Modelo para la evaluación en seguridad informática a productos software, basado en el estándar ISO/IEC 15408 Common Criteria

Autores/as

  • José Alejandro Chamorro López Password Consulting Services, Cali
  • Francisco Pino Grupo de I&D en Ingeniería del Software Universidad del Cauca, Popayán

DOI:

https://doi.org/10.18046/syt.v9i19.1095

Palabras clave:

Modela de evaluación, Common Criteria, cumplimiento, niveles, TOE, ST.

Resumen

Las tecnologías de la información y las comunicaciones (TICs) presentan problemas en seguridad críticos, evidenciados con los múltiples fallos que son explotados por comunidades de crackers como Anonymous y generan grandes pérdidas en los sectores en que son implementadas en el mundo y en Colombia. El estándar ISO/IEC 15408 es uno de los más relevantes a nivel mundial en seguridad informática; a través del cumplimiento de siete niveles de evaluación (EAL1 – EAL7), garantiza seguridad en la operación controlada de una TIC. Desafortunadamente este estándar aun no está aplicado en el desarrollo de software en Colombia. Este artículo presenta un modelo que permite a los desarrolladores evaluar sus productos bajo el estándar ISO/IEC 15408 Common Criteria; en el, un software se conceptualiza en un Target of evaluation (TOE) y se evalúa de acuerdo a un Security Target (ST) oficial de Common Criteria en los dos primeros niveles (EAL1, Probado Funcionalmente, y EAL2, Probado estructuralmente) para identificar falencias en el cumplimiento y formular recomendaciones de mejora en seguridad, y acercarse así a procesos de certificación en Common Criteria.

Biografía del autor/a

  • José Alejandro Chamorro López, Password Consulting Services, Cali

    Máster en Gestión Informática y Telecomunicaciones y Especialista en Redes y Comunicaciones de la Universidad Icesi, Colombia; Auditor ISO27001; Ingeniero en Electrónica y Telecomunicaciones, Universidad del Cauca, Colombia; Consultor en Seguridad de la Información en Password Consulting Services desde hace siete años en servicios de Ethical Hacking Análisis de Riesgos y Análisis Forense Informático, para más de 50 compañías en el sector público y privado.

  • Francisco Pino, Grupo de I&D en Ingeniería del Software Universidad del Cauca, Popayán

    Doctor en Tecnologías Informáticas Avanzadas (Universidad Castilla-La Mancha, España), Especialista en Redes y Servicios Telemáticos e Ingeniero en Electrónica y Telecomunicaciones (Universidad del Cauca, Colombia). Integrante del Grupo de Investigación y Desarrollo en Ingeniería del Software y docente del Departamento de Sistemas de la Facultad de Ingeniería Electrónica y Telecomunicaciones de la Universidad del Cauca. Es miembro de los grupos de ejecución de los proyectos: Mejora de procesos para fomentar la competitividad de la pequeña y mediana industria del software de Iberoamérica, Mejora basada en evidencia de la capacidad en actividades de Software, Evolución de Software Factories mediante ingeniería del software empírica y Reunión de especialistas en verificación y validación de software, y miembro de la red Calidad del Producto y Proceso de Software.

Descargas

Publicado

2011-12-04

Número

Vol. 9 Núm. 19 (2011)

Sección

Investigación científica y tecnológica

Licencia

Esta publicación está licenciada bajo los términos de la licencia CC BY 4.0 (https://creativecommons.org/licenses/by/4.0/deed.es)