Universidad Tecnológica de Panamá

Facultad de Ingeniería de Sistemas Computacionales

Maestría en Seguridad Informática

NIST SP 800-160v1

Aplicaciones Seguras Presentado por:

Facilitador: • Luis Ortega

Xiegdel Miranda
• Rigoberto Ramos
• Soto, Rey

Marzo 27, 2024

Introducción

El NIST Special Publication (SP) 800-160 Volumen 1 Rev. 1, titulado "Engineering

Trustworthy Secure Systems" (Ingeniería de Sistemas Seguros Confiables), es una
publicación que describe una base para establecer principios, conceptos,
actividades y tareas para la ingeniería de sistemas seguros confiables. Esta
publicación tiene como objetivo avanzar en la ingeniería de sistemas para
desarrollar sistemas confiables para entornos operativos disputados
(generalmente referidos como ingeniería de seguridad de sistemas) y servir como
base para desarrollar programas educativos y de capacitación, certificaciones
profesionales y otros criterios de evaluación.
Procesos del ciclo de vida del sistema
Descripción de las consideraciones de seguridad y las contribuciones a los
procesos del ciclo de vida del sistema para lograr sistemas seguros y confiables.

 Procesos del ciclo de vida del sistema

 Ingeniería de sistemas en todo el ciclo de vida
Procesos de acuerdo

La ejecución de los procesos del ciclo de vida por ingeniería de sistemas ocurre
durante todo el ciclo de vida del sistema.

 Adquisición (AQ)
 Proceso de Abastecimiento (SP)
Proceso de adquisición

El proceso de Adquisición tiene como objetivo principal obtener un producto o

servicio de acuerdo con los requisitos del adquirente.

 Integración de consideraciones de seguridad en la estrategia de adquisición.

 Inclusión de requisitos de seguridad en la solicitud de producto o servicio.
 Consideración de aspectos de seguridad en los criterios de selección de proveedores.
 Establecimiento de un acuerdo entre el adquirente y el proveedor que contenga consideraciones de
seguridad.
 Aceptación del producto o servicio que cumple con los aspectos de seguridad del acuerdo.
 Cumplimiento de las obligaciones de seguridad del adquirente definidas en el acuerdo.
Proceso de suministro

El proceso de Suministro tiene como objetivo proporcionar al adquirente un

producto o servicio que cumpla con los requisitos acordados.

 Alineación de las necesidades de seguridad del adquirente con la capacidad de los productos y
servicios para satisfacer esas necesidades.
 Abordaje de los criterios de seguridad por parte de la estrategia de suministro.
 Respuesta a la solicitud del adquirente que incluye consideraciones de seguridad.
 Incorporación de criterios de seguridad en un acuerdo para suministrar un producto o servicio.
 Suministro de un producto o servicio que cumple con los criterios de seguridad del acuerdo.
 Cumplimiento de las obligaciones de seguridad del proveedor definidas en el acuerdo.
Procesos organizativos del proyecto

Los procesos organizacionales de habilitación de proyectos proporcionan la

estructura y el apoyo necesarios para la gestión efectiva de proyectos.

 Gestión del Modelo de Ciclo de Vida (LM)

 Gestión de Infraestructura (FI)
 Gestión de Cartera (PM)
 Gestión de Recursos Humanos (RRHH)
 Gestión de Calidad (QM)
 Gestión del Conocimiento (KM)
Proceso de Gestión del Modelo de Ciclo
de Vida
El proceso de Gestión del Modelo de Ciclo de Vida se centra en la definición,
implementación y mantenimiento del modelo de ciclo de vida del proyecto.

 LM-1 Establece los aspectos de seguridad del proceso

 LM-2 Evaluar los aspectos de seguridad del proceso
 LM-3 Mejorar los aspectos de seguridad del proceso
Proceso de Gestión de Infraestructuras

El proceso de Gestión de Infraestructura tiene como objetivo proporcionar la

infraestructura y los servicios necesarios para respaldar los objetivos del
proyecto.

 IF-1 Establecer la infraestructura segura

 IF-2 Mantener la infraestructura segura
Proceso de Gestión de Cartera

El proceso de Gestión de Cartera tiene como objetivo iniciar y sostener proyectos

necesarios para cumplir con los objetivos estratégicos de la organización.

 PM-1 Definir y autorizar los aspectos de seguridad de los proyectos

 PM-2 Evaluar los aspectos de seguridad del portafolio de proyectos
 PM-3 Terminar proyectos
Proceso de Gestión de Recursos
Humanos
El proceso de Gestión de Recursos Humanos tiene como objetivo proporcionar a
la organización los recursos humanos necesarios y mantener sus competencias.

 HR-1 Identificar habilidades en ingeniería de seguridad de sistemas

 HR-2 Desarrollar habilidades en ingeniería de seguridad de sistemas
 HR-3 Adquirir y proporcionar habilidades de ingeniería de seguridad de sistemas a proyectos
Proceso de Gestión de la Calidad

El proceso de Gestión de Calidad tiene como objetivo asegurar que los productos,
servicios e implementaciones cumplan con los objetivos de calidad del proyecto.

 QM-1 Gestión de Calidad de Seguridad del Plan

 QM-2 Evaluar la Gestión de Calidad de Seguridad
 QM-3 Realizar Acciones Correctivas y Preventivas de Gestión de Calidad de
Seguridad
Proceso de Gestión del Conocimiento

El proceso de Gestión del Conocimiento tiene como objetivo crear la capacidad y

los activos que permitan a la organización explotar las oportunidades para volver
a aplicar el conocimiento existente.

 KM-1 Gestión del Conocimiento de Seguridad del Plan

 KM-2 Comparte Conocimientos y Habilidades en Seguridad en Toda la
Organización
 KM-3 Comparte Activos de Conocimiento de Seguridad en Toda la Organización
 KM-4 Gestiona Conocimientos, Habilidades y Activos de Conocimiento en
Seguridad
 3.3 - PROCESOS DE GESTIÓN
TÉCNICA
Esta sección contiene los ocho procesos de gestión técnica
ISO/IEC/IEEE 15288 con extensiones para la ingeniería de
seguridad de sistemas. Los procesos son:
 Planificación de Proyectos (PL);
 Evaluación y Control de Proyectos (AP);
 Gestión de Decisiones (DM);
 Gestión de Riesgos (RM);
 Gestión de la configuración (CM);
 Gestión de la Información (IM);
 Medición (MS); y
 Aseguramiento de la calidad (QA).
3.3.1 Proceso de planificación del proyecto

PL-1 DEFINIR LOS ASPECTOS DE SEGURIDAD DEL PROYECTO.

PL-2 PLANIFICAR LOS ASPECTOS DE SEGURIDAD DEL PROYECTO Y GESTIÓN TÉCNICA.

PL-3 ACTIVAR LOS ASPECTOS DE SEGURIDAD DEL PROYECTO.

PL-1 DEFINIR LOS ASPECTOS DE SEGURIDAD
DEL PROYECTO.

PL-2 PLANIFICAR LOS ASPECTOS DE

SEGURIDAD DEL PROYECTO Y GESTIÓN
TÉCNICA.

PL-3 ACTIVAR LOS ASPECTOS DE

SEGURIDAD DEL PROYECTO.
 3.3.2 Proceso de evaluación y control del
proyecto

PA-1 PLAN PARA LOS ASPECTOS DE SEGURIDAD DE LA EVALUACIÓN Y CONTROL DE PROYECTOS.

PA-2 EVALUAR LOS ASPECTOS DE SEGURIDAD DEL PROYECTO.

PA-3 CONTROLAR LOS ASPECTOS DE SEGURIDAD DEL PROYECTO.

 PA-1 PLAN PARA LOS ASPECTOS DE
SEGURIDAD DE LA EVALUACIÓN Y CONTROL
DE PROYECTOS.

PA-2 EVALUAR LOS ASPECTOS DE

SEGURIDAD DEL PROYECTO.

PA-3 CONTROLAR LOS ASPECTOS DE

SEGURIDAD DEL PROYECTO.
 3.3.3 Proceso de gestión de decisiones

DM-1 PREPARARSE PARA DECISIONES CON IMPLICACIONES DE SEGURIDAD.

DM-2 ANALIZAR LOS ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE DECISIONES.

DM-3 TOMAR Y GESTIONAR DECISIONES DE SEGURIDAD.

 DM-1 PREPARARSE PARA DECISIONES CON
IMPLICACIONES DE SEGURIDAD.

DM-2 ANALIZAR LOS ASPECTOS DE

SEGURIDAD DE LA INFORMACIÓN DE
DECISIONES.

DM-3 TOMAR Y GESTIONAR DECISIONES DE

SEGURIDAD.
3.3.4 Proceso de gestión de riesgos

RM-1 PLAN DE GESTIÓN DE RIESGOS DE SEGURIDAD.

RM-2 GESTIONAR LOS ASPECTOS DE SEGURIDAD DEL PERFIL DE RIESGO.

RM-3 ANALIZAR EL RIESGO DE SEGURIDAD.

 RM-1 PLAN DE GESTIÓN DE RIESGOS DE
SEGURIDAD.

RM-2 GESTIONAR LOS ASPECTOS DE

SEGURIDAD DEL PERFIL DE RIESGO.

RM-3 ANALIZAR EL RIESGO DE SEGURIDAD.

3.3.5 Proceso de gestión de la
configuración

CM-1 PLAN PARA LOS ASPECTOS DE SEGURIDAD DE LA GESTIÓN DE LA CONFIGURACIÓN.

CM-2 REALIZAR LOS ASPECTOS DE SEGURIDAD DE LA IDENTIFICACIÓN DE CONFIGURACIÓN.
CM-3 REALIZAR LA GESTIÓN DE CAMBIOS DE CONFIGURACIÓN DE SEGURIDAD.
CM-4 REALIZAR LA CONTABILIDAD DEL ESTADO DE LA CONFIGURACIÓN DE SEGURIDAD.
CM-5 REALIZAR LA EVALUACIÓN DE LA CONFIGURACIÓN DE SEGURIDAD.
CM-6 REALIZAR LOS ASPECTOS DE SEGURIDAD DEL CONTROL DE LIBERACIÓN.
CM-1 PLAN PARA LOS ASPECTOS DE
SEGURIDAD DE LA GESTIÓN DE LA
CONFIGURACIÓN.

CM-2 REALIZAR LOS ASPECTOS DE

SEGURIDAD DE LA IDENTIFICACIÓN DE
CONFIGURACIÓN.

CM-3 REALIZAR LA GESTIÓN DE CAMBIOS

DE CONFIGURACIÓN DE SEGURIDAD.

CM-4 REALIZAR LA CONTABILIDAD DEL

ESTADO DE LA CONFIGURACIÓN DE
SEGURIDAD.

CM-5 REALIZAR LA EVALUACIÓN DE LA

CONFIGURACIÓN DE SEGURIDAD.

CM-6 REALIZAR LOS ASPECTOS DE

SEGURIDAD DEL CONTROL DE LIBERACIÓN.
 3.3.6 Proceso de gestión de la
información

IM-1 PREPARARSE PARA LOS ASPECTOS DE SEGURIDAD DE LA GESTIÓN DE LA INFORMACIÓN.

IM-2 REALIZAR LOS ASPECTOS DE SEGURIDAD DE LA GESTIÓN DE LA INFORMACIÓN.

 IM-1 PREPARARSE PARA LOS
ASPECTOS DE SEGURIDAD DE LA
GESTIÓN DE LA INFORMACIÓN.

IM-2 REALIZAR LOS ASPECTOS DE

SEGURIDAD DE LA GESTIÓN DE LA
INFORMACIÓN.
3.3.7 Proceso de medición

MS-1 PREPÁRESE PARA LA MEDICIÓN DE SEGURIDAD.

MS-2 REALIZAR MEDICIÓN DE SEGURIDAD.

MS-1 PREPÁRESE PARA LA
MEDICIÓN DE SEGURIDAD.

MS-2 REALIZAR MEDICIÓN DE

SEGURIDAD.
3.3.8 Proceso de aseguramiento de la
calidad

QA-1 PREPÁRESE PARA LA GARANTÍA DE CALIDAD DE LA SEGURIDAD.

QA-2 REALIZAR EVALUACIONES DE SEGURIDAD DE PRODUCTOS O SERVICIOS.
QA-3 REALIZAR EVALUACIONES DE SEGURIDAD DE PROCESOS.
QA-4 GESTIONAR REGISTROS E INFORMES DE SEGURIDAD DE GARANTÍA DE CALIDAD.
QA-5 TRATAR INCIDENTES Y PROBLEMAS DE SEGURIDAD.
QA-1 PREPÁRESE PARA LA GARANTÍA
DE CALIDAD DE LA SEGURIDAD.

QA-2 REALIZAR EVALUACIONES DE

SEGURIDAD DE PRODUCTOS O
SERVICIOS.

QA-3 REALIZAR EVALUACIONES DE

SEGURIDAD DE PROCESOS.

QA-4 GESTIONAR REGISTROS E

INFORMES DE SEGURIDAD DE
GARANTÍA DE CALIDAD.

QA-5 TRATAR INCIDENTES Y

PROBLEMAS DE SEGURIDAD.
 3.4 - PROCESOS TÉCNICOS
Esta sección contiene los catorce estándares ISO/IEC/IEEE
15288.técnicoprocesos con extensiones para ingeniería de seguridad de
sistemas. Los procesos son:
• Proceso de Análisis de Negocio o Misión (BA) ;
• Proceso de definición de necesidades y requisitos de las partes interesadas
(SN) ;
• Proceso de definición de requisitos del sistema (SR) ;
• Proceso de definición de arquitectura (AR) ;
• Proceso de Definición de Diseño (DE) ;
• Proceso de análisis del sistema (SA) ;
• Proceso de implementación (PI) ;
• Proceso de Integración (IN) ;
• Proceso de Verificación (VE) ;
• Proceso de Transición (TR) ;
• Proceso de Validación (VA) ;
• Proceso de operación (OP) ;
• Proceso de mantenimiento (MA) ; y
• Proceso de eliminación (DS) .
 3.4.1 Proceso de Análisis de Negocio o
Misión

BA-1 PREPARARSE PARA LOS ASPECTOS DE SEGURIDAD DEL ANÁLISIS DE MISIÓN O NEGOCIO.
BA-2 DEFINIR LOS ASPECTOS DE SEGURIDAD DEL PROBLEMA U ESPACIO DE OPORTUNIDAD BA-
3 CARACTERIZAR LOS ASPECTOS DE SEGURIDAD DEL ESPACIO DE SOLUCIONES.
BA-4 GESTIONAR REGISTROS E INFORMES DE SEGURIDAD DE GARANTÍA DE CALIDAD.
BA-5 GESTIONAR LOS ASPECTOS DE SEGURIDAD DEL ANÁLISIS DE NEGOCIO O MISIÓN.
BA-1 PREPARARSE PARA LOS ASPECTOS
DE SEGURIDAD DEL ANÁLISIS DE MISIÓN
O NEGOCIO.

BA-2 DEFINIR LOS ASPECTOS DE

SEGURIDAD DEL PROBLEMA U ESPACIO
DE OPORTUNIDAD

BA-3 CARACTERIZAR LOS ASPECTOS DE

SEGURIDAD DEL ESPACIO DE
SOLUCIONES.

BA-4 GESTIONAR REGISTROS E

INFORMES DE SEGURIDAD DE GARANTÍA
DE CALIDAD.

BA-5 GESTIONAR LOS ASPECTOS DE

SEGURIDAD DEL ANÁLISIS DE NEGOCIO O
MISIÓN.
 3.4.2 Proceso de definición de las necesidades y
requisitos de las partes interesadas

SN-1 PREPARARSE PARA LAS NECESIDADES DE PROTECCIÓN DE LAS PARTES INTERESADAS Y LOS REQUISITOS DE
SEGURIDAD DEFINICIÓN.
SN-2 DEFINIR LAS NECESIDADES DE PROTECCIÓN DE LAS PARTES INTERESADAS.
SN-3 DESARROLLAR LOS ASPECTOS DE SEGURIDAD DE LOS CONCEPTOS OPERATIVOS Y OTROS DEL CICLO DE VIDA.
SN-4 TRANSFORMAR LAS NECESIDADES DE PROTECCIÓN DE LAS PARTES INTERESADAS EN REQUISITOS DE SEGURIDAD.
SN-5 ANALIZAR LOS REQUISITOS DE SEGURIDAD DE LAS PARTES INTERESADAS.
SN-6 GESTIONAR LAS NECESIDADES DE PROTECCIÓN DE LOS GRUPOS DE INTERÉS Y LOS REQUISITOS DE SEGURIDAD
DEFINICIÓN
SN-1 PREPARARSE PARA LAS NECESIDADES DE
PROTECCIÓN DE LAS PARTES INTERESADAS Y
LOS REQUISITOS DE SEGURIDAD DEFINICIÓN.

SN-2 DEFINIR LAS NECESIDADES DE

PROTECCIÓN DE LAS PARTES INTERESADAS.

SN-3 DESARROLLAR LOS ASPECTOS DE

SEGURIDAD DE LOS CONCEPTOS OPERATIVOS
Y OTROS DEL CICLO DE VIDA.

SN-4 TRANSFORMAR LAS NECESIDADES DE

PROTECCIÓN DE LAS PARTES INTERESADAS
EN REQUISITOS DE SEGURIDAD.

SN-5 ANALIZAR LOS REQUISITOS DE

SEGURIDAD DE LAS PARTES INTERESADAS.

SN-6 GESTIONAR LAS NECESIDADES DE

PROTECCIÓN DE LOS GRUPOS DE INTERÉS Y
LOS REQUISITOS DE SEGURIDAD DEFINICIÓN
System Requirements Definition Process

 Identificar y
documentar los
requisitos del
sistema, incluyendo
funcionalidad,
rendimiento,
seguridad y otras
características.

 Establecer criterios
claros y medibles
para evaluar la
satisfacción de los
requisitos del
sistema.
Architecture
Definition Process
 Desarrollar la arquitectura del
sistema, definiendo la
estructura, componentes,
interfaces y comportamientos
del sistema.

 Considerar aspectos como la

escalabilidad, la seguridad y la
interoperabilidad en el diseño
de la arquitectura.
Design Definition
Process
 Considerar aspectos
como la modularidad, la
reutilización y la eficiencia
en el diseño del sistema.

 Detallar el diseño
del sistema, traduciendo los
requisitos y la arquitectura
en especificaciones técnicas
y planos.
System Analysis Process

 Analizar el sistema para identificar y mitigar

riesgos, evaluar la viabilidad técnica y evaluar el
cumplimiento de los requisitos.

 Realizar análisis de riesgos, impacto y

dependencias para garantizar la robustez y seguridad
del sistema.
Implementation
Process
 Desarrollar e
integrar los componentes del
sistema de acuerdo con el
diseño definido.

 Seguir buenas
prácticas de programación y
desarrollo para garantizar la
calidad, seguridad y
eficiencia del código.
Integration Process

 Combinar y probar los

componentes individuales del
sistema para garantizar su
funcionamiento conjunto y su
conformidad con los
requisitos.

 Realizar pruebas de
integración para identificar y
resolver problemas de
interoperabilidad y
rendimiento.
Verification
Process
 Verificar que el
sistema cumple con los
requisitos y especificaciones
establecidos durante todas las
etapas del desarrollo.

 Realizar pruebas y
revisiones sistemáticas para
confirmar que el sistema
funciona como se espera.
Transition Process

• Preparar y llevar a cabo la transición del sistema

desde su desarrollo inicial hasta su operación plena.

• Incluir actividades como la capacitación de

usuarios, la migración de datos y la configuración del
entorno operativo.
Validation Process

• Confirmar que el sistema cumple con • Realizar pruebas de validación en

las necesidades y expectativas del usuario final condiciones reales para verificar que el
y con el entorno operativo previsto. sistema cumple con su propósito y objetivos.
  Operar y mantener el
sistema en su entorno operativo,
asegurando su funcionamiento
continuo y su capacidad para
satisfacer las necesidades del
Operation usuario.

Process
 Monitorear el rendimiento,
la seguridad y la disponibilidad del
sistema, y tomar medidas
correctivas según sea necesario.
Maintenance
Process
 Realizar el
mantenimiento regular del
sistema, incluyendo
actualizaciones, correcciones
de errores y mejoras.

 Gestionar el ciclo de
vida del software y hardware
para garantizar su eficacia y
seguridad a lo largo del
tiempo.
Disposal Process

 Planificar y ejecutar la disposición segura y

adecuada del sistema al final de su vida útil.

 Incluir actividades como la eliminación

segura de datos, la desinstalación de software y el
desmantelamiento de hardware.
Conclusión

 Emerge como un recurso fundamental para promover la seguridad en el desarrollo de

sistemas complejos en un entorno digital cada vez más interconectado y expuesto a
amenazas. Esta investigación ha destacado la importancia de adoptar un enfoque
multidisciplinario y holístico en la ingeniería de sistemas, como propone el estándar,
reconociendo la necesidad de integrar consideraciones de seguridad en todas las etapas
del ciclo de vida del sistema. Al evaluar y aplicar las directrices del NIST SP 800-
160v1 en escenarios prácticos, hemos observado cómo estas pueden ayudar a las
organizaciones a identificar y mitigar riesgos de seguridad de manera proactiva, al
tiempo que promueven la colaboración entre diferentes disciplinas y partes interesadas.
Además, el enfoque basado en riesgos propuesto por el estándar ofrece una
metodología sólida para la toma de decisiones informadas en materia de seguridad,
permitiendo a las organizaciones adaptarse y responder eficazmente a un panorama de
amenazas en constante evolución.
GRACIAS