Resumen:
Antecedentes: Los procesos de desarrollo de software en muchas organizaciones todavía no logran incorporar las prácticas recomendadas para conseguir que el producto final sea no solo funcional, sino también razonablemente seguro.
Objetivo: Analizar el caso de un producto de software en desarrollo para determinar qué métodos de ingeniería de software seguro le pueden aplicar y, a partir de estos, elaborar una propuesta de mejoras, tanto en la seguridad de su diseño como en su proceso de desarrollo.
Método: Revisión documental y sesiones de trabajo con involucrados en el desarrollo del producto; se aplican técnicas de análisis de amenazas y de superficie de ataque para identificar amenazas, y patrones de seguridad para evaluar posibles mejoras al diseño.
Resultados: Se identifica preferencia por técnicas de desarrollo seguro compatibles con procesos ágiles; la superficie de ataque es amplia ya que no se contiene el flujo de datos confidenciales a través del sistema; se proponen medidas de segregación de datos para reducir la superficie de ataque.
Conclusiones: La compatibilidad de las técnicas con procesos ágiles facilita su adopción; también, un programa de seguridad en la organización es un excelente fundamento para el desarrollo de software seguro, pero no es suficiente si no se acompaña con adecuada capacitación en las prácticas de seguridad que se pueden incorporar al proceso de desarrollo.
