Diagnóstico del uso de normativas de seguridad en construcción en las fábricas de software de la ciudad de Pasto Jesús Alejandro Lora Tovar1 Wilson Orlando Paz Delgado2 Juan Carlos Guerrero Ortega3 Robinson Andrés Jiménez Toledo4 Resumen En la actualidad la industria desarrolladora de software en la ciudad de San Juan de Pasto ha experimentado diversos elementos de transformación en cuanto a ciertos aspectos de seguridad. La situación actual permite identificar que los sistemas informáticos son el activo más valioso y al mismo tiempo el más vulnerable. Es por lo anterior que la presente investigación advertirá el estado actual y futuro posible de la construcción de software bajo normativas de seguridad, en las fábricas constructoras de software de la ciudad de San Juan de Pasto. A través de la auditoría informática, se brindará un informe con resultados de la aplicación de controles que contribuirá a la identificación de debilidades en la construcción de software bajo normativas de seguridad. La actual investigación pretende Diagnosticar el uso de normatividad de seguridad en desarrollo de software, en las fábricas constructoras de software de la Ciudad de Pasto, a través de la aplicación de la metodología SAMM. El modelo de madurez para el aseguramiento de software (SAMM por sus siglas en inglés) es un marco de trabajo abierto para ayudar a las organizaciones a formular e implementar una estrategia de seguridad para Software que sea adecuada a las necesidades específicas que está enfrentado la organización. Estudiante de Ingeniería de Sistemas, Universidad Mariana, San Juan de Pasto, Nariño, Colombia. Correo electrónico: chucholora@hotmail. com 2 Estudiante de Ingeniería de Sistemas, Universidad Mariana, San Juan de Pasto, Nariño, Colombia. Correo electrónico: wpaz2010@gmail. com 3 Ingeniero de sistemas; Magíster en Gerencia y Asesoría Financiera, Universidad Mariana, San Juan de Pasto, Nariño, Colombia. Correo electrónico: [email protected] 4 Ingeniero de Sistemas; Magíster en Docencia Universitaria Universidad Mariana Correo electrónico: [email protected] 1

Investigación al Centro 398 La ll Exposición de Trabajos de Investigación UNIMAR

La Investigación al Centro ll Exposición de Trabajos de Investigación UNIMAR

399

Los recursos proveídos por el SAMM ayudarán a evaluar las prácticas de seguridad en Software existentes en la organización En resumen la presente investigación pretende incentivar la creación una cultura de aseguramiento de software ,dentro de las empresas constructoras de software, con la cual las empresas tomen conciencia de la importancia de adoptar un modelo de aseguramiento de software para aplicarlo a sus productos, con el fin de fortalecer la industria de software a nivel regional y nacional, constituyendo la industria de software de Nariño como una futura potencia en construcción de software a nivel nacional Palabras clave: Diagnóstico en seguridad, Seguridad y auditoria informática, Seguridad en construcción de software.

Diagnostic use of safety regulations under construction in plants software in Pasto city Abstract Currently the software development industry in the city of Pasto has experienced various elements of transformation in terms of safety aspects. The current situation can identify that computer systems are the most valuable and at the same time the most vulnerable asset. It is for this that the present investigation warn the current state and future potential of building software under safety regulations in the construction software factories in the city of Pasto. Through computer audit, a report on results of the implementation of controls that help to identify weaknesses in the construction of software under security regulations will be provided. Current research aims to diagnose the use of safety regulations in software development in the construction software factories in the city of Pasto, through the application of the methodology SAMM. The maturity model for software assurance (SAMM for short) is an open framework to help organizations formulate and implement a strategy for software security that is appropriate to the specific needs that the organization is facing. The resources provided by the SAMM help assess existing safety practices in the organization Software. In summary, the present study aims to encourage the creation of a culture of assurance software, in

Investigación al Centro 400 La ll Exposición de Trabajos de Investigación UNIMAR

the construction software companies, with which companies aware of the importance of an assurance model software to apply to their products, with the strengthen the software industry at regional and national level, constituting the software industry as a future power Nariño in software construction nationwide. Key words: Diagnostic security, computer security and auditing, safety construction of software.

Introducción En la actualidad la industria desarrolladora de software en la ciudad de San Juan de Pasto ha experimentado diversos elementos de transformación en cuanto a ciertos aspectos de seguridad. La situación actual permite identificar que los sistemas informáticos son el activo más valioso y al mismo tiempo el más vulnerable. La seguridad informática ha adquirido gran auge debido a las cambiantes condiciones y nuevas plataformas de computación disponible, situación que converge en la aparición de nuevas amenazas en los sistemas informáticos. Generalmente no se invierte ni el capital humano, ni económico necesario para prevenir daños y/o pérdidas de información confidencial en las empresas; a raíz de ello han surgido muchos problemas relacionados con el uso de computadoras puesto que está latente la amenaza que afecta en forma negativa, tanto a colaboradores como a organizaciones en general, dado que el uso y necesidad cada vez mayor de la computadora y la red global de Internet como herramientas fundamentales de una empresa, ha provocado que continuamente se produzcan nuevas estrategias para delinquir, haciendo daño a los sistemas informáticos a fin de acceder a determinada información. Algunas empresas, dedican su rigidez normativa a la auditoria de estados financieros, interesándose en menor medida por la auditoria informática omitiendo un elemento fundamental de la misma que tiene que ver con la validez, fiabilidad y seguridad que dicho proceso les brindará a sus activos informáticos, contribuyendo a su vez a la toma de decisiones para la elaboración de un plan de contingencia ágil y seguro que evite delitos informáticos en su contra, puesto que la información administrada de manera segura en una empresa se consolida como el eje central y fundamental de su éxito a corto, mediano y largo plazo. Es por lo anterior que la presente investigación advertirá el estado actual y futuro posible de la construcción de software bajo normativas de seguridad, en las fábricas constructoras de software de la ciudad de San Juan de Pasto. A través de la auditoría informática, se brindará un informe con resultados de la aplicación de controles que contribuirá a la identificación de debilidades en la construcción de software bajo normativas de seguridad.

La Investigación al Centro ll Exposición de Trabajos de Investigación UNIMAR

401

Metodología Tabla 1. Metodología Paradigma

Enfoque

Tipo

Cuantitativo

Empírico analítico

Descriptiva

Resultados Como resultados finales de la presente investigación se puede concluir a manera general, que las empresas constructoras de software de la ciudad de San Juan de Pasto no han incursionado en lo que a normas de seguridad en construcción de software se refiere, sus procesos de construcción tan solo tienen en cuenta unas mínimas normas de calidad en construcción que de alguna manera se acercan al uso de normas de seguridad pero que no son normas de seguridad como tal, en cuanto al uso de un modelo de seguridad en construcción de software como SAMM, ISO 27000, CLASP, o algún modelo establecido por una entidad reconocida ninguna de las empresas evaluadas práctica, usa o domina un modelo de seguridad, según el informe final de evaluación el 50 % de las empresas practican un modelo de aseguramiento de software no reconocido, es decir un modelo creado empíricamente por las empresas a partir de su experiencia a lo largo de muchos años de trabajar en la industria software, pero que no tiene la suficiente madurez para establecerse como un modelo fuerte en aseguramiento de software, a pesar de la existencia de estos modelos empíricos de aseguramiento tan solo el 7 % de las empresas que lo manejan tienen un plan a futuro para mejorar o adaptar un mejor modelo de aseguramiento para sus empresas. En cuanto a entender el perfil de riesgo de la organización; como clasificar sus productos por categorías, determinar perfiles de atacantes, tener un conocimiento básico en cuanto a conocer su perfil de riesgo el 50 % presento un conocimiento normal promedio acerca de estas prácticas, mientras que el otro 50 % desconoce el uso de estas; al evaluar si se recopilan datos de costos de las actividades de aseguramiento solo el 25 % de las empresas informaron que lo hacían, de las cuales el 0 % es decir ninguna empresa compara su gasto en seguridad con el de otras empresas para tener una referencia de gastos. Cabe destacar que en la evaluación de política y cumplimiento siendo esta una práctica de seguridad perteneciente al aspecto de Gobierno, los resultados de seguridad son alentadores obteniendo una

Investigación al Centro 402 La ll Exposición de Trabajos de Investigación UNIMAR

calificación promedio de 2 en la escala de niveles de madures propuesta por SAMM, la cual especifica que hay un incremento en la eficiencia y/o efectividad de la práctica de seguridad, en otras palabras hacen buen uso de esta práctica, pero no por ser específicamente una práctica de seguridad, sino porque esta práctica evalúa controla el estado de cumplimiento de los proyectos, documentando requerimientos de cumplimiento, auditando los proyectos periódicamente para conocer su estado y revelando a los interesados los avances del proyecto en reuniones formales. Una práctica de seguridad que preocupa por su baja calificación es la de formación y orientación perteneciente al aspecto de gobierno, obteniendo una calificación de 0+, indicando que hay un muy escaso conocimiento o uso esta práctica, solo el 12.5 % de las empresas entrenan a sus desarrolladores en concientización sobre seguridad y lo han corroborado con una evaluación para comprobar dichas habilidades, se destaca que el 62 % de las empresas entrena y orienta a los diferentes roles en el proceso de desarrollo. Al evaluar el segundo aspecto propuesto por SAMM como lo es el aspecto en construcción, se concluye con una preocupante cifra cuyo promedio de evaluación es de 0+, interpretado como un mínimo y muy limitado uso de prácticas de seguridad en construcción, en cuanto a la práctica de evaluación de la amenaza, ninguna empresa (0 %) compara ni clasifica las amenazas con los mecanismos de protección y control , lo cual indica que aun antes de desarrollar el software, ya están dejando brechas abiertas para que se presenten más adelante incidentes de seguridad; en la práctica de seguridad de Requerimientos de seguridad se destaca que el 75 % de las empresas especifican algunos requisitos de seguridad durante el desarrollo, y construyendo software a partir de plataformas y marcos de trabajo controlados como frameworks. De igual manera al avaluar el aspecto de verificación, se obtiene cifras preocupantes con un promedio general de 1 en los niveles de madurez de SAMM, es decir las empresas tienen un entendimiento inicial de las prácticas de seguridad pero son muy limitados, por ejemplo solo el 12 % de las empresas sabe cómo crear un diseño específicamente para los mecanismos de seguridad del software, el 50 % de las empresas documentan el perímetro de seguridad ante ataques de software; en la práctica de revisión de código, solo el 25 % de las empresas usan herramientas automatizadas para hacer análisis de código y encontrar así problemas de seguridad, el 50 % de las empresas revisan constantemente los resultados de las revisiones de código, al evaluar la práctica de pruebas de seguridad, se destaca que el 75 % de las empresas generan los casos de seguridad específicamente para la lógica de la aplicación, aunque solo el 25 % de las empresas siguen un proceso consistente para evaluar y reportar las pruebas de seguridad a los involucrados, esto implica que los involucrados no están conscientes del estado del software antes de su liberación, otra cifra preocupante es que solo el 37 % de las empresas

La Investigación al Centro ll Exposición de Trabajos de Investigación UNIMAR

403

realizan pruebas de intrusión a las aplicaciones antes de liberarlas, lo cual indica que un 63 % de las empresas liberan sus productos con una gran probabilidad de que sean atacados por parte de agentes mal intencionados. Por último peor no menos importante y de igual manera que los aspectos anteriores presentando resultados regulares, se realizó la evaluación al cuarto aspecto propuesto por SAMM como lo es la Implementación. En este aspecto cabe destacar la evaluación de la práctica de Administración de vulnerabilidades, aunque no obtuvo una nota alta en la escala de madurez de SAMM si se destacó a lo largo de todas las empresas evaluadas obteniendo un promedio general de 1+, interpretado como la existencia de un entendimiento promedio, con conocimientos suficientes pero no avanzados de la práctica de seguridad, por ejemplo el 75 % de las empresas tienen un punto de contacto para problemas de seguridad, un equipo asignado para respuestas a incidentes de seguridad, y la mayoría de los incidentes son inspeccionados para encontrar la causa raíz del problema y generar más recomendaciones. Las prácticas de seguridad: Fortalecimiento del ambiente y habilidad operativa presentan una calificación muy baja de 0+, lo que indica que las empresas tienen un conocimiento muy limitado o no usan ninguna de estas prácticas de seguridad, por ejemplo ninguna empresa (0 %) usa la automatización para verificar la salud de aplicaciones y ambientes, lo cual implica un total desconocimiento del uso de su software en los ambientes donde se ha liberado el producto. Como conclusión final del informe se resalta, que aunque las empresas constructoras de software en un 50 %, manejen un cierto modelo empírico de aseguramiento, casi están al mismo nivel de las empresas que no lo presentan, en otras palabras el 100 % de las empresas presenta debilidades y falencias en cuanto procesos de construcción de software seguro se refiere, para lo cual se hace inminente realizar una reforma en todos los aspectos evaluados, haciéndose muy necesario que las empresas decidan adoptar un modelo de aseguramiento para la construcción de sus productos, sea cual sea la denominación, con un buen nivel de madurez que asegure el mejoramiento de los proceso en construcción de software.

Discusión A continuación se procederá a presentar la discusión de la presente investigación la cual propone que las fábricas de software en la ciudad de San Juan de Pasto no están construyendo sus productos de acuerdo a lo dispuesto por la normativa de seguridad en desarrollo de software SAMM, o de hacerlo lo están realizando en niveles muy básicos y poco rigurosos.

Investigación al Centro 404 La ll Exposición de Trabajos de Investigación UNIMAR

Basándose en los resultados obtenidos en esta investigación los cuales son respaldados por la documentación presentada en el capítulo anterior, se ha llegado a la conclusión final de confirmar la hipótesis propuesta, siendo así que ninguna empresa constructora de software de la ciudad de San Juan de Pasto, está utilizando la normativa SAMM en sus procesos de desarrollo de sus empresas, ni aun en los niveles más básicos; según los resultados de las evaluaciones y entrevistas realizadas a las empresas, se determinó que no estaban enterados en su mayoría de la existencia del modelo SAMM, según el informe final de evaluación el 50 % de las empresas practican un modelo de aseguramiento de software no reconocido, es decir un modelo creado empíricamente por las empresas a partir de su experiencia a lo largo de muchos años de trabajar en la industria software, pero que no tiene la suficiente madurez para establecerse como un modelo fuerte en aseguramiento de software, mientras que el otro 50 % no maneja ni usa ningún programa de aseguramiento de software, únicamente hacen uso de normas de seguridad muy mínimas como lo documenta el titulo uno del capítulo de resultados llamado: Uso de normas de seguridad en desarrollo de software en las fábricas de construcción de software en la ciudad de Pasto.

Conclusiones Se dio por cumplido la caracterización hacia las empresas constructoras de software de la ciudad de San Juan de Pasto en julio de 2015, dando como resultado el mínimo o escaso uso de normativas de seguridad en la construcción de software seguro y de alta calidad. Se recomienda ampliar el presente estudio de caracterización a empresas constructoras de software fuera de la región de Pasto o mejor aún fuera del Departamento de Nariño, para tener un enfoque más amplio sobre el uso de normas en construcción de software seguro. Se realizó la respectiva evaluación a las empresas constructoras de software de la ciudad de San Juan de Pasto, con apoyo de las normativas de seguridad SAMM. Evaluar constantemente las empresas constructoras de software en el uso de normas de seguridad en construcción establecidas por metodologías estandarizadas mundialmente. Se concluye realizando un informe detallado sobre el estado actual del uso de normativas en desarrollo de software, de las fábricas constructoras de software de san juan de Pasto. Presentar informes sobre el estado de las empresas en cuanto a construcción de software seguro y de alta calidad.

La Investigación al Centro ll Exposición de Trabajos de Investigación UNIMAR

405

Bibliografía Chamorro, J. (s.f.). Modelo para la evaluación en seguridad informática a productos software, basado en el estándar iso/iec 15408. Fajardo, E. y Torres, M. (2005). Definición de políticas de seguridad informática, para el centro de informática de la universidad de Nariño. Pasto, Nariño. Ingeniería de software. (s.f.). Benet Campderrich Falgueras. Barcelona: Editorial UOC. Owasp. (s.f.). Samm. San francisco, California, USA: Creative Commons. Quintuña barreto luis rodrigo. Control de acceso y aplicaciones de seguridad contra malware en empresas con intranets vulnerables. 1ed. Quito: ecuador. 2011. 20p.

Investigación al Centro 406 La ll Exposición de Trabajos de Investigación UNIMAR

La Investigación al Centro ll Exposición de Trabajos de Investigación UNIMAR

407