De una forma u otra, la ingeniería de seguridad ha existido como un campo de estudio informal durante varios siglos. Por ejemplo, los campos de la cerrajería y la impresión de seguridad existen desde hace muchos años. Las preocupaciones por la ingeniería de seguridad moderna y los sistemas informáticos se solidificaron por primera vez en un artículo de RAND de 1967, "Seguridad y privacidad en los sistemas informáticos" de Willis H. Ware. Este documento, que luego se amplió en 1979, proporcionó muchos de los conceptos fundamentales de seguridad de la información, etiquetados hoy como Ciberseguridad, que afectan los sistemas informáticos modernos, desde implementaciones en la nube hasta IoT integrado.
Los eventos catastróficos recientes, en particular el 11 de septiembre , han hecho que la ingeniería de seguridad se convierta rápidamente en un campo de rápido crecimiento. De hecho, en un informe completado en 2006, se estimó que la industria de la seguridad mundial estaba valorada en 150.000 millones de dólares estadounidenses.
La ingeniería de seguridad involucra aspectos de las ciencias sociales , la psicología (como el diseño de un sistema para que " falle bien ", en lugar de intentar eliminar todas las fuentes de error) y la economía , así como la física , la química , las matemáticas , la criminología , la arquitectura y el paisajismo. Algunas de las técnicas utilizadas, como el análisis del árbol de fallas , se derivan de la ingeniería de seguridad .
Otras técnicas, como la criptografía , antes estaban restringidas a aplicaciones militares. Uno de los pioneros en establecer la ingeniería de seguridad como un campo de estudio formal es Ross Anderson .
Contenido
1 Calificaciones
2 Campos relacionados
3 Metodologías
3.1 aplicaciones web
3.2 Físico
3.3 Producto
3.3.1 Endurecimiento de objetivos
4 Ver también
5 Referencias
6 Otras lecturas
6.1 Artículos y papeles
Cualificaciones
No existe una calificación única para convertirse en ingeniero de seguridad.
Sin embargo, un título universitario y/o de posgrado, a menudo en informática , ingeniería informática o títulos centrados en la protección física, como Ciencias de la seguridad, en combinación con experiencia laboral práctica (sistemas, ingeniería de redes, desarrollo de software , modelado de sistemas de protección física, etc.) más califica a un individuo para tener éxito en el campo. Existen otras titulaciones de grado con un enfoque de seguridad. Múltiples certificaciones , como la de Profesional certificado en seguridad de sistemas de información, o un profesional certificado en seguridad física están disponibles que pueden demostrar experiencia en el campo. Independientemente de la calificación, el curso debe incluir una base de conocimientos para diagnosticar los impulsores del sistema de seguridad, la teoría y los principios de seguridad, incluida la defensa en profundidad, la protección en profundidad, la prevención del delito situacional y la prevención del delito a través del diseño ambiental para establecer la estrategia de protección (inferencia profesional). y conocimientos técnicos, incluidas la física y las matemáticas, para diseñar y poner en marcha la solución de tratamiento de ingeniería. Un ingeniero de seguridad también puede beneficiarse de tener conocimientos en seguridad cibernética y seguridad de la información. También se valora cualquier experiencia laboral previa relacionada con la privacidad y la informática.
Todo este conocimiento debe estar respaldado por atributos profesionales que incluyen sólidas habilidades de comunicación y altos niveles de alfabetización para la redacción de informes de ingeniería. La ingeniería de seguridad también se conoce con la etiqueta Security Science.
Campos relacionados
Seguridad de información
Ver esp. La seguridad informática
proteger los datos del acceso, uso, divulgación, destrucción, modificación o interrupción del acceso no autorizados.
Seguridad física
disuadir a los atacantes de acceder a una instalación, recurso o información almacenada en medios físicos.
Contramedidas de vigilancia técnica
Economía de la seguridad
los aspectos económicos de la economía de la privacidad y la seguridad informática.
Metodologías
Los avances tecnológicos, principalmente en el campo de la informática , han permitido en la actualidad la creación de sistemas mucho más complejos, con nuevos y complejos problemas de seguridad. Debido a que los sistemas modernos abarcan muchas áreas del esfuerzo humano, los ingenieros de seguridad no solo necesitan considerar las propiedades matemáticas y físicas de los sistemas; también deben considerar los ataques a las personas que usan y forman parte de esos sistemas mediante ataques de ingeniería social . Los sistemas seguros deben resistir no solo los ataques técnicos, sino también la coerción, el fraude y el engaño de los estafadores .
Aplicaciones web
Según Microsoft Developer Network , los patrones y prácticas de la ingeniería de seguridad consisten en las siguientes actividades:
Objetivos de seguridad
Pautas de diseño de seguridad
Modelado de seguridad
Revisión de diseño y arquitectura de seguridad
Revisión del código de seguridad
Pruebas de seguridad
Ajuste de seguridad
Revisión de implementación de seguridad
Estas actividades están diseñadas para ayudar a cumplir los objetivos de seguridad en el ciclo de vida del software .
Físico
Comprensión de una amenaza típica y los riesgos habituales para las personas y los bienes.
Comprender los incentivos creados tanto por la amenaza como por las contramedidas.
Comprender la metodología de análisis de riesgos y amenazas y los beneficios de un estudio empírico de la seguridad física de una instalación.
Entender cómo aplicar la metodología a edificios, infraestructuras críticas, puertos, transporte público y otras instalaciones/complejos.
Descripción general de los métodos físicos y tecnológicos comunes de protección y comprensión de sus roles en la disuasión, detección y mitigación.
Determinar y priorizar las necesidades de seguridad y alinearlas con las amenazas percibidas y el presupuesto disponible.
Producto
La ingeniería de seguridad de productos es la ingeniería de seguridad aplicada específicamente a los productos que una organización crea, distribuye y/o vende. La ingeniería de seguridad de productos es distinta de la seguridad corporativa/empresarial, [6] que se centra en proteger las redes y los sistemas corporativos que utiliza una organización para realizar negocios.
La seguridad del producto incluye la ingeniería de seguridad aplicada a:
Dispositivos de hardware como teléfonos celulares, computadoras, dispositivos de Internet de las cosas y cámaras.
Software como sistemas operativos, aplicaciones y firmware.
Dichos ingenieros de seguridad a menudo se emplean en equipos separados de los equipos de seguridad corporativos y trabajan en estrecha colaboración con los equipos de ingeniería de productos.
Endurecimiento de objetivos
Sea cual sea el objetivo, existen múltiples formas de evitar la penetración de personas no deseadas o no autorizadas. Los métodos incluyen la colocación de barreras Jersey , escaleras u otros obstáculos resistentes fuera de edificios altos o políticamente sensibles para evitar atentados con coches y camiones . La mejora del método de gestión de visitantes y algunas cerraduras electrónicas nuevas aprovechan tecnologías como el escaneo de huellas dactilares , el escaneo de iris o retina y la identificación de huellas de voz para autenticar a los usuarios.
Comentarios
Publicar un comentario