Ingeniería de Sistemas Docente: Ing. Remigio Hurtado., PhD.

PROYECTOS DE SOFTWARE

FORMATO DE GUÍA DE PRÁCTICA DE LABORATORIO / TALLERES /

CENTROS DE SIMULACIÓN – PARA DOCENTES

CARRERA: INGENIERÍA DE SISTEMAS ASIGNATURA: CONTROL DE CALIDAD

TÍTULO PRÁCTICA: SEGURIDAD-CONFIDENCIALIDAD (METRICAS,
NRO. PRÁCTICA: 2
HERRAMIENTAS Y ESTANDARES) A NIVEL DE SOFTWARE

OBJETIVO
• Elaborar los documentos de inicio de forma adecuada

1. Revisar el contenido teórico del tema con el docente en las respectivas

sesiones de clase.
INSTRUCCIONES: 2. Profundizar los conocimientos a través de la guía presentada en la plataforma
AVAC.
3. Subir al AVAC las evidencias

ACTIVIDADES POR DESARROLLAR

1. Seguridad – Confidencialidad - Introducción
2. Seguridad – Confidencialidad - Estándares
3. Seguridad – Confidencialidad - Herramientas
4. Seguridad – Confidencialidad – Métricas
• Categorías de las métricas
• Métricas de seguridad
• Especificación de métricas

RESULTADO(S) OBTENIDO(S):
Dominio de la elaboración de los documentos de inicio de forma adecuada

1) Seguridad – Confidencialidad - Introducción:

Capacidad de protección contra el acceso de datos e información no autorizados, ya sea
accidental o deliberadamente.
La seguridad de la información aplica barreras y procedimientos que resguardan el acceso
a los datos y sólo permite acceder a las personas autorizadas para realizarlo. La seguridad
de la información se utiliza para proteger los datos que tiene, maneja y dispone una
determinada organización. Las nuevas tecnologías han modificado la forma de utilizar la
seguridad de la información a gran velocidad.
Existen diferentes definiciones del término seguridad de la información. De ellas
nos quedamos con la definición ofrecida por el estándar para la seguridad de la
información según la norma ISO 27001 por la Organización Internacional de
Estandarización, bien entonces ahora existen tres principios, pero nos centraremos en uno
solo, en este caso sería el de confidencialidad, entonces que nos quiere decir confidencial
a nivel de software pues requiere que la información sea accesible de forma única a las
personas que se encuentran autorizadas.
Es necesario acceder a la información mediante autorización y control. La confidencialidad
hace referencia a la necesidad de ocultar o mantener secreto sobre determinada
Resolución CS N° 076-04-2016-04-20
 información o recursos. Es necesario determinar las empresas que a menudo desarrollan
diseños que deben proteger a sus competidores.
El objetivo de la confidencialidad es, prevenir la divulgación no autorizada de la
información sobre nuestra organización.

2) Seguridad – Confidencialidad - Estándares:

Los estándares podría ser un documento que sea aprobado por el consenso por un
organismo reconocido, que proporciona reglas, pautas y/o características para uso común,
con el objetivo de obtener un óptimo nivel de resultados en un contexto dado.
Los estándares brindan los medios para que todos los procesos se realicen siempre de la
misma forma, mientras surjan ideas para mejorarlos.
Una norma es toda actividad documentada que guía el comportamiento de un grupo de
personas, es decir, qué hay que proteger y cómo; mientras que como modelo de seguridad
se entiende la expresión formal de una política de seguridad y se utiliza como directriz para
evaluar los sistemas de información, entendiendo como formal el que estará redactado
fundamentalmente en términos técnicos y matemáticos.
Dentro de las normas de seguridad informática internacionales aplicadas a productos
software se destaca la DO-178B de la RTCA para el área de la aeronáutica, para sistemas
electrónicos en general la norma base es la IEC-61608-3 en Europa.
En cuanto a estándares y en temas de espacio, la NASA usa la norma propia NASA 8739.8
mientras que otras agencias espaciales, incluida la ESA, usan la norma ECSS-ST-40C de
la ECSS para sus sistemas críticos.
Dentro de los modelos destaca el BMIS (Business Model for Information Security),
orientado al negocio para la administración de la seguridad de la información, es decir, que
complementa los productos y las tecnologías para el manejo de la seguridad informática
pero no se enfoca en el desarrollo y evaluación de estos.
Reconocido también como uno de los enfoques más ampliamente aceptado en el mundo
para la gestión de los servicios de tecnología de la información, ITIL (Information
Technology Infrastructure Library) en su versión 3, describe el tratamiento de los servicios
relacionados con la gestión de la seguridad de la información donde considera los
principios de confidencialidad, integridad y disponibilidad, proponiendo la evaluación de
estos pero sin establecer el cómo para el caso específico de sistemas o productos
software.
De forma positiva propone métricas para la gestión de la seguridad (ejemplo: Cantidad de
medidas preventivas implementadas, Cantidad de incidentes graves de la seguridad) pero
enfocados en la evaluación del proceso de gestión de las tecnologías de la información.
COBIT (Control Objectives for Information and Related Technology)
constituye también un marco de gobierno para la gestión de las tecnologías de información
que tiene en cuenta la seguridad de los datos, sin embargo, en su versión 5 toma como
base también el modelo BMIS ya expuesto anteriormente.
Por su parte, la ISO (International Organization for Standardization) y la IEC (International
Electrotechnical Commission), han desarrollado un conjunto de estándares que
proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier
tipo de organización, destacando la ISO 9126 para la evaluación de la calidad del software.
 Ingeniería de Sistemas Docente: Ing. Remigio Hurtado., PhD.

PROYECTOS DE SOFTWARE

Esta fue actualizada por el proyecto SQuaRE (Software Product Quality Requeriments and
Evaluation), ISO 25000:2005, el cual sigue los mismos conceptos.
El objetivo general de la creación del estándar ISO/IEC 25000 SQuaRE es organizar,
enriquecer y unificar las series que cubren dos procesos principales: especificación de
requerimientos de calidad del software y evaluación de la calidad del software, soportada
por el proceso de medición de calidad-.
Los estándares, normas y modelos mencionados son solo algunos de los existentes y,
pese a la diversidad, la mayoría comparte una estructura común forzando un ciclo de
desarrollo y definiendo la documentación requerida, así como una serie de técnicas y
buenas prácticas a seguir en cada una de las fases del desarrollo de un producto software,
es común también su aplicación en un área específica de negocio.

3) Seguridad – Confidencialidad - Herramientas:

Al momento que hablamos de seguridad de software como confidencialidad, existen

diferentes herramientas para alcanzar este propósito ya que al momento que tengamos
nuestra empresa de forma global o muy reconocida siempre existirán programas
maliciosos o se buscara la forma de dañar tal código y burlar la confidencialidad de
nuestros usuarios, entonces he aquí es donde se garantizar la seguridad de la información
ya que es de suma importancia así como también respetar la propiedad privada, entonces
con esta normativa, las empresas o instituciones están en la obligación de resguardar -bajo
cualquier circunstancia- los datos personales de sus clientes, y solo podrán utilizarlos para los fines
que hayan sido recolectados.
¿Cómo resguardar los datos personales?
El concepto de seguridad de la información hace referencia al conjunto de medidas necesarias
para controlar datos privados dentro de una empresa e impedir que salgan de su red.
La idea es resguardar la confidencialidad de la información de la misma forma que se protege la
propiedad privada, recurriendo al uso de herramientas de seguridad informática que ayudan a
prevenir ataques o intrusiones donde se puede producir fuga de información.
Entre las principales herramientas destacan:
• Metasploit: herramienta de código abierto que proporciona información acerca de
vulnerabilidades. También ayuda en el proceso de detección de intrusos. Según sus creadores,
Metasploit se consolida actualmente como el entorno de pruebas más utilizado en el mundo,
permitiendo a sus usuarios estar un paso por delante de los atacantes.
• Nikto: este software facilita el escaneo de servidores web para ubicar posibles
vulnerabilidades. Aunque se ha venido desarrollando desde hace varios años, siempre está en
constante evolución. Al estar disponible en código abierto, puede modificarse y optimizarse de
acuerdo a necesidades específicas.
• John the Ripper: este programa puede descifrar contraseñas, de modo que su finalidad es
comprobar el nivel de seguridad de éstas poniéndolas a prueba.
• Nessus: potente escáner que analiza a profundidad los sistemas informáticos para
protegerlos de ataques o infecciones. Permite identificar vulnerabilidades y configuraciones que
infringen las políticas de seguridad, así como malware usados para penetrar cualquier red.

Resolución CS N° 076-04-2016-04-20
 La seguridad de la información en cualquier empresa depende, en gran medida, de los propios
esfuerzos de ésta. Por ello, adoptar buenas prácticas en torno al manejo de datos además de
utilizar herramientas como las antes mencionadas permitirá a las compañías disminuir los riesgos
y proteger la información de sus clientes.

4) Seguridad – Confidencialidad - Métricas:

Principalmente daremos un concepto sobre las métricas a base de software o nivel de software,
entonces en la actualidad las métricas se están poniendo en práctica con éxito en el amplio
mercado del software, pues las empresas productoras están reconociendo la importancia que
tienen las mediciones para cuantificar y por consiguiente gestionar de forma más efectiva la calidad
de los productos de software.
El Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) en su Glosario Estándar de Terminología
de Ingeniería de Software define una métrica como: “una medida cuantitativa del grado en que un
sistema, componente o proceso posee un atributo dado”. Las métricas de software proveen la
información necesaria para la toma de decisiones técnicas.
Para que sea útil en el contexto del mundo real, una métrica debe ser fácil de obtener, que se
entienda por qué y para qué se utiliza, que los cálculos no produzcan resultados ambiguos, y que
la interpretación de valores obtenidos esté acorde a las nociones intuitivas del ingeniero de
software.
Las características que debe tener una métrica son:
• Simple y fácil de calcular: Debería ser relativamente fácil de aprender a obtener la métrica y su
cálculo no obligar a un esfuerzo o a una cantidad de tiempo inusuales.
• Empírica e intuitivamente persuasiva: La métrica debería satisfacer las nociones intuitivas del
ingeniero de software sobre el atributo del producto en cuestión (por ejemplo: una métrica que
mide la cohesión de un módulo debería aumentar su valor a medida que crece el nivel de
cohesión).
• Consistente en el empleo de unidades y tamaños: El cálculo matemático de la métrica debería
utilizar medidas que no lleven a extrañas combinaciones de unidades. Por ejemplo,
multiplicando el número de personas de un equipo por las variables del lenguaje de
programación en el programa resulta una sospechosa mezcla de unidades que no son
intuitivamente concluyentes.
• Independiente del lenguaje de programación: Las métricas deberían apoyarse en el modelo de
análisis, modelo de diseño o en la propia estructura del programa. No deberían depender de
los caprichos de la sintaxis o semántica del lenguaje de programación.
• Un eficaz mecanismo para la realimentación de calidad: La métrica debería suministrar al
desarrollador de software información que le lleve a un producto final de superior calidad.
• Consistentes y objetivas: La métrica debería siempre producir resultados sin ambigüedad. Un
tercer equipo debería ser capaz de obtener el mismo valor de métrica usando la misma
información del software.

Categorías de las métricas:

Roger Pressman (autor de: Ingenieria del Software. Un Enfoque Práctico) clasifica el campo de las
métricas en 6 categorías o grupos de métricas distintos: Métricas técnicas, Métricas de calidad,
Métricas de productividad, Métricas orientadas al tamaño, Métricas orientadas a la función,
Métricas orientadas a la persona. El presente trabajo está enfocado en las métricas de seguridad,
 Ingeniería de Sistemas Docente: Ing. Remigio Hurtado., PhD.

PROYECTOS DE SOFTWARE

las cuales entran en la categoría de las métricas técnicas. Estas miden la estructura del sistema y
están centradas en las características del software más que en su proceso de desarrollo.

Métricas de seguridad:
Las métricas de seguridad son herramientas diseñadas para facilitar la toma de decisiones y
mejorar resultados mediante la recogida, análisis y elaboración de información sobre datos
relevantes relacionados con los procesos de seguridad y sus resultados. Una métrica de seguridad
podría definirse como el conjunto de preceptos y reglas, necesarios para poder medir de forma real
el nivel de seguridad de una organización.

Las métricas de seguridad permiten conocer el estado de la seguridad de una forma clara y concisa
huyendo de “falsas expectativas”. Anticiparse a las necesidades, de forma que puedan preverse
las inversiones necesarias para garantizar, al menos, el cumplimiento de los objetivos de seguridad
de la entidad.

Disponer de herramientas que permitan a los responsables de seguridad realizar informes

detallados del estado de sus sistemas y detectar las variaciones que puedan producirse en la
seguridad. En general, el uso de las métricas se está poniendo en práctica con éxito en el amplio
mercado del software pues las empresas productoras están reconociendo la importancia que tienen
las mediciones para cuantificar y por consiguiente gestionar de forma más efectiva la seguridad del
software.

Especificación de métricas:
La selección y especificación de las métricas de seguridad se ha efectuado con el objetivo de
realizar una evaluación lo más completa posible, pues la seguridad en los sistemas de software
nunca es completa, siempre está expuesta a nuevos ataques informáticos aún más potentes.

No obstante, las métricas de seguridad seleccionadas tienen presente las principales

características relativas a la protección de los sistemas de información ante ataques provocados,
lo que permite evaluar el nivel de cumplimiento deseado de los requisitos de seguridad que se
hayan especificado en las etapas de análisis del software, estas características son:

• Autenticación: Es el proceso de validación de la identidad de un usuario para permitir o

denegar una solicitud. Habitualmente, consiste en aceptar el nombre de usuario y su
contraseña y validar posteriormente estos datos en una base de datos de seguridad.

• Identidad: Es relativo al grado en que se identifican a los sujetos antes de interactuar con
ellos.

• Detección de ataques: Es el grado en que los intentos de ataque o los ataques realizados
con éxito son detectados, almacenados y notificados.

• Integridad: Es el grado en que se protege a los componentes de los sistemas de información

de alteraciones intencionadas por parte de sujetos no autorizados.

• Confidencialidad: Es el grado en el que se asegura que la información es solamente

accesible a sujetos autorizados.
Resolución CS N° 076-04-2016-04-20
CONCLUSIONES:
• La seguridad informática establece dentro de sus principales elementos la confidencialidad,
autenticidad y disponibilidad de la información. La evaluación de la seguridad de productos software
se basa entonces en determinar el nivel de cumplimiento de estos elementos. Para lograr una correcta
y eficiente evaluación del software en el presente trabajo se tienen en cuenta normas, estándares y
modelos de seguridad. La mayoría de estos propone acciones a desarrollar durante la creación del
sistema informático y es común su aplicación en un área de negocio específica. Teniendo en cuenta
lo anterior se seleccionaron las métricas propuestas por estándares de la ISO/IEC para realizar dicha
evaluación, especificando las variables que las componen para facilitar su aplicación. La propuesta
final permite establecer el nivel de seguridad de productos software.
REFERENCIA:
• Holbrook, P. and Reynolds, J., “Site Security Handbook”, LA, Network Working Group, 1991.

• Malagón Poyato, Ch., Monserrat Coll, F. and Martínez Moreno, D., RedIris, 2000. [En línea].
[Accesado el 2 Septiembre 2013]. Disponible en:
http://www.rediris.es/cert/doc/docu_rediris/recomendaciones/html/recomendaciones.html.

• ISACA, COBIT 5: A Business Framework for the Governance and Management of Enterprise
IT, 2013. [En línea]. [Accesado el 3 Mayo 2013]. Disponible en: www.isaca.org/cobit

• ISO, “ISO/IEC FDIS 25010:2010(E)”, 2012.

• ISO, “ISO/IEC TR 9126-3”, 2005.

BIBLIOGRAFIA:
• http://oa.upm.es/34772/1/PFC_DAVID_HERRANZ_FERNANDEZ.pdf
• https://www.febos.cl/2018/06/18/herramientas-para-garantizar-la-seguridad-y-
confidencialidad-de-la-informacion/
• https://iso25000.com/index.php/normas-iso-25000/iso-25010?limit=3&start=6
• Norma Internacional ISO 9001 (2008). “Sistemas de gestión de la calidad - Requisitos”.
Secretaría Central de ISO. Ginebra, Suiza.
• Norma Internacional ISO 9004 (2000) “Sistemas de gestión de la calidadDirectrices para la
mejora del desempeño”. Secretaría Central de ISO. Ginebra, Suiza

Docente / Técnico Docente: Ing. Remigio Hurtado.

Firma: ___________________________