This article needs additional citations for verification. (June 2017) |
La ingeniería de seguridad es el proceso de incorporar controles de seguridad en un sistema de información de modo que los controles se conviertan en una parte integral de las capacidades operativas del sistema. [1] Es similar a otras actividades de ingeniería de sistemas en que su motivación principal es respaldar la entrega de soluciones de ingeniería que satisfagan los requisitos funcionales y de usuario predefinidos , pero tiene la dimensión adicional de prevenir el uso indebido y el comportamiento malicioso. Esas restricciones y restricciones a menudo se afirman como una política de seguridad .
De una forma u otra, la ingeniería de seguridad ha existido como un campo de estudio informal durante varios siglos. Por ejemplo, los campos de la cerrajería y la impresión de seguridad han existido durante muchos años. Las preocupaciones por la ingeniería de seguridad moderna y los sistemas informáticos se solidificaron por primera vez en un artículo de RAND de 1967, "Seguridad y privacidad en sistemas informáticos" de Willis H. Ware. [2] Este artículo, ampliado posteriormente en 1979, [3] proporcionó muchos de los conceptos fundamentales de seguridad de la información, etiquetados hoy como ciberseguridad, que afectan a los sistemas informáticos modernos, desde las implementaciones en la nube hasta la IoT integrada.
Los recientes acontecimientos catastróficos, en particular el 11 de septiembre , han convertido a la ingeniería de seguridad en un campo de rápido crecimiento. De hecho, en un informe finalizado en 2006, se estimó que la industria mundial de la seguridad estaba valorada en 150.000 millones de dólares.
La ingeniería de seguridad involucra aspectos de las ciencias sociales , la psicología (como el diseño de un sistema para que " falle bien ", en lugar de tratar de eliminar todas las fuentes de error) y la economía , así como la física , la química , las matemáticas , la criminología, la arquitectura y el paisajismo . [4] Algunas de las técnicas utilizadas, como el análisis del árbol de fallas , se derivan de la ingeniería de seguridad .
Otras técnicas, como la criptografía, antes estaban restringidas a aplicaciones militares. Uno de los pioneros en establecer la ingeniería de seguridad como campo de estudio formal fue Ross Anderson .
No existe una única cualificación para convertirse en ingeniero de seguridad.
Sin embargo, un título de grado y/o posgrado, a menudo en ciencias de la computación , ingeniería informática o títulos centrados en la protección física como Ciencias de la Seguridad, en combinación con experiencia laboral práctica (sistemas, ingeniería de redes, desarrollo de software , modelado de sistemas de protección física, etc.) califican a una persona para tener éxito en el campo. Existen otras calificaciones de grado con un enfoque en seguridad. Hay múltiples certificaciones disponibles , como Profesional Certificado en Seguridad de Sistemas de Información o Profesional Certificado en Seguridad Física que pueden demostrar experiencia en el campo. Independientemente de la calificación, el curso debe incluir una base de conocimientos para diagnosticar los impulsores del sistema de seguridad, la teoría y los principios de seguridad que incluyen defensa en profundidad, protección en profundidad, prevención del delito situacional y prevención del delito a través del diseño ambiental para establecer la estrategia de protección (inferencia profesional), y conocimiento técnico que incluya física y matemáticas para diseñar y poner en marcha la solución de tratamiento de ingeniería. Un ingeniero de seguridad también puede beneficiarse de tener conocimientos en seguridad cibernética y seguridad de la información. También se valora cualquier experiencia laboral previa relacionada con la privacidad y la informática.
Todo este conocimiento debe estar respaldado por atributos profesionales que incluyan sólidas habilidades de comunicación y altos niveles de alfabetización para la redacción de informes de ingeniería. La ingeniería de seguridad también se conoce con el nombre de ciencia de la seguridad.
Los avances tecnológicos, principalmente en el campo de las computadoras , han permitido la creación de sistemas mucho más complejos, con nuevos y complejos problemas de seguridad. Debido a que los sistemas modernos abarcan muchas áreas de la actividad humana, los ingenieros de seguridad no solo deben considerar las propiedades matemáticas y físicas de los sistemas, sino que también deben considerar los ataques a las personas que utilizan y forman parte de esos sistemas mediante ataques de ingeniería social . Los sistemas seguros deben resistir no solo los ataques técnicos, sino también la coerción , el fraude y el engaño por parte de estafadores .
Según Microsoft Developer Network, los patrones y prácticas de la ingeniería de seguridad consisten en las siguientes actividades: [5]
Estas actividades están diseñadas para ayudar a cumplir los objetivos de seguridad en el ciclo de vida del software .
La ingeniería de seguridad de productos es la ingeniería de seguridad aplicada específicamente a los productos que una organización crea, distribuye y/o vende. La ingeniería de seguridad de productos es distinta de la seguridad corporativa/empresarial, [6] que se centra en proteger las redes y los sistemas corporativos que una organización utiliza para realizar negocios.
La seguridad del producto incluye la ingeniería de seguridad aplicada a:
Estos ingenieros de seguridad suelen trabajar en equipos separados de los equipos de seguridad corporativos y trabajan en estrecha colaboración con los equipos de ingeniería de productos.
Sea cual sea el objetivo, existen múltiples formas de impedir la entrada de personas no deseadas o no autorizadas. Los métodos incluyen la colocación de barreras de Jersey , escaleras u otros obstáculos resistentes en el exterior de edificios altos o políticamente sensibles para evitar los atentados con coches y camiones . La mejora del método de gestión de visitantes y algunas nuevas cerraduras electrónicas aprovechan tecnologías como el escaneo de huellas dactilares , el escaneo del iris o de la retina y la identificación por huella de voz para autenticar a los usuarios.
{{cite conference}}
: CS1 maint: unfit URL (link){{cite web}}
: CS1 maint: multiple names: authors list (link)