Resumen de Marco de trabajo de representación y reuso de requisitos de seguridad = A framework for representation and reuse of security requirements

Joaquín Lasheras Velasco

• En esta tesis se presenta un marco de trabajo de representación y reuso de requisitos de seguridad que integra un conjunto de técnicas con el objetivo de mejorar la calidad del software desde las primeras fases del desarrollo con énfasis en la seguridad. Para ello integramos la Ingeniería del Software y la seguridad considerando a esta última como parte del proceso de desarrollo, en concreto ya desde la fase inicial con el uso de Ingeniería de Requisitos (IR), permitiendo conseguir sistemas software seguros. Esta propuesta se construyó incrementalmente en dos fases: (1) en primer lugar se realizó una especialización en Ingeniería de Requisitos donde se ha trabajado en la definición de un método de IR basado en reutilización de requisitos, denominado SIREN (SImple REuse of RequiremeNts), en el que se han desarrollado y usado catálogos de requisitos en el ámbito de la privacidad, análisis de riesgos y sistemas teleoperados. Además se ha obtenido una herramienta de soporte automatizado para dicho método, que diera soporte a su vez a los aspectos clave, identificados por el doctorando, para realizar un proceso efectivo de reuso de requisitos. (2) Y ya finalmente, y basándose en la experiencia previa en IR, y el estudio del estado del arte, se decidió adoptar un aspecto formal en SIREN, haciendo uso de las ontologías, para dar soporte al marco de trabajo y representación y reuso de requisitos de seguridad basado en análisis de riesgos. En esta última fase ha sido clave considerar los beneficios de la reutilización dentro de la IR, y la identificación de riesgos y amenazas para el sistema, identificado como una de las fuentes principales de obtención de requisitos de seguridad por los estándares. Además para el aspecto formal hemos considerado el uso de ontologías, conociendo que su aplicación a la seguridad de los sistemas de información proporciona mejores mecanismos y conocimientos de las organizaciones para la predicción de problemas de seguridad. Esto nos ha llevado a obtener como uno de los principales resultados de la tesis una ontología de requisitos de seguridad reutilizables basada en análisis de riesgos. Además, de este trabajo realizado y conociendo que para la comunidad científica es muy importante tener definidos formalmente los conceptos y relaciones que ellos comparten, concluimos la necesidad y el reto de conseguir una ontología de seguridad general e integrada. Para ello en esta tesis presentamos los requisitos clave y primeros pasos para obtenerla, en base a una comparación formal realizada con las propuestas más maduras en el campo de las ontologías de seguridad. Esta ontología general proporcionaría una base bien conocida en la que soportar el desarrollo de métodos, procesos y metodologías apropiadas y nos ayudaría a organizar nuestros conocimientos y a transmitirlos, a reportar incidentes de forma efectiva y a compartir datos e información a través de las organizaciones, como soporte para capturar los elementos participantes y su semántica asociada (las relaciones existentes entre ellos como trazabilidad, restricciones ¿). PALABRAS CLAVE PARA TESEO: 120317 INFORMÁTICA, 120311 SOFTWARE, 720303 METAFÍSICA Y ONTOLOGÍA