Por Aury M. Curbelo síguela en Twitter en @acurbelo
En una organización o empresa, el análisis y diseño de sistemas se refiere al proceso de examinar y analizar un problema, con el propósito de que sea solucionado mediante el diseño de un sistema de información y con la finalidad de mejorar los métodos y procedimientos dicha organización. Una tarea que recae en el analista de sistemas, el encargado de realizar , valga la redundancia, las tareas de análisis y diseño que mejor se ajusten a las necesidades de la organización o firma para la cual trabaja.
Este analista de sistemas debe conocer que para comenzar cualquier desarrollo de proyecto, es necesario realizar un estudio de sistemas para detectar todos los detalles del estado actual de los sistema en la la empresa y proveer soluciones reales y seguras.
Desde el punto de vista del desarrollo de sistemas, es importante mencionar que el mismo consta de dos partes. La primera parte es el “Análisis”, el cual se define como el proceso de clasificación e interpretación de hechos, diagnóstico de problemas y empleo de la información para recomendar mejoras al sistema. La segunda parte es el “Diseño”, el cual especifica las características del producto terminado.
A través de este artículo se propone la revisión del modelo de desarrollo de sistemas de información, añadiendo un nuevo componente a este modelo el cual es la “seguridad en informática”. Este nuevo modelo propone que se enmarque la seguridad en cada proceso de análisis y diseño, teniendo en mente el desarrollo e implantación de proyectos seguros desde todos las partes de los ciclos y elementos de la infraestructura.
Ciclo de vida del desarrollo de sistemas
El análisis y diseño de sistemas es un procedimiento para la resolución de problemas. Cuando se trata del diseño de sistemas de IT, se busca analizar sistemáticamente la entrada o flujo de datos, su transformación, almacenamiento y salida en el contexto de una organización particular. También es utilizado para analizar, diseñar e implementar mejoras que puedan incorporarse en la organización y puedan ser alcanzadas al usar un sistema de información computarizado. Como se describió anteriormente los diseños de sistemas de información trabajan con datos, ¿así que por qué no tomarse el tiempo en diseñar proyectos seguros desde el principio?
Figura 1. Modelo propuesto del ciclo de vida del desarrollo de sistemas que incluya una base de seguridad.
;
La figura 1 indica el modelo conceptual que proponemos, en donde la función del analista de sistemas o el diseñador de proyectos de informática posee una base sólida en materia de seguridad IT. Aunque es un modelo general, el objetivo es promover una discusión entre los analistas y diseñadores de sistemas sobre la seguridad en todos los ciclos y elementos del desarrollo de soluciones IT. Hemos encontrado que muchos analistas y diseñadores conocen muy poco sobre el tema de ciberseguridad, y por ende sus desarrollos son mucho más débiles y carecen de elementos básicos de protección.
;
Elementos de un sistema IT
Los fierros o el hardware
Desde la perspectiva de los elementos que componen un sistema de información se pueden mencionar varios entre ellos el equipo o hardware. Este es el elemento en donde se implementará la operación del sistema. Por lo tanto el diseño del hardware es la primera pieza que debe integrar seguridad. De acuerdo a Grand (2004), el diseño del hardware comúnmente se toma a la ligera desde el ciclo de vida del desarrollo del producto, dejando fuera importantes consideraciones de diseño y genera un producto vulnerable a ataques de hackers, que eventualmente ocasiona perdida de servicios, ganancias, o reputaciones de buenas empresas.
La Revista ExtremeTech publicó un sin numero de casos en donde los errores en el diseño del hardware atentan contra la seguridad de los usurarios. De igual forma, el Centro de Aparatos y Salud Radiológica de Estados Unidos o el Center for Devices and Radiological Health (CDRH) reportó que existe una preocupación en la falta de cuidado en el diseño de aparatos médicos, que eventualmente podría afectar a los pacientes e inclusive provocar su muerte. Es claro que todo analista debe tener en mente que no existe ningún sistema 100% infalible. Por lo tanto, es importante que cuando se diseñe hardware se tiene que considerar que tarde o temprano será atacado.
Información de 1 y 0
Los datos son todas aquellas entradas que necesita el sistema diseñado para generar el resultado que busca la organización. En el análisis y diseño de cómo se va a manejar el flujo de datos o información resulta evidente que el elemento de seguridad esté presente. El triángulo de la seguridad: integridad y disponibilidad y confidencialidad debe ser la norma en este aspecto. Sobra mencionar la cantidad de pérdidas millonarias a causa de brechas o fugas de información, simplemente por que el diseñador de sistemas no consideró la seguridad en las transmisiones de datos. Varios estudios indican que las tres causas principales detrás de una fuga o robo de archivos son por: la pérdida o robo de equipos, como laptops o dispositivos móviles (35%), accidentes provocados por terceros, cibercriminales, (32%) y la falla de uno o más sistemas (29%).
La herramientas o el software
Los programas o el software son los responsables de hacer que los datos de entrada sean procesados y generen los resultados esperados. Sin embargo, la industria del diseño de software es considerada una de las más complejas demandantes. Es bien conocida la prisa y urgencia con la que muchas compañías de desarrollo se ven obligadas a liberar una “solución mágica”, que para la mala fortuna de sus clientes, está llena de errores en programación y hoyos de seguridad.
Esta situación tiene dos puntos de vista. El primero es que ningún “software” es perfecto, por lo tanto los errores y fallas en programación son muy comunes. Segundo, sin errores y fallas se lograrán corregir los parches y el hacking ya que no existirían. El problema es que como la tecnología está en constante cambio el desarrollo de software también lo está, por lo que se convierte en una industria muy volátil y difícil de predecir.
Para medir la efectividad de un programa es importante tomar en consideración ciertos factores dentro de su diseño. Estos factores son: la planificación del diseño, donde se debe considerar quiénes serán sus usuarios finales, que datos procesará, analizará y sensibilidad de los mismos. También es importante considerar el propósito final, lo último que queremos es que un software venga a traer más problemas de los que resuelve.
Quién podría olvidar el estreno de Microsoft Vista, el cual ha sido considerado como uno de los errores técnicos más grande de la década. La firma de investigación Pigdom presentó hace poco los 10 errores históricos en la industria del software y sus consecuencias. El mayor desastre en diseño de software es el no tomar en cuenta la seguridad desde su gestación. ¿Por qué no integrar seguridad en el diseño y planificación desde el principio? ¿Por qué no analizar las consecuencias de malas programaciones antes de que ocurran?
La capa 8 o el recurso humano
Finalmente, dentro del análisis y diseño de sistemas de información el recurso humano es el más importante de todos, ya que representan todas las personas que utilizarán el sistema. Muchos autores e investigadores coinciden en que el eslabón menos fuerte de toda cadena de seguridad son los humanos. Así que al analizar y diseñar un sistema, la prioridad debe residir en proteger al máximo la información de los mismos humanos, ¿irónico verdad?
Pese a los muchos esfuerzos que las empresas realizan a diario para educar y adiestrar al personal no técnico en aspectos de seguridad IT, todavía es mucho lo que hay que hacer para resguardar la información. Varios reportes muestran el rol activo de los empleados en todos los casos de brechas de información. De hecho en la mayoría de las ocasiones es el usuario el culpable de dichas fugas y no los sistemas que las áreas IT han instalado para evitar justo eso.
Ahora bien, si la integración de seguridad en el análisis y diseño de sistemas informáticos son tan importantes y de extrema urgencia, ¿Por qué no se implementan? ¿De quien es la culpa?
Razones para la falta de implementación.
El Instituto de Sans publicó un estudio llamado Security Scenarios in Analysis and Design, en el cual se revisaron seis libros de textos relacionados al tema de análisis y diseño de sistemas informáticos a nivel universitario. Estos libros son mayormente utilizados en diversas universidades en Estados Unidos, en donde se imparten programas relacionados a las ciencias en computación. El estudio encontró que en la mayoría de libros revisados se abordaba el tema de seguridad IT de manera muy general y en algunos casos, simplemente no se mencionaba. De hecho, el análisis del instituto concluye en que la mayoría de los casos a nivel universitario el tema de seguridad en informática no está incluido a en la enseñanza en materia de análisis y diseño de sistemas de IT
Esta representa un claro para los académicos y estudiantes de incorporar el tema de seguridad en todos los aspectos de las Ciencias de la Computación. Muchos analistas de sistemas están acostumbrados a desarrollar contramedidas una vez terminado los procesos de diseño e implantación, pero en su lugar ¾como el artículo propone¾ se debería de incorporar el tema de seguridad en todos los ciclos y elementos del desarrollo de sistemas. Es claro que para lograr esto se requiere un cambio en el paradigma de la enseñanza y entender a profundidad, que todo lo que se analice y se diseñe debe incluir la probabilidad de un ciberataque.
;
La doctora Aury M. Curbelo es consultora y conferenciante internacional en el área de seguridad en informática, cuenta con las acreditaciones de Hacker Ético y Forense. Además es profesora en el área de Sistemas computadorizados de Información. Síguela en twitter: @acurbelo.
SÍGUENOS
© 2012 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260