Está en la página 1de 2

Caso de estudio

La norma ISO/IEC 15408 proporciona una guía muy útil que define un criterio estándar a usar como base
para la evaluación de las propiedades y características de seguridad de determinado producto o sistema
IT y proporciona criterios y argumentos entendibles para los diferentes perfiles de actores que se
encuentran relacionados con las tecnologías de la seguridad:

 Los desarrolladores de productos o sistemas de tecnologías de la información (fabricantes)


pueden ajustar sus diseños y explicar lo que ofrecen.
 Los evaluadores de seguridad, que juzgan y certifican en qué medida se ajusta una
especificación de un producto o sistema IT a los requisitos de seguridad deseados, es decir,
puede evaluar y certificar lo que asegura.
 Los usuarios pueden conocer el nivel de confianza y seguridad que los productos de tecnologías
de la información y sistemas le ofrecen. Pueden expresar cuáles son sus necesidades.

Partes que conforman la norma ISO 15408

La normativa ISO/IEC 15408 está conformada por tres partes diferenciadas:

 Introducción y Modelo General.


 Requisitos Funcionales de Seguridad.
 Requisitos de Garantía de Seguridad.

Aplicación

Hace poco se desarrolló un sistema de control de inventario en mi empresa y yo tuve cierto grado de
participación (arquitectura, recolección de datos). El Sistema se puso en producción de inmediato y
cumple para lo que fue diseñado. Sin embargo, pienso que hay muchos aspectos de seguridad que no se
tomaron en cuenta y que en un futuro pueden comprometer el sistema y la integridad de los datos (que
son muy delicados) que se encuentran allí, estas fallas son las siguientes.

 No hay roles, de modo que todos tienen el control total del Sistema.
 El Sistema no cuenta con una bitácora que registre lo que realice cada usuario.
 La autenticación es a nivel de Active Directory, esto está bien, sin embargo, no se estableció
ninguna condición o validación y cualquier usuario que este dentro del AD puede entrar al
Sistema, aunque no pertenezca al departamento de IT.
 No se manejan controles avanzados como encriptación o control de sesiones.
 Se han encontrado pequeños bugs que nadie está reportando.
 No hay documentación.

En este punto el Sistema funciona bien pero solo será cuestión de tiempo hasta que se dé una intrusión o
que se cometa algún error que cause la Perdida de integridad del inventario, o aun peor, una pausa en las
operaciones.

Con el estándar propuesto se Brinda un marco de trabajo que hubiera permitido desde un principio cubrir
todas estas necesidades de seguridad, de manera que los usuarios finales hubieran tenido una
participación más activa en el desarrollo y desde un principio se hubieran establecido todos estos
controles de seguridad, así como También la documentación para problemas y mantenimientos futuros.

Para revertir esta situación se plantearía lo siguiente:

 Manejo de roles de usuario estándar y administrador con privilegios bien definidos.


 Bitácora que identifique cuando y que hace cada usuario que ingresa al sistema.
 Autenticación a nivel de AD pero con validaciones de modo que solo puedan entrar usuarios
autorizados.
 Un mejor manejo de la sesión de cada usuario, de modo que se cierre después de cierto tiempo
de inactividad
 Un compromiso por parte del equipo encargado de usar el sistema para reportar y documentar
cualquier bug o fix necesario para deployar nuevas versiones del sistema y de paso dar
mantenimiento al mismo.
 Realizar cuanto antes documentación: manual de usuario, base de datos, deployment y código en
general.

También podría gustarte