SQUARE: metodología para requisitos de seguridad |
|
17.01.2006 |
Para un sistema del que se sabe bien lo que se espera de él, y con relativa estabilidad de los requisitos durante el desarrollo, resultaría más apropiado un modelo de gestión formal que uno ágil, pero siempre que se lleve a cabo una de las partes más difíciles: los requisitos. Muchas veces se eligen ciclos de desarrollo iterativos sobre prototipado, no por la incertidumbre del sistema, sino para eludir las tareas de la ingeniería formal de requisitos.
Los requisitos suelen ser asignatura pendiente en muchos proyectos de software.
Obtenerlo, analizarlos y especificarlos sin ambigüedades ni omisiones, de forma que resulten verificables y cuantificablemente medibles no es fácil. Y si no resulta fácil con los requisitos funcionales, cuando se trata de requisitos de seguridad, el terreno se vuelve aún más difícil.
Dentro del programa de investigación del Instituto de Ingeniería del Software para redes de sistemas supervivientes (NSS) se enmarca el proyecto SQUARE para desarrollar una metodología para la obtención, análisis, clasificación y priorización de los requisitos de seguridad.
Aunque el proyecto es relativamente reciente, ha publicado ya el informe técnico "Security Quality Requirements Engineering (SQUARE) Methodology. El informe está estructurado en dos partes.
La primera describe el método, compuesto de 9 pasos. Para cada uno describe su finalidad y en qué consiste, cuáles son las responsabilidades de los participantes, el input que toma, las técnicas que se pueden emplear y el resultado que produce.
1.- Consenso sobre los conceptos y su definición. 2.- Identificación de los objetivos de seguridad. 3.- Desarrollo de los artefactos necesarios para definir los requisitos de seguridad (diseños de la arquitectura, casos de uso, casos de uso incorrecto...) 4.- Valoración de riesgos 5.- Selección de las técnicas para la obtención de los requisitos 6.- Obtención de los requisitos 7.- Clasificación de los requisitos 8.- Priorización 9.- Revisión de los requisitos
La segunda resulta interesante por lo poco habitual en los textos teóricos: muestra casos prácticos. A modo de casos de estudio presentan ejemplos concretos y reales de artefactos, requisitos, clasificación y demás elementos descritos en el modelo. El trabajo "tal cual" que normalmente resulta difícil de intuir cómo debe ser a través sólo de la teoría.
El proyecto SQUARE está en desarrollo, y en la actualidad el equipo está preparando una herramienta CASE sobre web para la gestión de las tareas de requisitos según esta metodología. Anuncian estará disponible en un plazo breve.
- Página de descarga del informe SQUARE
Artículo posterior (25-07-06): Obtención de requisitos con SQUARE.
|