TESIS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO
2021-02-25
Programa De Doctorado En Tecnologías Informáticas (Tin) Por La Universidad De Extremadura
Informatica; Software
DIRECTORES

Andrés Caro Lindo (Director)

Pablo Garcia Rodriguez (Codirector)
TRIBUNAL

Díaz Verdejo, Jesús Esteban (Presidente)

Garcia Villalba, Luis Javier (Vocal)

Plaza Miguel, Antonio José (Secretario)
DESCRIPCIÓN
La investigación realizada en esta Tesis Doctoral se engloba dentro de las actividades desarrolladas en el ámbito de la Cátedra de Patrocinio Seguridad y Auditoría de Sistemas Software entre la Universidad la Universidad de Extremadura y la empresa Viewnext S.A.La necesidad producida por las graves consecuencias que sufren los sistemas informáticos debido al incremento del número de ciberataques con éxito en la última década ha generado un cambio de paradigma con respecto a la seguridad en los procesos de desarrollo del software. La aparición de vulnerabilidades por la falta de controles de seguridad es una de las causas por las que se demandan nuevos marcos de trabajo que produzcan software seguro de forma predeterminada.Esta Tesis Doctoral presenta una revisión de los modelos de software seguro más utilizados o conocidos y propone un nuevo modelo de desarrollo – modelo Viewnext-UEx – que incorpora prácticas de seguridad de forma preventiva y sistemática en todas las fases del proceso de ciclo de vida del software. El propósito de este nuevo modelo es anticipar la detección de vulnerabilidades aplicando la seguridad desde las fases más tempranas, a la vez que se optimizan los procesos de construcción del software. Para ello, se realiza un caso de estudio donde los datos corresponden a la empresa de servicios tecnológicos Viewnext S.A.El caso de estudio plantea una novedosa comparación de resultados en dos escenarios de desarrollo reales. El proyecto de software elegido para el experimento pertenece a una compañía del sector eléctrico, considerado crítico en el ámbito de la seguridad. Aunque los escenarios siguen metodologías distintas para producir el software, se ejecutan en el mismo proyecto de software y por el mismo equipo de trabajo.El primer escenario mantiene la orientación de seguridad tradicional donde, de manera reactiva, se detectan las vulnerabilidades al finalizar el software. El segundo escenario, cuyo enfoque es preventivo, implanta el modelo Viewnext-UEx propuesto en esta tesis, de modo que en el desarrollo se aplica la seguridad por defecto en todas las fases del ciclo de vida del software. Los resultados obtenidos indican que en el escenario donde se aplica el modelo Viewnext-UEx se produce una reducción considerable del número vulnerabilidades, de su criticidad y del impacto temporal en la resolución de los fallos de seguridad, frente al escenario reactivo.Por tanto, se concluye que la falta de controles de seguridad durante el proceso de construcción del software incrementa el número de vulnerabilidades y produce mayor dedicación en la fase de corrección. Por el contrario, la aplicación del modelo Viewnext-UEx anticipa la detección de vulnerabilidades y minimiza su tiempo de corrección.