La ingeniería de seguridad es el proceso de incorporar controles de seguridad a un sistema de información, de modo que estos controles se conviertan en parte integral de sus capacidades operativas. Es similar a otras actividades de ingeniería de sistemas, ya que su principal motivación es respaldar la entrega de soluciones de ingeniería que satisfagan los requisitos funcionales y de usuario predefinidos , pero añade la dimensión de prevenir el uso indebido y el comportamiento malicioso. Estas restricciones se suelen establecer como una política de seguridad .
La ingeniería de ciberseguridad y la ingeniería de privacidad se centran en la seguridad de la información , la seguridad informática y la seguridad de redes , incluyendo la protección de datos contra el acceso, uso, divulgación, destrucción, modificación o interrupción no autorizados. La seguridad física implica disuadir a los atacantes de acceder a una instalación, recurso o información almacenada en soportes físicos. La ingeniería de seguridad abarca aspectos de las ciencias sociales , la psicología (como el diseño de un sistema para " fallar bien ", en lugar de intentar eliminar todas las fuentes de error), la economía (véase economía de la seguridad ), las matemáticas y la arquitectura . Algunas de las técnicas utilizadas, como el análisis de árbol de fallos , se derivan de la ingeniería de seguridad .
Historia
Las primeras formas de ingeniería de seguridad incluyen los campos de la cerrajería , la impresión de seguridad y la criptografía . Las preocupaciones por la ingeniería de seguridad moderna y los sistemas informáticos se consolidaron por primera vez en un documento de RAND de 1967, "Seguridad y privacidad en los sistemas informáticos" de Willis H. Ware. [ 1 ] Este documento, ampliado posteriormente en 1979, [ 2 ] proporcionó muchos de los conceptos fundamentales de seguridad de la información, denominados hoy ciberseguridad, que impactan los sistemas informáticos modernos, desde implementaciones en la nube hasta IoT integrado. Uno de los pioneros en establecer la ingeniería de seguridad como un campo de estudio formal es Ross Anderson .
Normas y reglamentos
Diversos países establecen marcos legislativos que definen los requisitos para la protección de datos personales y la seguridad de la información en diferentes sectores. En Estados Unidos , las regulaciones específicas desempeñan un papel fundamental en la protección de la información sensible. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) establece estándares rigurosos para la protección de la información sanitaria, garantizando que las organizaciones de atención médica mantengan la confidencialidad e integridad de los datos de los pacientes. [ 3 ] [ 4 ]
La Ley Sarbanes-Oxley (SOX) establece requisitos de cumplimiento destinados a mejorar la precisión y confiabilidad de los informes financieros y el gobierno corporativo, protegiendo así los datos corporativos. [ 5 ] Además, la Ley Federal de Gestión de la Seguridad de la Información (FISMA) exige estándares de seguridad integrales para las agencias federales y sus contratistas, asegurando un enfoque unificado de la seguridad de la información en todo el sector gubernamental. [ 6 ]
A nivel mundial, numerosas normativas también abordan la protección de datos, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea , que establece un alto estándar de privacidad de datos y otorga a las personas un mayor control sobre su información personal. Estos marcos normativos contribuyen en conjunto a establecer medidas sólidas de ciberseguridad y a promover las mejores prácticas en diversos sectores.
Requisitos
Los profesionales de la ingeniería de ciberseguridad incluyen tanto a personas con formación académica formal en el campo como a quienes han adquirido su experiencia mediante el autoaprendizaje y la experiencia laboral. [ 7 ] Las trayectorias académicas formales incluyen una licenciatura o una maestría en ciencias de la computación , ingeniería informática o un campo relacionado. Un estudio de 2020 reveló que el 60 % de los empleos en ciberseguridad requerían un título universitario en un campo relacionado, el 25 % prefería un título de posgrado y el 30 % requería una certificación. [ 8 ]
Tecnologías y herramientas
Cortafuegos y sistemas IDS/IPS
Los firewalls, ya sean de hardware o software, son componentes de la infraestructura de ciberseguridad y actúan como barreras que controlan el tráfico de red entrante y saliente según reglas de seguridad establecidas. Al impedir el acceso no autorizado, los firewalls ayudan a proteger las redes de posibles amenazas. Complementando esto, los sistemas de detección de intrusiones (IDS) monitorean continuamente el tráfico de red para detectar actividades sospechosas y alertan a los administradores sobre posibles brechas. Los sistemas de prevención de intrusiones (IPS) mejoran estas medidas no solo detectando amenazas, sino también bloqueándolas activamente en tiempo real, creando una postura de seguridad más proactiva. [ 9 ] [ 10 ]
Cifrado
El cifrado es un pilar fundamental de la protección de datos , ya que emplea técnicas criptográficas sofisticadas para asegurar la información confidencial. Este proceso garantiza que los datos sean ilegibles para usuarios no autorizados, protegiendo tanto los datos en reposo, como los archivos almacenados en servidores, como los datos en tránsito, como la información enviada a través de internet. Al implementar protocolos de cifrado, las organizaciones pueden mantener la confidencialidad e integridad, protegiendo los activos críticos de las ciberamenazas y las filtraciones de datos. [ 11 ] [ 12 ]
Gestión de información y eventos de seguridad (SIEM)
Los sistemas SIEM agregan y analizan datos de diversas fuentes en todo el entorno de TI de una organización. Proporcionan una visión general completa de las alertas y eventos de seguridad, lo que permite a los ingenieros de ciberseguridad detectar anomalías y responder rápidamente a los incidentes. Al correlacionar información de diferentes dispositivos y aplicaciones, las herramientas SIEM mejoran el conocimiento de la situación y facilitan el cumplimiento de los requisitos normativos. [ 13 ] [ 14 ]
Herramientas de evaluación de vulnerabilidad
Las herramientas de evaluación de vulnerabilidades son esenciales para identificar y evaluar las debilidades de seguridad en sistemas y aplicaciones. Estas herramientas realizan análisis exhaustivos para detectar vulnerabilidades y las clasifican según su gravedad. Esta priorización permite a los ingenieros de ciberseguridad centrarse en abordar primero las vulnerabilidades más críticas, reduciendo así la exposición al riesgo de la organización y mejorando la eficacia general de la seguridad. [ 15 ]
Detección y respuesta ante amenazas (TDR)
Las soluciones TDR utilizan análisis avanzados para examinar grandes cantidades de datos, identificando patrones que pueden indicar amenazas potenciales. Herramientas como la Gestión de Información y Eventos de Seguridad (SIEM) y el Análisis del Comportamiento de Usuarios y Entidades (UEBA) proporcionan información en tiempo real sobre incidentes de seguridad, lo que permite a las organizaciones responder eficazmente a las amenazas antes de que se agraven. [ 16 ]
Control de tráfico y calidad de servicio (QoS)
Las medidas de control de tráfico en la ingeniería de ciberseguridad están diseñadas para optimizar el flujo de datos dentro de las redes, mitigando riesgos como los ataques de denegación de servicio distribuido (DDoS). Mediante el uso de tecnologías como los firewalls de aplicaciones web (WAF) y los balanceadores de carga , las organizaciones pueden garantizar una distribución de tráfico segura y eficiente. Además, la implementación de protocolos de calidad de servicio (QoS) prioriza las aplicaciones y los servicios críticos, asegurando que mantengan su integridad operativa incluso ante posibles incidentes de seguridad o contención de recursos. [ 17 ] [ 18 ]
Detección y respuesta en el punto final (EDR) y detección y respuesta extendida (XDR)
Las herramientas EDR se centran en la monitorización y el análisis de la actividad en los puntos finales, como ordenadores portátiles y dispositivos móviles, para detectar amenazas en tiempo real. XDR amplía las funcionalidades de EDR mediante la integración de múltiples productos de seguridad, como herramientas de análisis de red, lo que proporciona una visión más completa de la postura de seguridad de una organización. Esta visión integral facilita la detección temprana y la mitigación de amenazas en diversos puntos de la red.
Aplicaciones web
Según la Red de Desarrolladores de Microsoft, los patrones y prácticas de ingeniería de seguridad consisten en las siguientes actividades: [ 19 ]
- Objetivos de seguridad
- Directrices de diseño de seguridad
- Modelado de seguridad
- Revisión de la arquitectura y el diseño de seguridad
- Revisión del código de seguridad
- Pruebas de seguridad
- Ajuste de seguridad
- Revisión de la implementación de seguridad
Estas actividades están diseñadas para ayudar a cumplir los objetivos de seguridad en el ciclo de vida del software .
Físico

- Comprensión de una amenaza típica y de los riesgos habituales para las personas y los bienes.
- Comprender los incentivos generados tanto por la amenaza como por las contramedidas.
- Comprender la metodología de análisis de riesgos y amenazas, así como los beneficios de un estudio empírico de la seguridad física de una instalación.
- Comprender cómo aplicar la metodología a edificios, infraestructuras críticas, puertos, transporte público y otras instalaciones/recintos.
- Descripción general de los métodos físicos y tecnológicos comunes de protección y comprensión de su papel en la disuasión , la detección y la mitigación.
- Determinar y priorizar las necesidades de seguridad y alinearlas con las amenazas percibidas y el presupuesto disponible.
Producto
La ingeniería de seguridad de productos es la ingeniería de seguridad aplicada específicamente a los productos que una organización crea, distribuye y/o vende. La ingeniería de seguridad de productos se distingue de la seguridad corporativa/empresarial, [ 20 ] que se centra en proteger las redes y los sistemas corporativos que una organización utiliza para realizar negocios.
La seguridad del producto incluye la ingeniería de seguridad aplicada a:
- Dispositivos de hardware como teléfonos móviles, ordenadores, dispositivos de Internet de las cosas y cámaras.
- Software como sistemas operativos, aplicaciones y firmware.
Estos ingenieros de seguridad suelen trabajar en equipos independientes de los equipos de seguridad corporativa y colaboran estrechamente con los equipos de ingeniería de producto.
Véase también
Referencias
- ↑ Ware, Willis H. (enero de 1967). "Seguridad y privacidad en los sistemas informáticos" .
- ↑ Ware, Willis H. (enero de 1979). "Controles de seguridad para sistemas informáticos: Informe del Grupo de Trabajo de la Junta de Ciencias de la Defensa sobre Seguridad Informática" .
- ↑ "Privacidad de la información sanitaria" . Departamento de Salud y Servicios Humanos de EE . UU. Consultado el 14 de octubre de 2024 .
- ↑ Marron, Jeffrey A (14 de febrero de 2024). Implementación de la norma de seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) : una guía de recursos de ciberseguridad (PDF) (Informe). Gaithersburg, MD: Instituto Nacional de Estándares y Tecnología (EE. UU.). doi : 10.6028/nist.sp.800-66r2 .
- ↑ STULTS, Gregg (25 de julio de 2004). "Una visión general de la Ley Sarbanes-Oxley para el profesional de la seguridad de la información" . Instituto SANS .
- ↑ "Ley Federal de Modernización de la Seguridad de la Información" . CISA . Consultado el 14 de octubre de 2024 .
- ↑ Adams, Ed (12 de enero de 2024). «Capítulo 1: Introducción y motivación». Véase a sí mismo en el ciberespacio: Carreras en seguridad más allá del hacking . John Wiley & Sons. ISBN 978-1-394-22560-6.
- ↑ Marquardson, Jim; Elnoshokaty, Ahmed (febrero de 2020). "Habilidades, certificaciones o títulos: lo que las empresas exigen para los puestos de trabajo de nivel inicial en ciberseguridad" . Information Systems Education Journal . 18 (1): 22– 28.
- ↑ "¿Qué es un firewall?" . Cisco . Consultado el 14 de octubre de 2024 .
- ↑ "¿Qué son IDS e IPS?" . Juniper Networks . Consultado el 14 de octubre de 2024 .
- ↑ "Diferencia entre cifrado y criptografía" . GeeksforGeeks . 5 de febrero de 2021. Consultado el 14 de octubre de 2024 .
- ↑ "Principios de encriptación" . Aprendizaje abierto . Consultado el 14 de octubre de 2024 .
- ↑ "¿Qué es SIEM?" . Microsoft . Consultado el 14 de octubre de 2024 .
- ↑ "¿Qué es SIEM? Guía de gestión de información y eventos de seguridad - Glosario de TI" . SolarWinds . Consultado el 14 de octubre de 2024 .
- ↑ "¿Qué es la evaluación de vulnerabilidades? Beneficios, herramientas y proceso" . HackerOne . Consultado el 14 de octubre de 2024 .
- ↑ "¿Qué es la detección y respuesta a amenazas (TDR)?" . Aqua . Consultado el 14 de octubre de 2024 .
- ↑ "¿Qué es el análisis de tráfico de red (NTA)?" . Rapid7 . Consultado el 14 de octubre de 2024 .
- ↑ "Calidad de servicio (QoS) - Glosario" . CSRC NIST . Consultado el 14 de octubre de 2024 .
- ↑ "Patrones y prácticas de ingeniería de seguridad" .
- ↑ Watson, Philip (20 de mayo de 2013). "Seguridad corporativa frente a seguridad de productos" . Sala de lectura de seguridad de la información del Instituto SANS . Instituto SANS . Consultado el 13 de octubre de 2020 .
Lecturas adicionales
- Ross Anderson (2001). Ingeniería de seguridad . Wiley. ISBN 0-471-38922-6.
- Ross Anderson (2008). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables . Wiley. ISBN 978-0-470-06852-6.
- Ross Anderson (2001). "Por qué la seguridad de la información es difícil: una perspectiva económica" (PDF) . Actas de la Conferencia Anual de Aplicaciones de Seguridad Informática . doi : 10.1109/ACSAC.2001.991552 . Archivado del original el 11 de octubre de 2006.
- Bruce Schneier (1995). Criptografía aplicada (2.ª ed.). Wiley. ISBN 0-471-11709-9.
- Bruce Schneier (2000). Secretos y mentiras: Seguridad digital en un mundo interconectado . Wiley. ISBN 0-471-25311-1.
- David A. Wheeler (2003). "Programación segura para Linux y Unix HOWTO" . Proyecto de documentación de Linux . Archivado del original el 28 de abril de 2007. Recuperado el 19 de diciembre de 2005 .
- Ron Ross, Michael McEvilley, Janet Carrier Oren (2016). "Ingeniería de seguridad de sistemas" (PDF) . Internet de las cosas . Recuperado el 22 de noviembre de 2016 .
{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
Artículos y documentos
- Patrones y prácticas de ingeniería de seguridad en Channel9
- Patrones y prácticas de ingeniería de seguridad en MSDN
- Patrones y prácticas de la ingeniería de seguridad explicadas
- Refuerzo básico de objetivos del Gobierno de Australia Meridional
- Ingeniería de seguridad