos en la norma ISO / IEC 27001:2013 son genricos y se pretende que sean
aplicables a todas las organizaciones, sin importar su tipo, tamao o naturaleza
Esta norma tambin incluye requisitos para la evaluacin y el tratamiento de los riesgos de
seguridad de la informacin a la medida de las necesidades de la organizacin.
Los requisitos establecidos que tiene esta norma internacional son genricos y se pretende
que sean aplicables a todas las organizaciones, sin importar su tipo, tamao o naturaleza.
Para que una empresa obtenga la certificacin de la ISO/IEC-27001 debe cumplir una serie
de factores:
Solicitud de certificacin:
La empresa debe llenar la solicitud de servicio y enviar una serie de documentacin
como lo son el Acta constitutiva, RFC, Alta ante hacienda, comprobante de domicilio,
identificacin oficial del representante legal.
Revisin documental
Se realiza una revisin documental donde se revisa que en la empresa existan los
documentos que requiere el sistema de gestin, como lo son el manual o plan de
gestin, procedimientos, procesos, polticas y planes. Este factor es muy importante
dentro de la certificacin para que se realice el proceso de la auditoria. De lo
contrario la empresa no podr obtener este certificado.
(ISO, ISO, 2009) ISO / IEC 27004: 2009 proporciona orientacin sobre el desarrollo y uso
de las medidas y la medicin con el fin de evaluar la eficacia de un SGSI y controles o
grupos de controles, como se especifica en la norma ISO / IEC 27001. Son mtricas para
la gestin de seguridad de la informacin. Es la que proporciona recomendaciones de
quin, cundo y cmo realizar mediciones de seguridad de la informacin. Publicada el 7
de diciembre del 2009, no se encuentra traducida al espaol actualmente.
ISO 27004 nos facilita una serie de mejores prcticas para poder medir el resultado de un
SGSI basado en ISO 27001. Este estndar ayuda a cmo configurar el programa de
medicin, qu parmetros medir, cundo y ayuda a las empresas a crear objetivos de
Seleccin de procesos y objetos de medicin: las empresas deben definir lo que hay
que medir y el alcance de la medida.
Definicin de las lneas base: Los valores base que muestran el punto de referencia
deben definirse para cada objeto que se est midiendo.
Este estndar al igual que ISO 27001 se basa en un ciclo de vida PLAN-DO-CHECK-ACT
(PDCA) para toda la estructura de procesos de SGSI. En este se describen los cuatro pasos
esenciales que se deben llevar a cabo de forma sistemtica para lograr la mejora continua.
Mtricas.
Mtricas orientadas al tamao.
Consideran el tamao de software que se ha producido, siendo por ello las lneas de cdigo
(LDC) el valor de normalizacin. Son medidas directas del resultado y del proceso.
Si una organizacin de software mantiene registros sencillos, se puede crear una tabla de
datos orientados al tamao
Mtricas:
Productividad = KLDC/Esfuerzo
Calidad = errores/KLDC (miles de lneas de cdigo)
Costo = $/KLDC
Documentacin = Pags. Doc/KLDC
Mtricas orientadas a la funcin
Son medidas indirectas del software y del proceso. Se centran en la funcionalidad o utilidad
del programa. Emplean como un valor de normalizacin una medida de la funcionalidad
que entrega la aplicacin. La mtrica orientada a la funcin utilizada con mayor amplitud es
el punto de funcin
Mtricas para calidad del software
Las mtricas de calidad de software se enfocan sobre el proceso, el proyecto y el producto.
Estas mtricas las podemos dividir en dos grupos; el primer grupo se le recolecta antes de
la entrega del producto y las otras luego de haberlo entregado.
Medidas de la calidad
Bibliografa
(17 de JUNIO de 2014). Obtenido de
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63
411
27000. (15 de DICIEMBRE de 2009). Obtenido de ISO/IEC 27004:2009:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42
106
CARELO MUOZ, C. (OCTUBRE de 2006). MTRICAS DEL SOFTWARE:. Obtenido de
Conceptos bsicos, definicin y formalizacion:
http://eisc.univalle.edu.co/materias/Material_Desarrollo_Software/Metricas4.pdf
ISO. (2009). ISO. Obtenido de ISO:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42
106
ISO. (2013). Obtenido de ISO/IEC 27001:2013:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63
411
ISO 27000.es. (2005). Obtenido de El portal de ISO 27001 en Espaol:
http://iso27000.es/certificacion.html
5