jueves, 26 de septiembre de 2013

Seguridad en CMMI

Seguridad CMMI
El tema de seguridad es crítico en el desarrollo de los productos actuales. El incremento en ataques de diferentes formas que ponen en riesgo las instalaciones y la información que manejan las organizaciones ha incrementado los requisitos y estándares de seguridad por los clientes, la industria y gobiernos.

El CMMI Institute publicó una nota técnica "Security by Design with CMMI for Development v1.3"  que constituye una guía de aplicación para la mejora de procesos de productos seguros. El documento estructura una serie de prácticas agrupadas en cuatro áreas de proceso que cubren elementos de ingeniería, gestión de proyectos y gestión de procesos, que se integran con las áreas de proceso existentes en CMMI DEV. Como resultado las actividades, funciones, métodos y herramientas que se utilizan en el desarrollo del producto ayudan a proporcionar la seguridad que necesita el cliente. 

Areas de proceso para seguridad del producto

Las áreas de proceso que se presentan en la guía se integran sobre las áreas de proceso existentes. Dos se integran en las actividades de ingeniería del producto, una en la gestión de la seguridad en el proyecto y la última para temas de seguridad en la organización.
  • Security Requirements and Technical Solution (SRTS) tiene como propósito establecer los requisitos de seguridad y un diseño seguro para garantizar la implementación de un producto seguro. (Relacionada con RD y TS)
  • Security Verification and Validation (SVVtiene el propósito de asegurar que los productos de trabajo seleccionados cumplen con los requisitos de seguridad especificados y demostrar que el producto o componente del producto cumple con las expectativas de seguridad cuando se coloca en su entorno operativo previsto. (Relacionada con VER y VAL)
  • Security Management in Projects (SMP) tiene como propósito establecer, identificar, planificar y gestionar las actividades relacionadas con la seguridad en todo el ciclo de vida del proyecto y gestionar los riesgos de seguridad de los productos. (Relacionada con PP, SAM e IPM)
  • Organizational Preparedness for Secure Development (OPSD) tiene como propósito establecer y mantener las capacidades para desarrollar productos seguros y reaccionar a vulnerabilidades que sean reportadas.(Relacionada con OPD y OT)
Las áreas de proceso se presentan en la misma estructura de los modelos CMMI. Establece metas y prácticas, adicional a todos los elementos informativos existentes como: notas, subprácticas, ejemplos, productos de trabajo y referencias. Básicamente la guía contiene las metas y prácticas específicas propias para la parte de seguridad y complementa las metas y prácticas genéricas con notas y ejemplos específicos para aplicación en cada área de proceso. 

Las prácticas en las áreas de proceso pueden utilizarse de manera independiente o en conjunción con las áreas de proceso de CMMI DEV. El mayor beneficio se obtiene al aplicarse con procesos documentados y maduros en la organización.