Cómo utilizar el marco de gestión de riesgos para la trazabilidad de requisitos y amenazas

Las actividades de ciberseguridad y seguridad de la información (InfoSec) se implementan para proteger los datos, la información, los sistemas y los usuarios. Los interesados ​​en el sistema, el programa y la seguridad capacitados trabajan juntos para garantizar que se cumplan los objetivos comerciales y, al mismo tiempo, minimizar el riesgo de amenazas en las que se pueden perder los datos o el control del sistema. Esta pérdida puede deberse a robo, desastres naturales, mal funcionamiento de la computadora / servidor, operación no autorizada o arriesgada, o de cualquier otra amenaza. Los enfoques de administración de programas y seguridad se combinan para maximizar las funciones y capacidades comerciales y, al mismo tiempo, proteger una organización. Estos enfoques incluyen: gestión de requisitos, gestión de riesgos, análisis de vulnerabilidades de amenazas, supervisión continua y copias de seguridad del sistema y de la información. Todos estos enfoques de gestión requieren una experiencia significativa para maximizar los resultados y prevenir problemas que de otro modo podrían haberse evitado.

Los gerentes de programa, como representantes de sus empresas y clientes, exigen la entrega oportuna de productos y servicios de calidad a las operaciones. La experiencia significativa maximiza la calidad y el rendimiento del producto al tiempo que minimiza los riesgos. La experiencia facilita la supervisión, la colaboración abierta y la toma de decisiones para maximizar la innovación, la confiabilidad, la sostenibilidad y la coordinación de activos y recursos.

En la actualidad, una preocupación importante de la Administración de programas es que cada entidad recopila, procesa y almacena una gran cantidad de información confidencial y la comparte a través de varias redes públicas y privadas con otras computadoras. Para agravar esta preocupación está el rápido ritmo de la tecnología, el software, los estándares y otros cambios que la industria debe conocer. Es esencial que esta información se administre cuidadosamente dentro de las empresas y se proteja para evitar que tanto la empresa como sus clientes sufran pérdidas financieras generalizadas e irreparables, sin mencionar el daño a la reputación de su empresa. La protección de nuestros datos e información es un requisito ético y legal para cada proyecto y requiere un compromiso proactivo para ser efectivo.

Se utilizan múltiples herramientas y técnicas de ciberseguridad para gestionar eficazmente el riesgo dentro del desarrollo del sistema y las operaciones comerciales. Por necesidad, las actividades de administración, ingeniería y ciberseguridad deben trabajar de manera proactiva dentro de la ejecución de los requisitos para maximizar las funciones y capacidades del sistema y, al mismo tiempo, minimizar los riesgos. No cometer errores; las amenazas a nuestras empresas, sistemas y usuarios son reales. Como los requisitos están suficientemente documentados, también deben hacerlo los controles de seguridad que están destinados a ayudar a mitigar los riesgos conocidos de nuestros sistemas.

Los requisitos y las amenazas se documentan de la misma manera que para garantizar la trazabilidad y la repetibilidad. Se necesita una gestión proactiva para implementar, ejecutar, controlar, probar, verificar y validar que se han cumplido los requisitos y se han mitigado las amenazas aplicables. La diferencia en la gestión es que, si bien los requisitos deben cumplirse en última instancia, las amenazas se gestionan y mitigan según la probabilidad y la gravedad de la amenaza para nuestros usuarios, empresas y sistemas. Los riesgos se documentan para mostrar la gestión y la mitigación. Documentar estos requisitos y amenazas y sus detalles de respaldo es la clave para el esfuerzo proactivo y repetible que se necesita. Creemos que el mejor enfoque para hacer esto es mantener esta gestión lo más sencilla posible y tan detallada como sea necesario para planificar, ejecutar y controlar el programa o el negocio.

Los procesos del marco de gestión de riesgos (RMF) se aplican a los controles de seguridad que se encuentran en las referencias de seguridad cibernética y seguridad de la información. Estas actividades de RMF están bien documentadas y se superponen con las mejores prácticas de gestión e ingeniería. A menudo, encontrará que las actividades recomendadas por el RMF son actividades que ya debería realizar con una competencia significativa. La trazabilidad de estos programas y actividades de seguridad requiere la capacidad de verificar el historial y el estado de cada control de seguridad, independientemente de si el sistema está en desarrollo o en funcionamiento. Se detalla la documentación por necesidad. La rastreabilidad incluye la identificación entre el requisito, el control de seguridad y la información necesaria para rastrear entre los requisitos, los controles de seguridad, las estrategias, las políticas, los planes, los procesos, los procedimientos, la configuración de control y otra información necesaria para garantizar el desarrollo del ciclo de vida repetible y la repetibilidad operativa. .

La experiencia en Gestión de Programas y Gestión de Riesgos es de primordial importancia para gestionar los requisitos y los riesgos. Una tremenda y fundamental ayuda para los experimentados es la Matriz de trazabilidad de requisitos (RTM) y la Matriz de trazabilidad del control de seguridad (SCTM). El RTM y SCTM tienen un propósito y alcance fundamentalmente directos, lo que facilita la trazabilidad y repetibilidad del programa. Las variables de un RTM y SCTM pueden ser muy similares y se adaptan a las necesidades del programa y del cliente. Hay muchos ejemplos de los detalles del contenido del RTM o SCTM, ambos documentos separados pero similares, que pueden incluir:
1) Un número de identificación RTM o SCTM único para cada requisito y control de seguridad,
2) números de identificación referenciados de cualquier artículo asociado para el seguimiento de requisitos,
3) una descripción detallada, palabra por palabra, del requisito o control de seguridad,
4) supuestos técnicos o necesidad del cliente vinculada al requisito funcional,
5) el estado actual del requisito funcional o control de seguridad,
6) una descripción de la función del documento de arquitectura / diseño,
7) una descripción de la especificación técnica funcional,
8) una descripción de los componentes del sistema funcional,
9) una descripción de los módulos de software funcional,
10) el número de caso de prueba vinculado al requisito funcional,
11) el estado de la prueba de requisitos funcionales y la solución de implementación,
12) una descripción del documento de verificación funcional, y
13) una columna de comentarios diversos que pueden ayudar a la trazabilidad.

Si bien los contenidos de RTM y SCTM son flexibles, la necesidad de tales herramientas no lo es. Con la complejidad y la necesidad de proteger los sistemas y servicios de múltiples amenazas, los gerentes, ingenieros, usuarios y otros profesionales experimentados buscarán la trazabilidad que requieren los sistemas seguros y de calidad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *