Resumen de Srepplline: proceso de ingeniería de requisitos de seguridad para líneas de producto software

Daniel Mellado

• El escenario competitivo actual require que las empresas estén en una búsqueda constante de recursos que les permita generar ventajas competitivas, Dichas ventajas están orientadas a consolidar la posición de mercado y a obtener un desempeño financiero superior. Este contexto hace que en el mundo de las tecnologías de la información y las comunicaciones, para poder alcanzar los niveles deseados de calidad y mejorar la productividad, multitud de Sistemas de Información (SI) se estén desarrollando basándose en el paradigma de ingeniería de Líneas de Producto Software (LPS), ya que las LPS ayudan a reducir significativamente el tiempo de puesta en producción y los costes de desarrollo, mediante el aumento de la reutilización de todo tipo de artefactos y gracias a la combinación del uso de componentes genéricos variables con un enfoque "arriba-abajo" sistemático donde dichos componentes software se agrupan en estructuras de mayor nivel de abstracción.%&/Asímismo, es ampliamente aceptado el principio que establece que la construcción de la seguridad en las etapas tempranas del proceso de desarrollo es más eficaz respecto a los costes y tiene como resultado diseños más robustos. Con lo que en la actual Sociedad de la Información, dependiente de multitud de SI complejos cuya misión es crítica, la gestión temprana de la seguridad en el desarrollo software se ha convertido en un aspecto crucial para el desempeño de las organizaciones y avance de la sociedad. Esta criticidad de la seguridad se acentúa en aquellas organizaciones que han adoptado el paradigma de desarrollo de LPS, debido a que una brecha de seguridad o vulnerabilidad en la LPS puede provocar importantes problemas a largo plazo a todos los productos de la misma, así como por el mismo motivo, la corrección de un error en un requisito de seguridad es mucho más costoso que en los SI tradicionales.%&/Sin embargo, las propuestas existentes de seguridad en LPS estaban más orientadas a la solución en lugar de a la ingeniería de requisitos de seguridad. De forma que dichas propuestas no proporcionaban una gestión de requisitos de seguridad en LPS sistemática e intuitiva que facilitara la trazabilidad y variabilidad de estos requisitos, ni especificaban su gestión en los modelos de ingeniería de LPS ni facilitaban el alineamiento con los estándares de seguridad internacionales principales relativos a la gestión de requisitos de seguridad (como ISO/IEC 27001 o ISO/IEC 15408), a través de los cuales se garantiza unos niveles de seguridad según criterios estandarizados. Para suplir esta carencia, en esta tesis doctoral se propone un proceso de ingeniería de requisitos de seguridad para LPS denominado SREPPLine, cuyo objetivo es facilitar una integración de las actividades relativas a la gestión de requisitos de seguridad en el resto de actividades del desarrollo basado en LPS y proporcionar un soporte metodológico específico para la gestión de requisitos de seguridad y del modelo de variabilidad de seguridad de la línea. Asimismo, ayuda a que las LPS y los sistemas que de ella se deriven sean conformes respecto a la gestión de requisitos de seguridad con los estándares de seguridad internacionales más importantes (como ISO/IEC 15408 o ISO/IEC 27001). Además, se presenta el prototipo de una herramienta CARE (Computer-Aided Requirements Engineering) denominada SREPPLineTool que da soporte automatizado para el desarrollo de las actividades y tareas del proceso SREPPLine. Por último, y con el objeto de validar y mejorar el proceso de desarrollo SREPPLine, se ofrece el resultado de su aplicación en un caso de estudio de un sistema software real