SlideShare una empresa de Scribd logo

Requerimientos de seguridad en las primeras fases del desarrollo de software

Javier Antunez / CISSP / LA27001 / IA9001
Javier Antunez / CISSP / LA27001 / IA9001

Presentación brindada en el contexto del OWASP Latam Tour 2014 - Argentina Presentación introductoria sobre el impacto de la inclusión tardia de los requerimientos en general y de seguridad en particular. Inclusión oportuna en las etapas tempranas de los proyectos de desarrollo de software. Técnicas de elicitación de requerimientos de seguridad: Security use cases Mis-use cases Abuse cases Obligation use cases Threat trees STRIDE / DREAD Anti-Goals Secure tropos SQUARE SQUARE-Lite SREP CLASP

Tecnología
1 de 30
Descargar para leer sin conexión
Poniendo el caballo delante del carro – Requerimientos de seguridad OWASP LATAM Tour 2014 Argentina 9 de Mayo 2014
Agenda • Intro • Ciclo de vida genérico y defectos • Requerimientos • Técnicas de obtención de requerimientos • Técnicas de obtención de requerimientos de seguridad • Metodologías relacionadas • 10 ideas finales • Conclusiones
Intro: Proyecto típico…
Ciclo de vida genérico y defectos Análisis Diseño ConstrucciónPruebas Operación y Mantenimiento Donde se originan aprox. el 64% de los defectos (IBM Systems Sciences Institute)
Esfuerzo corrección vs Fase Esfuerzo de corrección de acuerdo a la fase donde es detectado el defecto 0 10 20 30 40 50 60 70 80 90 100 Analisis Diseño Desarrollo Pruebas Mantenimiento y operación 1 3 5 15 30 1 3 6,5 15 100 NIST IBM Science Institute
Requerimientos Requerimientos funcionales (FR) Requerimientos NO funcionales (NFR) Requerimiento Especificación de requerimientos Documento de especificación de requerimientos (SRS) Necesario Conciso Consistente No ambiguo Completo Verificable Función que el sistema o componente debe ser capaz de realizar Restricciones. Normalmente no son expresados por el usuario y se dan por sobre entendidos Una condición o necesidad de un usuario para resolver un problema o alcanzar un objetivo Declaración oficial de que deben implementar los desarrolladores del sistema Proveedor Desarrollador Cliente Usuario
Técnicas de obtención-generales Técnica / Característica principal Método de elicitación Metodología/ Proceso particular Entrevistas Reuniones con partes interesadas N/A Cuestionarios Respuesta de partes interesadas N/A Análisis de actividades Observación N/A Análisis del dominio Conocimiento del dominio del sistema Feature-Oriented Domain Analysis (FODA) Brainstorming Presentación de ideas N/A JAD Desarrollo en conjunto JAD ARM Reunión con partes interesadas facilitada ARM Etnografía Observación o participación en el proceso analizado Observación Análisis de protocolo Aprendiz Prototipado Presentación de prototipos RAD XP Elicitación por metas Obtención de incremental de metas Proyecto F3 Metamodelo KAOS Framework i* Tropos
Técnicas de obtención-seguridad Técnica Técnica base Modela o expresa Casos de mal uso Casos de uso UML Situaciones que el sistema no debe permitir Casos de abuso Casos de uso UML Situaciones perjudiciales para el sistema Casos de uso de seguridad Casos de uso UML Funcionalidad de seguridad requerida Casos de uso de obligación Casos de uso UML Obligaciones de la organización a considerar en el sistema Arboles de ataque Especificación de metas Eventos que pueden dañar a la organización Anti-metas Especificación de metas Situaciones que pueden prevenir alcanzar las metas Twin peak + common criteria Catalogo de requerimientos Amenazas al sistema y posibles soluciones Secure tropos Tropos Restricciones de seguridad, dependencias de seguridad y ataques posibles
Metodologías • SQUARE (Security Quality Requirements Engineering) – 9 pasos • SQUARE-Lite (Security Quality Requirements Engineering Lite) – 4 pasos (subset de SQUARE) • SREP (Security Requirements Engineering Process) – 9 pasos (algunos puntos de contacto/pasos comunes con SQUARE) • CLASP (CLASP- Comprehensive, Lightweight Application Security Process) – 5 vistas, 7 mejores prácticas (1 de ellas para requerimientos), 24 actividades, 104 vulnerabilidades en 5 categorias • STRIDE/DREAD (Spoofing, Tampering, Repudiation, Disclosure, DoS, Elevation of privilege / Damage, Reproducibility, Exploitability, Affected users, Discoverability ) – Se pueden derivar requerimientos basados en 6 amenazas de alto nivel – Se puede priorizar usando DREAD Modeladode amenazas Orientado alSDLC Orientadasarequerimientos
Si no nos queda tiempo… GOTO…10 ideas finales
Si nos queda tiempo… Anexo I Ejemplos de técnicas de elicitación de requerimientos
Casos de abuso
Casos de mal uso
Caso de uso de seguridad
Caso de uso de obligación
Arboles de ataque
Twin Peak + CC
Secure Tropos
10 ideas finales 1. Elegir una metodología 2. Elegir técnicas para elicitar 3. Definir conceptos que puedan no ser comunes para los desarrolladores – Usar fuentes serias (IEEE, ISO, NIST,etc.) – Crear un catálogo (glosario) 4. Dar intervención a todas las partes necesarias durante la elicitación – Ej.: Legales, Cumplimiento regulatorio, Auditoria, etc.
10 ideas finales 5. Considerar los elementos de contexto – Leyes, marco regulatorio, contratos, etc – Marco normativo interno – Tipo de aplicación a desarrollar – Tipo de información a ser tratada 6. Reutilizar requerimientos comunes – Catálogo de requerimientos – Requerimientos para tipos de aplicaciones 7. Organizar y agrupar los requerimientos obtenidos
10 ideas finales 8. Analizar si de la organización/agrupación no se derivan nuevos requerimientos 9. Priorizar los requerimientos 10. Especificar los requerimientos y sus atributos (clasificación, grupo, prioridad, identificación) en el SRS
Conclusiones • Requerimientos de seguridad en etapas tempranas = menor costo e impacto • Empatizar con los desarrolladores, facilitarles su labor • Involucrar a todas las partes necesarias • Utilizar alguna metodología • Reutilizar el conocimiento
ANEXO II Especificación de requerimientos.
Como especificar • Requerimiento mandatorio = DEBE • Requerimiento no mandatorio = DEBERIA o SE RECOMIENDA • Sugerencias = PUEDE • Evitar declaraciones negativas (ej: “No debe”) • Evitar frases impersonales (ej.: “el informe se genera”, en su lugar “el componente x debe generar el informe y”) .
Ejemplos [Condición] [Sujeto] [Acción] [Objeto] [Restricción] Ejemplo: Cuando se recibe la señal x [CondIción], el sistema [Sujeto] debe fijar [Acción] la señal x bit recibidos [Objeto] dentro de los 2 segundos [Restricción]. O [Condición] [Acción o Restricción] [Valor] Ejemplo: En el estado de mar 1 [Condición], El sistema de radar debe detectar objetivos a rangos fuera de [Acciónn o Restricción] 100 Millas náuticas [Valor]. O [Sujeto] [Acción] [Valor] Ejemplo: El sistema de facturación [Sujeto], debe mostrar las facturas pendientes de clientes [Acción] En orden ascendente [Valor] en el que las facturas han ser pagadas.
Ejemplo de plantilla de especificación Nro. de Requerimiento: Prioridad: Tipo de requerimiento: Relacionado con caso de uso Nro: Descripción: Justificación: Origen: Criterio de verificación: Dependencias: Conflictos: Documentos de soporte: Historial del requerimiento: Creación: Fecha Modificación: Versión Fecha Cambio realizado
¿Preguntas? ?
Bibliografía • Firesmith, D. G. (2003). Security use cases. Journal of Object Technology , 53-64. • Hernan, S., Lambert, S. O., & Shostack, A. (2006, November 1). Uncover Security Design Flaws Using The STRIDE Approach. Retrieved Octubre 06, 2012, from MSDN Magazine: http://msdn.microsoft.com/hi- in/magazine/cc163519%28en-us%29.aspx • Kabasele Tenday, J.-M. (2010). Using Special use case for security in the software development life cycle. Information Security Applications: 11th International Workshop WISA 2010 (pp. 122-134.). Springer. • Lamsweerde, A. v., Brohez, S., De Landsheer, R., & Janssens, D. (2003). From System Goals to Intruder Anti- Goals:Attack Generation and Resolution for Security Requirements Engineering. 11th IEEE International Requirements Engineering Conference RE03 - 2nd Workshop on Requirements for High Assurance Systems REHAS 03 (pp. 49-56). Monterrey Bay, CA, USA: Carnegie Mellon - Software Engineering Institute. • Mead, N. R. (2006-2008, 09 22). Requirements Elicitation Case Studies Using IBIS, JAD, and ARM. Retrieved 10 14, 2012, from Build Security In: https://buildsecurityin.us-cert.gov/bsi/articles/best-practices/requirements/532- BSI.html • Mead, N. R., Houg, E. D., & Stehney, T. R. (2005). Security Quality Requirements Engineering (SQUARE) Methodology. Pittsburgh, PA: Carnegie Mellon University - Software Engineering Institute (CMU-SEI).
Bibliografía • Mellado, D., Fernandez-Medina, E., & Piattini, M. (2006). A Common Criteria Based Security Requirements Engineering Process for the Development of Secure Information Systems. In Varios, Computer Standard and Interfaces (pp. 244-253). Madrid y Ciudad Real - España: Elsevier. • Mouratidis, H., & Giorgini, P. (2007). SECURE TROPOS: A SECURITY-ORIENTED EXTENSION OF THE TROPOS METHODOLOGY. World Scientific Publishing , 17 (2) 285-309 . • NIST. (2002). NIST Report "The Economic impacts of inadequate infrastructure for software testing". NIST. • Ponemon Institute LLC. (2012). The impact of cybercrime on Business. Ponemo Institute LLC sponsored by Checkpoint Software Technologies. • Saeki, M., & Kaiya, H. (2009). Using Common Criteria as Reusable Knowledge in Security Requirements Elicitation. Tokio, Japón: Dept. of Computer Science, Tokyo Institute of Technology. • Schneier, B. (1999). Modeling Security Threaths. Dr. Dobb´s Journal , December ISSUE. • Sindre, G. O. (2001). Capturing security requirements trough misuse cases. Retrieved 05 01, 2006, from folk.uio.no: http://folk.uio.no/nik/2001/21-sindre.pdf
Contacto www.portoyasociados.com.ar jantunez@portoyasociados.com.ar

Recomendados

Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Luis Trejos
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
DDS
DDSDDS
DDSBertha Vega
 

Recomendados

Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 
Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Presentación comercial S-SQUARE S.A.
Presentación comercial S-SQUARE S.A.Luis Trejos
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
DDS
DDSDDS
DDSBertha Vega
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativaCristiam Gomez Quijano
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...Facultad de Informática UCM
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgoCristian Villalva
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Diapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosDiapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosMelissa Burgos
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Tarea(1)
Tarea(1)Tarea(1)
Tarea(1)daniel
 
Paso6 201014 25_colaborativo
Paso6 201014 25_colaborativoPaso6 201014 25_colaborativo
Paso6 201014 25_colaborativoCristiam Gomez Quijano
 
Diapocitivas preguntas
Diapocitivas preguntasDiapocitivas preguntas
Diapocitivas preguntasErnesto Villarreal
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptrogergrefa1
 
Analisis Requisitos2
Analisis Requisitos2Analisis Requisitos2
Analisis Requisitos2msc080277
 
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Protiviti Peru
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxfernandojh
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ipJose Alberto Medina Vega
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Pepita
PepitaPepita
Pepitapsortega
 
Seguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaSeguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaGeneXus
 

Más contenido relacionado

La actualidad más candente

Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...Facultad de Informática UCM
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Diapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosDiapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosMelissa Burgos
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Tarea(1)
Tarea(1)Tarea(1)
Tarea(1)daniel
 

La actualidad más candente (14)

Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de Software
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazas
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Diapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosDiapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgos
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Tarea(1)
Tarea(1)Tarea(1)
Tarea(1)
 
Paso6 201014 25_colaborativo
Paso6 201014 25_colaborativoPaso6 201014 25_colaborativo
Paso6 201014 25_colaborativo
 
Diapocitivas preguntas
Diapocitivas preguntasDiapocitivas preguntas
Diapocitivas preguntas
 

Similar a Requerimientos de seguridad en las primeras fases del desarrollo de software

Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptrogergrefa1
 
Analisis Requisitos2
Analisis Requisitos2Analisis Requisitos2
Analisis Requisitos2msc080277
 
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Protiviti Peru
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxfernandojh
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Seguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaSeguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaGeneXus
 
Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Vanessa Toral Yépez
 
Unidad # 8 diseño de planes de prueba
Unidad # 8 diseño de planes de pruebaUnidad # 8 diseño de planes de prueba
Unidad # 8 diseño de planes de pruebaDarleneperalta
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1naviwz
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwarelexiherrera
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Exposicion evaluacion e_arquitecturas_de_softw
Exposicion evaluacion e_arquitecturas_de_softwExposicion evaluacion e_arquitecturas_de_softw
Exposicion evaluacion e_arquitecturas_de_softwDavid Lorett
 
Sistemas i ultimo trabajo
Sistemas i ultimo trabajoSistemas i ultimo trabajo
Sistemas i ultimo trabajoAlejandross1
 
Bfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosBfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosJorge García
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 

Similar a Requerimientos de seguridad en las primeras fases del desarrollo de software (20)

Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.ppt
 
Analisis Requisitos2
Analisis Requisitos2Analisis Requisitos2
Analisis Requisitos2
 
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptx
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Pepita
PepitaPepita
Pepita
 
Seguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistemaSeguridad, atributo crítico de un sistema
Seguridad, atributo crítico de un sistema
 
Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1
 
Unidad # 8 diseño de planes de prueba
Unidad # 8 diseño de planes de pruebaUnidad # 8 diseño de planes de prueba
Unidad # 8 diseño de planes de prueba
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
 
Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de software
 
Jfcastillo
JfcastilloJfcastillo
Jfcastillo
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Exposicion evaluacion e_arquitecturas_de_softw
Exposicion evaluacion e_arquitecturas_de_softwExposicion evaluacion e_arquitecturas_de_softw
Exposicion evaluacion e_arquitecturas_de_softw
 
Sistemas i ultimo trabajo
Sistemas i ultimo trabajoSistemas i ultimo trabajo
Sistemas i ultimo trabajo
 
Bfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosBfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De Servicios
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén Vergara
 
02 matriz de riesgo
02 matriz de riesgo02 matriz de riesgo
02 matriz de riesgo
 

Último

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Último (20)

Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

Requerimientos de seguridad en las primeras fases del desarrollo de software

  • 1. Poniendo el caballo delante del carro – Requerimientos de seguridad OWASP LATAM Tour 2014 Argentina 9 de Mayo 2014
  • 2. Agenda • Intro • Ciclo de vida genérico y defectos • Requerimientos • Técnicas de obtención de requerimientos • Técnicas de obtención de requerimientos de seguridad • Metodologías relacionadas • 10 ideas finales • Conclusiones
  • 4. Ciclo de vida genérico y defectos Análisis Diseño ConstrucciónPruebas Operación y Mantenimiento Donde se originan aprox. el 64% de los defectos (IBM Systems Sciences Institute)
  • 5. Esfuerzo corrección vs Fase Esfuerzo de corrección de acuerdo a la fase donde es detectado el defecto 0 10 20 30 40 50 60 70 80 90 100 Analisis Diseño Desarrollo Pruebas Mantenimiento y operación 1 3 5 15 30 1 3 6,5 15 100 NIST IBM Science Institute
  • 6. Requerimientos Requerimientos funcionales (FR) Requerimientos NO funcionales (NFR) Requerimiento Especificación de requerimientos Documento de especificación de requerimientos (SRS) Necesario Conciso Consistente No ambiguo Completo Verificable Función que el sistema o componente debe ser capaz de realizar Restricciones. Normalmente no son expresados por el usuario y se dan por sobre entendidos Una condición o necesidad de un usuario para resolver un problema o alcanzar un objetivo Declaración oficial de que deben implementar los desarrolladores del sistema Proveedor Desarrollador Cliente Usuario
  • 7. Técnicas de obtención-generales Técnica / Característica principal Método de elicitación Metodología/ Proceso particular Entrevistas Reuniones con partes interesadas N/A Cuestionarios Respuesta de partes interesadas N/A Análisis de actividades Observación N/A Análisis del dominio Conocimiento del dominio del sistema Feature-Oriented Domain Analysis (FODA) Brainstorming Presentación de ideas N/A JAD Desarrollo en conjunto JAD ARM Reunión con partes interesadas facilitada ARM Etnografía Observación o participación en el proceso analizado Observación Análisis de protocolo Aprendiz Prototipado Presentación de prototipos RAD XP Elicitación por metas Obtención de incremental de metas Proyecto F3 Metamodelo KAOS Framework i* Tropos
  • 8. Técnicas de obtención-seguridad Técnica Técnica base Modela o expresa Casos de mal uso Casos de uso UML Situaciones que el sistema no debe permitir Casos de abuso Casos de uso UML Situaciones perjudiciales para el sistema Casos de uso de seguridad Casos de uso UML Funcionalidad de seguridad requerida Casos de uso de obligación Casos de uso UML Obligaciones de la organización a considerar en el sistema Arboles de ataque Especificación de metas Eventos que pueden dañar a la organización Anti-metas Especificación de metas Situaciones que pueden prevenir alcanzar las metas Twin peak + common criteria Catalogo de requerimientos Amenazas al sistema y posibles soluciones Secure tropos Tropos Restricciones de seguridad, dependencias de seguridad y ataques posibles
  • 9. Metodologías • SQUARE (Security Quality Requirements Engineering) – 9 pasos • SQUARE-Lite (Security Quality Requirements Engineering Lite) – 4 pasos (subset de SQUARE) • SREP (Security Requirements Engineering Process) – 9 pasos (algunos puntos de contacto/pasos comunes con SQUARE) • CLASP (CLASP- Comprehensive, Lightweight Application Security Process) – 5 vistas, 7 mejores prácticas (1 de ellas para requerimientos), 24 actividades, 104 vulnerabilidades en 5 categorias • STRIDE/DREAD (Spoofing, Tampering, Repudiation, Disclosure, DoS, Elevation of privilege / Damage, Reproducibility, Exploitability, Affected users, Discoverability ) – Se pueden derivar requerimientos basados en 6 amenazas de alto nivel – Se puede priorizar usando DREAD Modeladode amenazas Orientado alSDLC Orientadasarequerimientos
  • 10. Si no nos queda tiempo… GOTO…10 ideas finales
  • 11. Si nos queda tiempo… Anexo I Ejemplos de técnicas de elicitación de requerimientos
  • 14. Caso de uso de seguridad
  • 15. Caso de uso de obligación
  • 19. 10 ideas finales 1. Elegir una metodología 2. Elegir técnicas para elicitar 3. Definir conceptos que puedan no ser comunes para los desarrolladores – Usar fuentes serias (IEEE, ISO, NIST,etc.) – Crear un catálogo (glosario) 4. Dar intervención a todas las partes necesarias durante la elicitación – Ej.: Legales, Cumplimiento regulatorio, Auditoria, etc.
  • 20. 10 ideas finales 5. Considerar los elementos de contexto – Leyes, marco regulatorio, contratos, etc – Marco normativo interno – Tipo de aplicación a desarrollar – Tipo de información a ser tratada 6. Reutilizar requerimientos comunes – Catálogo de requerimientos – Requerimientos para tipos de aplicaciones 7. Organizar y agrupar los requerimientos obtenidos
  • 21. 10 ideas finales 8. Analizar si de la organización/agrupación no se derivan nuevos requerimientos 9. Priorizar los requerimientos 10. Especificar los requerimientos y sus atributos (clasificación, grupo, prioridad, identificación) en el SRS
  • 22. Conclusiones • Requerimientos de seguridad en etapas tempranas = menor costo e impacto • Empatizar con los desarrolladores, facilitarles su labor • Involucrar a todas las partes necesarias • Utilizar alguna metodología • Reutilizar el conocimiento
  • 23. ANEXO II Especificación de requerimientos.
  • 24. Como especificar • Requerimiento mandatorio = DEBE • Requerimiento no mandatorio = DEBERIA o SE RECOMIENDA • Sugerencias = PUEDE • Evitar declaraciones negativas (ej: “No debe”) • Evitar frases impersonales (ej.: “el informe se genera”, en su lugar “el componente x debe generar el informe y”) .
  • 25. Ejemplos [Condición] [Sujeto] [Acción] [Objeto] [Restricción] Ejemplo: Cuando se recibe la señal x [CondIción], el sistema [Sujeto] debe fijar [Acción] la señal x bit recibidos [Objeto] dentro de los 2 segundos [Restricción]. O [Condición] [Acción o Restricción] [Valor] Ejemplo: En el estado de mar 1 [Condición], El sistema de radar debe detectar objetivos a rangos fuera de [Acciónn o Restricción] 100 Millas náuticas [Valor]. O [Sujeto] [Acción] [Valor] Ejemplo: El sistema de facturación [Sujeto], debe mostrar las facturas pendientes de clientes [Acción] En orden ascendente [Valor] en el que las facturas han ser pagadas.
  • 26. Ejemplo de plantilla de especificación Nro. de Requerimiento: Prioridad: Tipo de requerimiento: Relacionado con caso de uso Nro: Descripción: Justificación: Origen: Criterio de verificación: Dependencias: Conflictos: Documentos de soporte: Historial del requerimiento: Creación: Fecha Modificación: Versión Fecha Cambio realizado
  • 28. Bibliografía • Firesmith, D. G. (2003). Security use cases. Journal of Object Technology , 53-64. • Hernan, S., Lambert, S. O., & Shostack, A. (2006, November 1). Uncover Security Design Flaws Using The STRIDE Approach. Retrieved Octubre 06, 2012, from MSDN Magazine: http://msdn.microsoft.com/hi- in/magazine/cc163519%28en-us%29.aspx • Kabasele Tenday, J.-M. (2010). Using Special use case for security in the software development life cycle. Information Security Applications: 11th International Workshop WISA 2010 (pp. 122-134.). Springer. • Lamsweerde, A. v., Brohez, S., De Landsheer, R., & Janssens, D. (2003). From System Goals to Intruder Anti- Goals:Attack Generation and Resolution for Security Requirements Engineering. 11th IEEE International Requirements Engineering Conference RE03 - 2nd Workshop on Requirements for High Assurance Systems REHAS 03 (pp. 49-56). Monterrey Bay, CA, USA: Carnegie Mellon - Software Engineering Institute. • Mead, N. R. (2006-2008, 09 22). Requirements Elicitation Case Studies Using IBIS, JAD, and ARM. Retrieved 10 14, 2012, from Build Security In: https://buildsecurityin.us-cert.gov/bsi/articles/best-practices/requirements/532- BSI.html • Mead, N. R., Houg, E. D., & Stehney, T. R. (2005). Security Quality Requirements Engineering (SQUARE) Methodology. Pittsburgh, PA: Carnegie Mellon University - Software Engineering Institute (CMU-SEI).
  • 29. Bibliografía • Mellado, D., Fernandez-Medina, E., & Piattini, M. (2006). A Common Criteria Based Security Requirements Engineering Process for the Development of Secure Information Systems. In Varios, Computer Standard and Interfaces (pp. 244-253). Madrid y Ciudad Real - España: Elsevier. • Mouratidis, H., & Giorgini, P. (2007). SECURE TROPOS: A SECURITY-ORIENTED EXTENSION OF THE TROPOS METHODOLOGY. World Scientific Publishing , 17 (2) 285-309 . • NIST. (2002). NIST Report "The Economic impacts of inadequate infrastructure for software testing". NIST. • Ponemon Institute LLC. (2012). The impact of cybercrime on Business. Ponemo Institute LLC sponsored by Checkpoint Software Technologies. • Saeki, M., & Kaiya, H. (2009). Using Common Criteria as Reusable Knowledge in Security Requirements Elicitation. Tokio, Japón: Dept. of Computer Science, Tokyo Institute of Technology. • Schneier, B. (1999). Modeling Security Threaths. Dr. Dobb´s Journal , December ISSUE. • Sindre, G. O. (2001). Capturing security requirements trough misuse cases. Retrieved 05 01, 2006, from folk.uio.no: http://folk.uio.no/nik/2001/21-sindre.pdf