Video: Como implementar un Sistema de Gestión de la Calidad: Fase de Diagnostico 2024
Es una tendencia humana natural construir cosas sin considerar primero sus implicaciones de diseño o seguridad. Un ingeniero de red que está construyendo una nueva red puede simplemente comenzar a enchufar los cables en los enrutadores y conmutadores sin pensar primero en el diseño general, y mucho menos en consideraciones de seguridad. De manera similar, un ingeniero de software asignado para escribir un nuevo programa puede comenzar a codificar sin planear el diseño del programa.
Si observa el mundo exterior y los productos de consumo que están disponibles, a veces ve defectos de uso y seguridad atroces que le hacen preguntarse cómo se le permitió a la persona u organización participar en su diseño y desarrollo..
Los profesionales de seguridad deben ayudar a las organizaciones a comprender que los principios de seguridad por diseño son un componente vital del desarrollo de cualquier sistema.
Los procesos de ingeniería que requieren la inclusión de principios de diseño seguro incluyen estos:
- Desarrollo del concepto. Desde la etapa de la idea, las consideraciones de seguridad son vitales para el éxito de cualquier nuevo esfuerzo de ingeniería de TI. Cada proyecto y producto comienza con algo: una sesión de pizarra, bocetos en servilletas de cóctel o cajas de pizza, o una conferencia telefónica. Sin embargo, el proyecto comienza, alguien debería preguntar cómo se protegerán los datos, funciones y componentes vitales en esta nueva cosa. No buscamos respuestas detalladas, sino la suficiente confianza para saber que no somos el último rebaño de ovejas que corren hacia el acantilado más cercano.
- Requisitos. Antes de que comience el diseño real, una o más personas definirán los requisitos para el nuevo sistema o característica. A menudo, hay varias categorías de requisitos. La seguridad, la privacidad y los requisitos normativos a menudo deben incluirse.
- Diseño. Después de que se hayan establecido y acordado todos los requisitos, puede comenzar el diseño formal del sistema o componente. El diseño debe incorporar todos los requisitos establecidos en el paso anterior.
- Desarrollo. Dependiendo de lo que se está creando, el desarrollo puede tomar muchas formas, incluyendo la creación de
- Configuraciones de sistema y dispositivo
- Diagramas de almacenamiento de equipos del centro de datos
- Flujos de datos para sistemas de administración y monitoreo
- Pruebas. Los componentes individuales y todo el sistema se prueban para confirmar que se han logrado todos y cada uno de los requisitos desarrollados anteriormente. En general, alguien que no sea el constructor / desarrollador debe realizar las pruebas.
- Implementación. Cuando el sistema o componente se pone en servicio, las consideraciones de seguridad ayudan a garantizar que esto no ponga en riesgo el nuevo sistema / componente o cosas relacionadas. Las actividades de implementación incluyen
- Configuración y cableado de dispositivos de red
- Instalación y configuración de sistemas operativos o subsistemas, como sistemas de administración de bases de datos, servidores web o aplicaciones
- Construcción de instalaciones físicas, áreas de trabajo o centros de datos
- Mantenimiento y soporte. Después de que el sistema o instalación se pone en servicio, todos los cambios posteriores deben someterse a pasos de ingeniería similares para garantizar que los riesgos de seguridad nuevos o cambiantes se mitiguen rápidamente.
- Desmantelamiento. Cuando un sistema o instalación llega al final de su vida útil, debe retirarse sin poner en riesgo los datos, otros sistemas o el personal.