La norma ISO/IEC 15408 proporciona una guía muy útil que define un criterio estándar a usar como base para la evaluación de las propiedades y características de seguridad de determinado producto o sistema IT y proporciona criterios y argumentos entendibles para los diferentes perfiles de actores que se encuentran relacionados con las tecnologías de la seguridad:
Los desarrolladores de productos o sistemas de tecnologías de la información (fabricantes)
pueden ajustar sus diseños y explicar lo que ofrecen. Los evaluadores de seguridad, que juzgan y certifican en qué medida se ajusta una especificación de un producto o sistema IT a los requisitos de seguridad deseados, es decir, puede evaluar y certificar lo que asegura. Los usuarios pueden conocer el nivel de confianza y seguridad que los productos de tecnologías de la información y sistemas le ofrecen. Pueden expresar cuáles son sus necesidades.
Partes que conforman la norma ISO 15408
La normativa ISO/IEC 15408 está conformada por tres partes diferenciadas:
Introducción y Modelo General.
Requisitos Funcionales de Seguridad. Requisitos de Garantía de Seguridad.
Aplicación
Hace poco se desarrolló un sistema de control de inventario en mi empresa y yo tuve cierto grado de participación (arquitectura, recolección de datos). El Sistema se puso en producción de inmediato y cumple para lo que fue diseñado. Sin embargo, pienso que hay muchos aspectos de seguridad que no se tomaron en cuenta y que en un futuro pueden comprometer el sistema y la integridad de los datos (que son muy delicados) que se encuentran allí, estas fallas son las siguientes.
No hay roles, de modo que todos tienen el control total del Sistema. El Sistema no cuenta con una bitácora que registre lo que realice cada usuario. La autenticación es a nivel de Active Directory, esto está bien, sin embargo, no se estableció ninguna condición o validación y cualquier usuario que este dentro del AD puede entrar al Sistema, aunque no pertenezca al departamento de IT. No se manejan controles avanzados como encriptación o control de sesiones. Se han encontrado pequeños bugs que nadie está reportando. No hay documentación.
En este punto el Sistema funciona bien pero solo será cuestión de tiempo hasta que se dé una intrusión o que se cometa algún error que cause la Perdida de integridad del inventario, o aun peor, una pausa en las operaciones.
Con el estándar propuesto se Brinda un marco de trabajo que hubiera permitido desde un principio cubrir todas estas necesidades de seguridad, de manera que los usuarios finales hubieran tenido una participación más activa en el desarrollo y desde un principio se hubieran establecido todos estos controles de seguridad, así como También la documentación para problemas y mantenimientos futuros.
Para revertir esta situación se plantearía lo siguiente:
Manejo de roles de usuario estándar y administrador con privilegios bien definidos.
Bitácora que identifique cuando y que hace cada usuario que ingresa al sistema. Autenticación a nivel de AD pero con validaciones de modo que solo puedan entrar usuarios autorizados. Un mejor manejo de la sesión de cada usuario, de modo que se cierre después de cierto tiempo de inactividad Un compromiso por parte del equipo encargado de usar el sistema para reportar y documentar cualquier bug o fix necesario para deployar nuevas versiones del sistema y de paso dar mantenimiento al mismo. Realizar cuanto antes documentación: manual de usuario, base de datos, deployment y código en general.
