Modelo para la evaluación en seguridad informática a productos software, basado en el estándar ISO/IEC 15408 Common Criteria

Autores/as

  • José Alejandro Chamorro López Password Consulting Services, Cali
  • Francisco Pino Grupo de I&D en Ingeniería del Software Universidad del Cauca, Popayán

DOI:

https://doi.org/10.18046/syt.v9i19.1095

Palabras clave:

Modela de evaluación, Common Criteria, cumplimiento, niveles, TOE, ST.

Resumen

Las tecnologías de la información y las comunicaciones (TICs) presentan problemas en seguridad críticos, evidenciados con los múltiples fallos que son explotados por comunidades de crackers como Anonymous y generan grandes pérdidas en los sectores en que son implementadas en el mundo y en Colombia. El estándar ISO/IEC 15408 es uno de los más relevantes a nivel mundial en seguridad informática; a través del cumplimiento de siete niveles de evaluación (EAL1 – EAL7), garantiza seguridad en la operación controlada de una TIC. Desafortunadamente este estándar aun no está aplicado en el desarrollo de software en Colombia. Este artículo presenta un modelo que permite a los desarrolladores evaluar sus productos bajo el estándar ISO/IEC 15408 Common Criteria; en el, un software se conceptualiza en un Target of evaluation (TOE) y se evalúa de acuerdo a un Security Target (ST) oficial de Common Criteria en los dos primeros niveles (EAL1, Probado Funcionalmente, y EAL2, Probado estructuralmente) para identificar falencias en el cumplimiento y formular recomendaciones de mejora en seguridad, y acercarse así a procesos de certificación en Common Criteria.

Biografía del autor/a

  • José Alejandro Chamorro López, Password Consulting Services, Cali

    Máster en Gestión Informática y Telecomunicaciones y Especialista en Redes y Comunicaciones de la Universidad Icesi, Colombia; Auditor ISO27001; Ingeniero en Electrónica y Telecomunicaciones, Universidad del Cauca, Colombia; Consultor en Seguridad de la Información en Password Consulting Services desde hace siete años en servicios de Ethical Hacking Análisis de Riesgos y Análisis Forense Informático, para más de 50 compañías en el sector público y privado.

  • Francisco Pino, Grupo de I&D en Ingeniería del Software Universidad del Cauca, Popayán

    Doctor en Tecnologías Informáticas Avanzadas (Universidad Castilla-La Mancha, España), Especialista en Redes y Servicios Telemáticos e Ingeniero en Electrónica y Telecomunicaciones (Universidad del Cauca, Colombia). Integrante del Grupo de Investigación y Desarrollo en Ingeniería del Software y docente del Departamento de Sistemas de la Facultad de Ingeniería Electrónica y Telecomunicaciones de la Universidad del Cauca. Es miembro de los grupos de ejecución de los proyectos: Mejora de procesos para fomentar la competitividad de la pequeña y mediana industria del software de Iberoamérica, Mejora basada en evidencia de la capacidad en actividades de Software, Evolución de Software Factories mediante ingeniería del software empírica y Reunión de especialistas en verificación y validación de software, y miembro de la red Calidad del Producto y Proceso de Software.

Referencias

Aceituno, V (2006). ISM3 1.0. Information security management maturity model. Barcelona, España: ISECOM. http://hades.udg.es/~xavier/downloads/White_Papers/ISM3.es.1.0.pdf

Almanza, A. (2011). Seguridad informática en Colombia: tendencias 2010-2011. Sistemas, 119, 46-73. http://www.acis.org.co/fileadmin/Revista_119/Investigacion.pdf

APM Group (2007). Welcome to the official ITIL® Website. http://www.itil-officialsite.com/
Apuestas para crecer (2008, Octubre). Revista Dinero, 312, Recuperado de: http://www.dinero.com/caratula/edicion-impresa/articulo/apuestas-para-crecer/69337

Cano, J. (2004). Inseguridad informática: un concepto dual en seguridad informática. Revista de Ingeniería (19), 40-44. http://revistaing.uniandes.edu.co/pdf/Rev19-4.pdf

Cano, J., Samudio, E., Prandini, P., Corozo, E., & Almanza, A. (2011). III Encuesta latinoamericana de seguridad de la información. ACIS, 2011 [Slides]. Recuperado de http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XI_JornadaSeguridad/Presentacion_Jeimy_Cano_III_ELSI.pdf

COACT Inc. (2006). Secureinfo risk management system Version 3.2.06.12 Security Target. San Antonio, TX: SecureInfo. Recuperado de http://www.commoncriteriaportal.org/labs/

Common Criteria (s.f). Licensed laboratories. Recuperado de: http://www.commoncriteriaportal.org/labs/

Common Criteria. (2000). Arrangement on the recognition of Common Criteria certificates in the field of information technology security. Recuperado de http://www.commoncriteriaportal.org/files/operatingprocedures/cc-recarrange.pdf

Computer Security Institute [CSI]. (2011). 2010/2011 Computer crime and security survey. New York, NY: CSI
Dirección General para el Impulso de la Administración Electrónica. (2011). Magerit versión 2. Recuperado de http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=184

European Network of Information Security Agency [ENISA] (2011). About Enisa. Recuperado de: http://www.enisa.europa.eu/publications/studies
Fernández, E., Moya, R., & Piattini, M. (2003). Seguridad de las tecnologías de la información: la construcción de la confianza para una sociedad conectada. Madrid, España: Aenor. ISBN 84-8143-367-5

Fraude en impuestos (2011, Noviembre 30). El Espectador.com. Recuperado de: http://www.elespectador.com/impreso/bogota/articulo-314297-fraude-impuestos

Herzog, P. (2010). OSSTMM 3 – The open source security testing methodology manual. Barcelona, España: ISECOM. http://www.isecom.org/mirror/OSSTMM.3.

Information Systems Audit and Control Association [ISACA]. (2011). Cobit framework for IT governance and control. Recuperado de http://www.isaca.org/knowledge-center/cobit/pages/overview.aspx

Instituto Colombiano de Normas Técnicas [ICONTEC] (2006). Norma técnica NTC-ISO-IEC 27001:2005, Anexo A. Bogotá, Colombia: ICONTEC.

International Organization for Standardization [ISO/IEC]. (2005a). 15408-1 Information Technology — Security techniques — Evaluation criteria for IT security part 1: Security functional requirements. Ginebra, Suiza: ISO

International Organization for Standardization [ISO/IEC]. (2005b). 15408-2 Information Technology — Security techniques — Evaluation criteria for IT security part 2: Security functional requirements. Ginebra, Suiza: ISO

International Organization for Standardization [ISO/IEC]. (2005c). 15408-3 Information Technology — Security techniques — Evaluation criteria for IT security part 3: Security assurance requirements. Ginebra, Suiza: ISO

Internet Crime Complaint Center [IC3]. (2010). Internet crime report. Richmond, VA: NWC3. http://www.ic3.gov/media/annualreport/2010_IC3Report.pdf [Citado el 4 de Diciembre 2011

López, A., & Ruiz, J. (2005a). La serie 27000. Recuperado de http://www.iso27000.es/iso27000.html#section3b
López, A., & Ruiz, J. (2005b). ISO27000. Recuperado de: http://www.iso27000.es/iso27000.html

National Institute of Standards and Technology [NIST] (2011). Computer security division. Computer security resource center. Recuperado de http://csrc.nist.gov/
PoisAnon (2011). PoisAnon - Operation:RobinHood [Video]. Recuperado de http://www.youtube.com/watch?v=aymM8ONuQpg

SANS Institute (2011). Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines. Recuperado de http://www.sans.org/critical-security-controls/
Software Engineering Institute [SEI]. (2008). Octave. Recuperado de http://www.cert.org/octave/

SYMANTEC (2011). Descripción general de la tecnología. Recuperado de: http://www.symantec.com/es/es/about/profile/Technology.jsp

Zone-h.org (2010). Ataque a UNE. Recuperado de http://www.zone-h.org/mirror/id/10272455

Descargas

Publicado

2011-12-04

Número

Vol. 9 Núm. 19 (2011)

Sección

Investigación científica y tecnológica

Licencia

Esta publicación está licenciada bajo los términos de la licencia CC BY 4.0 (https://creativecommons.org/licenses/by/4.0/deed.es)