Una nueva metodología para el estudio del cumplimiento de políticas de seguridad en sistemas de información

Resumen

La concepción clásica de seguridad de la información incluye amenazas a estas tres características de la información: confidencialidad, Disponibilidad e Integridad. En la actualidad, existe gran cantidad de incidentes de seguridad que atacan a alguna de estas características. Para repertoriar las interacciones permitidas entre sujetos y objetos se emplean las políticas de seguridad. Dicho documento puede ser implementado por las empresas siguiendo técnicas propias, metodologías estandarizadas o incluso en algunos casos, de manera intuitiva. El problema que surge es el de averiguar si la infraestructura del sistema de información es capaz de soportar (en el sentido de hacer cumplir) una determinada política de seguridad. Para dar respuesta a este problema, en el estado del arte se realiza una revisión, por un lado de las técnicas y metodologías para el estudio y evaluación de la seguridad y por otro de las técnicas de securización. Se estudian los puntos fuertes y los débiles de cada una de estas técnicas. Ninguna de éstas da por sí sola respuesta al problema. En esta tesis se realiza un trabajo que tiene por resultado: * Un modelo y metodología que posibilitan el estudio de la capacidad de la infraestructura hardware y software de un sistema de información para soportar una determinada política de seguridad, incluyendo en esta capacidad, tanto la calidad del elemento como la importancia de cada frase de la política de seguridad. * Un mecanismo para permitir la visualización de las relaciones e interacciones (a veces ocultas) de elementos entre sí y con elementos de la política de seguridad, descubriendo qué elementos son más críticos, desde el punto de vista de la seguridad, en la arquitectura de la solución. * Una técnica para evaluar la calidad de los elementos que constituyen un sistema de información (entendiendo ésta como capacidad para mantener las funcionalidades de seguridad) utiliza