Soluciones Visure


Soporte
Registro
Iniciar Sesión
Empiza La Prueba Gratuita

Índice del contenido

Gestión de requisitos Ciberseguridad Tamaño y tendencias del mercado

Corte en 2021, el mercado de ciberseguridad de gestión de requisitos globales estaba creciendo a un ritmo constante. Según un informe de MarketsandMarkets, el tamaño del mercado se estimó en USD 5.8 millones en 2020 y se esperaba que creciera a USD 11.8 2025 millones en 15.3, a una tasa de crecimiento anual compuesta (CAGR) del XNUMX % durante el período de pronóstico.

El informe citó varios factores que impulsan el crecimiento del mercado de ciberseguridad de gestión de requisitos, incluida la creciente demanda de soluciones de seguridad debido a la creciente cantidad de ataques cibernéticos, la creciente adopción de soluciones basadas en la nube y el uso creciente de Internet de las cosas. (IoT) y Traiga su propio dispositivo (BYOD). Además, el informe señaló que la creciente adopción de tecnologías de inteligencia artificial (IA) y aprendizaje automático (ML) para la ciberseguridad también estaba contribuyendo al crecimiento del mercado.

En términos de tendencias, el informe destacó que hubo un enfoque creciente en la integración de los requisitos de seguridad cibernética en el ciclo de vida del desarrollo de software (SDLC) y la necesidad de que las organizaciones garanticen el cumplimiento de los estándares y regulaciones de la industria. El informe también señaló que había una tendencia hacia el uso de herramientas automatizadas para la gestión de requisitos y la ciberseguridad, ya que estas herramientas podrían ayudar a las organizaciones a ahorrar tiempo y reducir errores.

Electrónica del mañana

La Electrónica del mañana La feria comercial muestra las últimas tecnologías y tendencias en la industria electrónica, con un enfoque en sistemas integrados, desarrollo de software y ciberseguridad. El evento atrae a expositores y asistentes de todo el mundo y brinda una oportunidad para que los profesionales de la industria se conecten, intercambien ideas y aprendan sobre nuevos productos y tecnologías.

Electrónica del mañana

La feria comercial generalmente presenta una variedad de exhibiciones, seminarios y talleres que cubren temas como Internet de las cosas (IoT), inteligencia artificial (IA), aprendizaje automático (ML), robótica, automatización y más. Además, el evento ofrece oportunidades para que los asistentes se conecten con expertos en el campo, asistan a demostraciones de productos y participen en actividades prácticas.

Visure Solutions en EOT 2023, Dinamarca

Con el rápido avance de la tecnología en las industrias, la ciberseguridad se ha convertido en una necesidad crucial para proteger los activos de una organización de ataques maliciosos. Para garantizar el cumplimiento de las normas y regulaciones de la industria y al mismo tiempo proteger contra posibles vulnerabilidades de seguridad, la gestión de requisitos es esencial. Esto ayuda a las organizaciones a ahorrar tiempo y dinero al tiempo que ofrece productos de software seguros y compatibles.

La gestión eficaz de los requisitos es fundamental para cualquier organización que busque garantizar la seguridad y el cumplimiento de sus productos o servicios. En las especificaciones de requisitos de software, los requisitos de seguridad cibernética deben integrarse para abordar los problemas de autenticación, autorización, integridad de datos y control de acceso. Al hacerlo, las organizaciones pueden evitar errores costosos que resultan de la falta de atención a los detalles con respecto a las mejores prácticas de seguridad.

La ciberseguridad es una preocupación importante para los sistemas integrados, ya que abarca toda la tecnología y las operaciones utilizadas para proteger los dispositivos y sus plataformas y redes contra ataques cibernéticos o piratería informática. Los equipos de desarrollo de sistemas integrados ya conocen muchos conceptos y técnicas para mitigar los riesgos de seguridad, como reglas de codificación, RTOS dedicados, técnicas de criptografía, análisis estático y dinámico, y más. Sin embargo, un aspecto que a menudo se pasa por alto es la gestión y la trazabilidad de los requisitos.

Aunque los estándares de seguridad como IEC 62443 / ISA Secure requieren la gestión y el seguimiento de los requisitos de seguridad a lo largo del ciclo de vida de desarrollo y prueba, muchos ingenieros no están seguros de cómo cumplir con estos requisitos de manera eficiente y qué tipos de controles y procesos se aplican a la gestión de requisitos. 

Por lo tanto, Micaël Martins, líder de ventas en Europa de Visure, entregó una presentación completa sobre “Cómo redactar y gestionar requisitos para proyectos integrados de ciberseguridad” en Electronics of Tomorrow 2023 en Dinamarca. 

Por qué la gestión de requisitos es tan importante en los estándares integrados de seguridad y protección

La gestión de requisitos es particularmente importante en el contexto de los estándares de seguridad y protección incorporados debido a la naturaleza crítica de los sistemas involucrados. Este es el por qué:

  1. Cumplimiento de Normas: Los estándares de seguridad y protección integrados, como ISO 26262 para sistemas automotrices o IEC 61508 para sistemas de control industrial, definen requisitos rigurosos para garantizar la seguridad y protección de estos sistemas. La gestión de requisitos ayuda a capturar, documentar y gestionar estos requisitos específicos de los estándares, lo que garantiza el cumplimiento durante todo el ciclo de vida del desarrollo.
  2. Identificación y Mitigación de Riesgos: Los estándares de seguridad y protección integrados requieren una comprensión profunda de los riesgos potenciales y sus estrategias de mitigación. La gestión de requisitos ayuda a identificar y evaluar los riesgos de seguridad y protección, lo que permite el desarrollo de requisitos apropiados para abordar estos riesgos. También permite la trazabilidad entre los riesgos, los requisitos y las soluciones implementadas, asegurando que las medidas de seguridad y protección se implementen adecuadamente.
  3. Trazabilidad y responsabilidad: Los sistemas críticos para la seguridad exigen trazabilidad y responsabilidad para cada requisito. La gestión de requisitos garantiza que los requisitos de seguridad y protección se rastreen correctamente desde sus orígenes hasta las etapas de diseño, implementación y prueba. Esta trazabilidad ayuda a demostrar el cumplimiento de los estándares, facilita la gestión de cambios y permite un análisis de impacto efectivo cuando se requieren modificaciones o actualizaciones.
  4. Verificación y validación: Los estándares de seguridad y protección integrados requieren extensos procesos de verificación y validación para garantizar que los sistemas cumplan con los requisitos especificados. La gestión de requisitos apoya la planificación y ejecución de estas actividades proporcionando requisitos claros y comprobables, facilitando la identificación de técnicas de verificación y validación adecuadas y permitiendo el establecimiento de trazabilidad entre pruebas y requisitos.
  5. Gestión del cambio: Los estándares de seguridad y protección a menudo se actualizan y revisan para abordar las amenazas emergentes y los avances de la industria. La gestión eficaz de los requisitos permite a las organizaciones adaptarse a estos cambios mediante la incorporación eficiente de nuevos requisitos, la actualización de los requisitos existentes y la gestión del impacto en el proceso de desarrollo. Garantiza que los aspectos de seguridad y protección de los sistemas integrados permanezcan actualizados y alineados con los estándares en evolución.
  6. Documentación y audibilidad: Los estándares de seguridad y protección incorporados a menudo requieren documentación completa para demostrar el cumplimiento. La gestión de requisitos garantiza que todos los requisitos, junto con su justificación asociada, la evidencia de verificación y validación y el historial de cambios, estén debidamente documentados. Esta documentación respalda las auditorías, las evaluaciones y el cumplimiento normativo, proporcionando evidencia de la debida diligencia y el cumplimiento de los estándares de seguridad y protección.

En el ámbito de los estándares de seguridad y protección integrados, la gestión eficaz de los requisitos es fundamental para garantizar el cumplimiento, mitigar los riesgos, mantener la trazabilidad, respaldar la verificación y validación, gestionar los cambios y proporcionar documentación auditable. Desempeña un papel vital en el desarrollo y mantenimiento de sistemas integrados robustos, seguros y protegidos.

Gestión de requisitos y estándares integrados

La gestión de requisitos es muy importante cuando se trata de estándares integrados de seguridad y protección, como ISO 26262 e ISO 61508. Exploremos la importancia de la gestión de requisitos en cada uno de estos estándares:

ISO 26262 (Seguridad funcional para sistemas automotrices):

ISO 26262 es un estándar internacional para la seguridad funcional en sistemas automotrices. Describe los requisitos para garantizar la seguridad de los sistemas eléctricos y electrónicos dentro de los vehículos. He aquí por qué la gestión de requisitos es crucial en el cumplimiento de la norma ISO 26262:

  1. Captura y gestión de requisitos de seguridad: La gestión de requisitos permite identificar, documentar y gestionar los requisitos de seguridad específicos de los sistemas de automoción. Garantiza que los requisitos relacionados con la seguridad se capturen, analicen y documenten adecuadamente para guiar el proceso de desarrollo.
  2. Trazabilidad y análisis de impacto: ISO 26262 requiere la trazabilidad entre los requisitos de seguridad, los elementos del sistema y las actividades de verificación. La gestión de requisitos facilita la trazabilidad al establecer vínculos claros entre los requisitos de seguridad, los elementos de diseño, los artefactos de implementación y los resultados de la verificación. Esta trazabilidad permite el análisis de impacto, la gestión de cambios y el seguimiento efectivo de las decisiones relacionadas con la seguridad a lo largo del ciclo de vida del desarrollo.
  3. Evaluación y mitigación de riesgos: ISO 26262 exige la identificación, evaluación y mitigación de los riesgos de seguridad en los sistemas automotrices. La gestión de requisitos respalda el análisis de riesgos potenciales, su asociación con los requisitos de seguridad y la formulación de medidas adecuadas de mitigación de riesgos. Garantiza que los requisitos de seguridad aborden los riesgos identificados y que su eficacia se evalúe durante el proceso de desarrollo.
  4. Planificación de la verificación y validación: La gestión eficaz de los requisitos ayuda a planificar las actividades de verificación y validación de acuerdo con los requisitos de la norma ISO 26262. Ayuda a definir las pruebas necesarias, los casos de prueba y los criterios de aceptación en función de los requisitos de seguridad. Al establecer una relación clara entre los requisitos y las actividades de verificación, la gestión de requisitos garantiza que los requisitos de seguridad se prueben y validen adecuadamente.
  5. Gestión de cambios y control de configuración: La gestión de requisitos juega un papel fundamental en la gestión de cambios y el mantenimiento del control de configuración, que son aspectos vitales del cumplimiento de la norma ISO 26262. Garantiza que los cambios en los requisitos de seguridad se evalúen, documenten y comuniquen adecuadamente. Además, ayuda a mantener la integridad de la línea base de requisitos y a administrar el control de versiones durante todo el proceso de desarrollo.

ISO 61508 (Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables relacionados con la seguridad):

ISO 61508 es un estándar que aborda la seguridad funcional en varias industrias, incluidos los sistemas de control industrial. He aquí por qué la gestión de requisitos es esencial para el cumplimiento de la norma ISO 61508:

  1. Documentación y gestión de requisitos: ISO 61508 enfatiza la necesidad de una documentación de requisitos integral y una gestión eficaz. La gestión de requisitos permite capturar, organizar y mantener los requisitos de seguridad, lo que garantiza que estén bien documentados y gestionados durante todo el ciclo de vida del desarrollo del sistema.
  2. Trazabilidad y validación: ISO 61508 requiere trazabilidad entre los requisitos de seguridad, los artefactos de diseño y las actividades de verificación. La gestión de requisitos facilita el establecimiento de vínculos de trazabilidad, asegurando que cada requisito sea abordado por elementos de diseño apropiados y que las actividades de verificación necesarias sean planificadas y ejecutadas.
  3. Análisis de riesgos y reducción de riesgos: ISO 61508 exige la identificación, el análisis y la reducción de los riesgos asociados con los sistemas relacionados con la seguridad. La gestión de requisitos apoya el análisis de riesgos, su asociación con los requisitos de seguridad y la formulación de medidas de reducción de riesgos. Garantiza que los requisitos de seguridad aborden adecuadamente los riesgos identificados y que su eficacia se evalúe durante el proceso de desarrollo.
  4. Control de configuración y gestión de cambios: La gestión de requisitos ayuda a mantener el control de la configuración y gestionar los cambios, que son esenciales para el cumplimiento de la norma ISO 61508. Garantiza que los cambios en los requisitos de seguridad se evalúen, documenten y controlen adecuadamente. Esto garantiza que se conserve la base de referencia de los requisitos de seguridad y que cualquier cambio se gestione y comunique adecuadamente.
  5. Planificación de la verificación y validación: La gestión eficaz de los requisitos ayuda a planificar las actividades de verificación y validación en función de los requisitos de seguridad especificados en la norma ISO 61508. Ayuda a definir las pruebas necesarias, los casos de prueba y los criterios de aceptación derivados de los requisitos de seguridad. Al establecer una relación clara entre los requisitos y las actividades de verificación, la gestión de requisitos garantiza que los requisitos de seguridad se prueben y validen exhaustivamente, de acuerdo con los requisitos de la norma ISO 61508.
  1. Desarrollo de casos de seguridad: ISO 61508 enfatiza el desarrollo de un caso de seguridad, que es un argumento estructurado respaldado por evidencia, que demuestra que los requisitos de seguridad se han abordado adecuadamente. La gestión de requisitos juega un papel crucial al proporcionar la documentación, la trazabilidad y las pruebas necesarias para respaldar el desarrollo del caso de seguridad, asegurando que se alinea con los requisitos y objetivos especificados por la norma.
  2. Auditoría y cumplimiento: ISO 61508 requiere que las organizaciones demuestren el cumplimiento de los requisitos de la norma. La gestión eficaz de los requisitos garantiza que los requisitos de seguridad estén bien documentados, gestionados correctamente y rastreables durante todo el proceso de desarrollo. Esta documentación y trazabilidad proporcionan evidencia auditable de cumplimiento, respaldando auditorías y evaluaciones externas.

Gestión de requisitos y estándares de aviónica

La gestión de requisitos juega un papel fundamental en el cumplimiento de los estándares de aviónica como ARP 4754 y DO-178. Exploremos la importancia de la gestión de requisitos en cada uno de estos estándares:

ARP 4754 (Directrices para el Desarrollo de Aeronaves y Sistemas Civiles):

ARP 4754 proporciona orientación para el desarrollo de aeronaves y sistemas civiles, incluidos los requisitos para la evaluación y certificación de la seguridad. Así es como la gestión de requisitos es esencial para el cumplimiento de ARP 4754:

  1. Captura y trazabilidad de requisitos: La gestión eficaz de los requisitos garantiza que todos los requisitos aplicables, incluidos los requisitos funcionales, de rendimiento y de seguridad, se capturen, documenten y vinculen adecuadamente con los elementos de diseño y las actividades de verificación correspondientes. Esta trazabilidad permite una comprensión clara de cómo se satisface cada requisito a lo largo del proceso de desarrollo.
  2. Evaluación y análisis de seguridad: ARP 4754 exige la identificación y el análisis de peligros potenciales y el desarrollo de requisitos de seguridad para mitigar esos peligros. La gestión de requisitos facilita el análisis de los requisitos relacionados con la seguridad, su asociación con los peligros identificados y la formulación de medidas de seguridad adecuadas. Ayuda a garantizar que los requisitos de seguridad aborden adecuadamente los peligros identificados y que su eficacia se evalúe durante la evaluación de la seguridad.
  3. Gestión de cambios y control de configuración: La gestión de requisitos admite la gestión de cambios en los requisitos, lo cual es crucial en el cumplimiento de ARP 4754. Permite la evaluación, documentación y control de cambios para garantizar que los requisitos críticos para la seguridad y los elementos de diseño asociados se gestionen adecuadamente. El control de la configuración garantiza que se mantenga la base de requisitos durante todo el proceso de desarrollo, lo que permite la trazabilidad y preserva la integridad del diseño del sistema.
  4. Planificación de la verificación y validación: La gestión eficaz de los requisitos ayuda a planificar las actividades de verificación y validación de acuerdo con los requisitos de ARP 4754. Ayuda a definir las pruebas necesarias, los casos de prueba y los criterios de aceptación en función de los requisitos. Al establecer la trazabilidad entre los requisitos y las actividades de verificación, la gestión de requisitos garantiza que todos los requisitos se prueben y validen adecuadamente, lo que respalda los objetivos generales de seguridad y certificación.
  5. Documentación de certificación: ARP 4754 requiere documentación completa para respaldar el proceso de certificación. La gestión de requisitos garantiza que todos los requisitos, junto con su justificación asociada, la evidencia de verificación y el historial de cambios, estén debidamente documentados. Esta documentación proporciona evidencia auditable de cumplimiento, lo que facilita el proceso de certificación y las revisiones reglamentarias.

DO-178 (Consideraciones de software en la certificación de equipos y sistemas aerotransportados):

DO-178 es un estándar que brinda orientación para el desarrollo de software aerotransportado. Se centra en los aspectos de software de los sistemas de aviónica. He aquí por qué la gestión de requisitos es crucial para el cumplimiento de DO-178:

  1. Análisis y asignación de requerimientos: La gestión de requisitos facilita el análisis y la asignación de requisitos de sistema de alto nivel a los requisitos de software. Garantiza que los requisitos de software se derivan, capturan y documentan correctamente, alineándose con los objetivos generales del sistema.
  2. Trazabilidad y análisis de impacto: DO-178 requiere trazabilidad entre los requisitos de software, los artefactos de diseño, las actividades de verificación y los casos de prueba. La gestión de requisitos permite el establecimiento de vínculos de trazabilidad, lo que garantiza que cada requisito de software se aborde mediante elementos de diseño apropiados y que se planifiquen y ejecuten las actividades de verificación necesarias. Esta trazabilidad permite el análisis de impacto, la gestión de cambios y el seguimiento efectivo de las decisiones relacionadas con el software.
  3. Gestión de cambios y control de configuración: La gestión de requisitos ayuda a gestionar los cambios en los requisitos de software. Garantiza que los cambios se evalúen, documenten y comuniquen correctamente y que su impacto en el diseño y la verificación del software se gestione de manera eficaz. El control de la configuración garantiza que se mantenga la base de referencia de los requisitos del software, lo que respalda la trazabilidad y preserva la integridad del software durante todo el proceso de desarrollo.
  4. Planificación de la verificación y validación: La gestión eficaz de los requisitos ayuda a planificar las actividades de verificación y validación en función de los requisitos de software especificados en DO-178. Ayuda a definir las pruebas necesarias, los casos de prueba y los criterios de aceptación derivados de los requisitos del software. Al establecer la trazabilidad entre los requisitos y las actividades de verificación, la gestión de requisitos garantiza que los requisitos de software se prueben y validen exhaustivamente, de acuerdo con los requisitos DO-178. Admite el desarrollo de un plan integral de verificación y validación que aborda todos los requisitos de software.
  1. Pruebas basadas en requisitos: DO-178 enfatiza la importancia de las pruebas basadas en requisitos, donde cada requisito se rastrea a uno o más casos de prueba. La gestión de requisitos permite el establecimiento de vínculos de trazabilidad entre los requisitos de software y los casos de prueba correspondientes. Esto garantiza que todos los requisitos se prueben correctamente y que la cobertura de la prueba se alinee con los requisitos de software especificados.
  2. Documentación de certificación: DO-178 requiere una extensa documentación para respaldar el proceso de certificación de software. La gestión de requisitos garantiza que todos los requisitos de software, junto con su justificación asociada, la evidencia de verificación y el historial de cambios, estén debidamente documentados. Esta documentación proporciona evidencia auditable de cumplimiento y respalda las actividades de certificación, como auditorías y revisiones.
  3. Calificación de la herramienta: DO-178 también aborda la calificación de las herramientas utilizadas en el proceso de desarrollo. La gestión de requisitos desempeña un papel en la cualificación de herramientas al garantizar que las herramientas utilizadas para la gestión de requisitos y la trazabilidad cumplan con los objetivos de cualificación de herramientas adecuados definidos por DO-178. Esto incluye verificar que las herramientas capturen, gestionen y rastreen con precisión los requisitos a lo largo del ciclo de vida del desarrollo.

Costo relativo de corregir un error en los requisitos

El costo de corregir un error en los requisitos puede variar dependiendo de varios factores. Aquí hay algunos factores que pueden influir en el costo relativo:

  1. Etapa del proyecto: El costo de corregir un error de requisitos puede ser significativamente menor si el error se identifica y corrige en una etapa temprana del ciclo de vida del proyecto, como durante la fase de recopilación y análisis de requisitos. Por otro lado, si el error se descubre durante etapas posteriores de desarrollo o después de que se haya implementado el producto, el costo de rectificarlo puede ser mucho mayor, ya que puede requerir reelaboración, cambios de diseño o incluso retiros del producto.
  2. Magnitud del error: La gravedad y el impacto del error de requisitos también afectan el costo de corregirlo. Los errores menores o las inconsistencias pueden ser relativamente fáciles y económicos de corregir, mientras que los errores mayores que afectan las funcionalidades críticas o los requisitos de seguridad pueden ser significativamente más costosos de abordar.
  3. Impacto en las actividades aguas abajo: Los errores de requisitos pueden tener un efecto dominó en las actividades de desarrollo posteriores. Si el error se propaga a través de las fases de diseño, codificación y prueba, puede dar lugar a importantes reelaboraciones y retrasos, lo que genera un aumento de los costes. Además, si el error pasa desapercibido hasta etapas posteriores del proyecto, puede requerir modificaciones en los componentes, las interfaces o la arquitectura del sistema existentes, lo que aumenta aún más el costo de la corrección.
  4. Proceso de descubrimiento y corrección: El costo de corregir un error de requisitos depende de la eficiencia y eficacia del proceso de detección y corrección. Si el error se identifica a través de revisiones exhaustivas, inspecciones o actividades de validación, se puede abordar antes, lo que reduce el costo. Por el contrario, si el error no se detecta hasta que causa problemas en el campo, el costo de solucionarlo puede ser mucho mayor, lo que podría implicar atención al cliente, retiros de productos o ramificaciones legales.
  5. Procesos organizacionales y cultura: La madurez de los procesos de gestión de requisitos de una organización y su cultura en torno a la calidad y la prevención de errores también juegan un papel. Las organizaciones con sólidas prácticas de gestión de requisitos, incluidas las revisiones por pares, las puertas de calidad y la trazabilidad, tienen más probabilidades de detectar y corregir errores de manera temprana, minimizando los costos asociados.
Solución de gestión de requisitos

Vale la pena señalar que la prevención de errores en los requisitos en primer lugar a través de una gestión eficaz de los requisitos, la participación de las partes interesadas y las actividades de validación suele ser más rentable que corregir los errores después de que se hayan propagado a las etapas posteriores de desarrollo o producción. Invertir en procesos exhaustivos de análisis, revisión y verificación de requisitos puede ayudar a identificar y abordar los errores de manera temprana, lo que reduce el costo general y el impacto en el proyecto.

Normas integradas de seguridad y protección

Los estándares de seguridad y protección integrados juegan un papel crucial para garantizar el funcionamiento confiable y seguro de los sistemas integrados. Estos estándares proporcionan pautas y requisitos para el desarrollo, la implementación y la validación de sistemas integrados seguros y críticos para la seguridad. Al adherirse a estos estándares, las organizaciones pueden mitigar los riesgos, mejorar la seguridad del sistema y protegerse contra las amenazas de seguridad. Exploremos los estándares integrados de seguridad y protección con más detalle:

Normas de seguridad integradas

Los estándares de seguridad integrados juegan un papel crucial para garantizar el funcionamiento seguro de los sistemas integrados en diversas industrias. Aquí hay algunos estándares clave de seguridad incorporados en diferentes dominios:

Gestión de pruebas

Aeroespacial (ECSS):

Los estándares ECSS (Cooperación Europea para la Estandarización Espacial) se utilizan ampliamente en la industria aeroespacial. Abarcan varios aspectos de la seguridad y la fiabilidad de los sistemas espaciales. Por ejemplo, ECSS-Q-ST-30C se centra en la gestión de la seguridad y la garantía del producto, mientras que ECSS-E-ST-40C aborda los requisitos de ingeniería de sistemas.

Aviónica (DO-178C, DO-254, DO-278, DO-160):

Los estándares de aviónica son fundamentales para el desarrollo de software y hardware críticos para la seguridad en la industria de la aviación.

  • DO-178C (Consideraciones de software en la certificación de equipos y sistemas aerotransportados) proporciona pautas para el desarrollo de software aerotransportado, incluidos los procesos de verificación y validación.
  • DO-254 (Guía de garantía de diseño para hardware electrónico aerotransportado) se enfoca en el desarrollo y certificación de hardware electrónico aerotransportado, incluidos circuitos integrados, FPGA y otros componentes electrónicos.
  • DO-278 (Software Integrity Assurance) aborda los aspectos del software de los sistemas de gestión del tráfico aéreo, incluidos los requisitos para el desarrollo y la verificación del software.
  • DO-160 (Condiciones ambientales y procedimientos de prueba para equipos aerotransportados) especifica los requisitos de prueba ambiental para equipos aerotransportados, asegurando su solidez frente a factores ambientales.

Automoción (ISO 26262):

ISO 26262 es un estándar ampliamente reconocido para la seguridad funcional en la industria automotriz. Proporciona directrices para el desarrollo de sistemas eléctricos y electrónicos relacionados con la seguridad en los vehículos. ISO 26262 cubre todo el ciclo de vida del desarrollo automotriz, incluido el análisis de peligros, la evaluación de riesgos y los requisitos de seguridad.

Automatización Industrial (IEC 61508):

IEC 61508 es un estándar general para la seguridad funcional en sistemas eléctricos, electrónicos y electrónicos programables en varias industrias, incluida la automatización industrial. Proporciona un marco para gestionar la seguridad funcional a lo largo de todo el ciclo de vida de un sistema, incluida la identificación de peligros, la evaluación de riesgos y los niveles de integridad de seguridad (SIL).

Dispositivos médicos (IEC 13485, IEC 60601-1, IEC 62304/82304):

Los dispositivos médicos requieren el cumplimiento de estándares de seguridad específicos para garantizar la seguridad del paciente y el cumplimiento normativo.

  • IEC 13485 es un estándar para el sistema de gestión de calidad de dispositivos médicos. Proporciona pautas para el diseño, desarrollo, producción y posproducción de dispositivos médicos.
  • IEC 60601-1 es un estándar para la seguridad y el rendimiento esencial de los equipos eléctricos médicos. Aborda los requisitos de seguridad eléctrica y mecánica para dispositivos médicos.
  • IEC 62304 e IEC 82304 son estándares enfocados específicamente en software en dispositivos médicos. Proporcionan orientación para los procesos del ciclo de vida del software, incluidos los requisitos, el diseño, la implementación, las pruebas y el mantenimiento.

Ferrocarriles (EN 50126/8/9, EN 50657):

Los sistemas ferroviarios requieren el cumplimiento de las normas de seguridad específicas de la industria.

  • EN 50126, EN 50128 y EN 50129 forman un conjunto de normas para el sector ferroviario. EN 50126 cubre el ciclo de vida general del sistema, EN 50128 se enfoca en el software y EN 50129 aborda los requisitos de seguridad para los sistemas de señalización.
  • EN 50657 proporciona pautas para la seguridad funcional de los sistemas eléctricos y electrónicos utilizados en aplicaciones ferroviarias.

Estos estándares ayudan a garantizar la seguridad y confiabilidad de los sistemas integrados en sus respectivas industrias, brindando pautas y requisitos para los procesos de desarrollo, validación y certificación. El cumplimiento de estos estándares es esencial para cumplir con los requisitos de seguridad específicos de la industria y garantizar el funcionamiento seguro de los sistemas integrados.

Estándares de seguridad integrados:

Los estándares de seguridad integrados desempeñan un papel fundamental para garantizar la seguridad y la resiliencia de los sistemas integrados frente a amenazas y vulnerabilidades potenciales. Estos estándares brindan pautas y mejores prácticas para implementar medidas de seguridad sólidas a lo largo del desarrollo, implementación y mantenimiento de sistemas integrados. Exploremos algunos estándares clave de seguridad integrados en diferentes dominios:

Gestión de requisitos y estándares integrados

Aviónica (DO-326A):

DO-326A es un estándar que se enfoca en los aspectos de seguridad de la aeronavegabilidad para los sistemas y componentes de aeronaves. Proporciona orientación para desarrollar un programa de seguridad, realizar evaluaciones de seguridad e implementar controles de seguridad en los sistemas de aviónica. DO-326A complementa los estándares relacionados con la seguridad como DO-178C y DO-254 en la industria de la aviación.

Automoción (ISO-21434):

ISO-21434 es un estándar publicado recientemente que aborda la ciberseguridad en la industria automotriz. Proporciona pautas y requisitos para implementar procesos de ciberseguridad a lo largo del ciclo de vida del producto automotriz, incluida la evaluación de riesgos, el análisis de amenazas, los requisitos de seguridad y la validación. ISO-21434 tiene como objetivo mejorar la resiliencia de los sistemas automotrices contra las amenazas cibernéticas y proteger la integridad y seguridad de los vehículos.

Automatización industrial (IEC-62443 – ISA Secure):

IEC-62443, también conocido como ISA Secure, es una serie integral de estándares desarrollados específicamente para la seguridad de los sistemas de control y automatización industrial (IACS). Cubre varios aspectos de la seguridad de IACS, incluida la arquitectura de red, la gestión de seguridad, el fortalecimiento del sistema, las prácticas de codificación segura y la respuesta a incidentes. IEC-62443 proporciona un enfoque sistemático para proteger los sistemas industriales de las ciberamenazas y garantizar su disponibilidad, integridad y confidencialidad.

Producto General (ISO-15408 – Criterios Comunes):

ISO-15408, también conocido como Common Criteria (CC), es un estándar internacional para evaluar y certificar la seguridad de los productos de tecnología de la información, incluidos los sistemas integrados. Proporciona un marco para evaluar las características y funciones de seguridad de los productos en función de los requisitos de seguridad predefinidos. Common Criteria permite a las organizaciones evaluar y comparar las capacidades de seguridad de diferentes productos, asegurándose de que cumplen objetivos de seguridad específicos.

TI (ISO-27001/x):

ISO-27001 es un estándar ampliamente adoptado para los sistemas de gestión de seguridad de la información (SGSI). Aunque no es específico de los sistemas integrados, proporciona un marco completo para gestionar los riesgos de seguridad en las organizaciones, incluida la protección de los sistemas integrados. ISO-27001 incluye un conjunto de controles y mejores prácticas para implementar un sistema de gestión de seguridad de la información efectivo.

ISO-27001 va acompañada de otras normas de la serie ISO/IEC 27000, como ISO-27002, que proporciona pautas para implementar controles de seguridad específicos. Estos estándares se pueden aprovechar en el desarrollo y la implementación de sistemas integrados seguros.

Estos estándares de seguridad integrados desempeñan un papel vital en la orientación de las organizaciones en la implementación de medidas de seguridad, evaluaciones de riesgos y controles para proteger los sistemas integrados de posibles amenazas. El cumplimiento de estos estándares ayuda a garantizar la confidencialidad, integridad y disponibilidad de los sistemas integrados, protegiéndolos contra violaciones de seguridad y acceso no autorizado.

Ciberseguridad para Aviónica y Automoción, Análisis de Riesgos y Trazabilidad

Ciberseguridad para Aviónica y Automoción:

La ciberseguridad es de suma importancia en las industrias de aviónica y automotriz debido a la creciente complejidad y conectividad de los sistemas integrados. Los sistemas de aviónica y automoción están cada vez más interconectados, integrando funciones como la comunicación inalámbrica, los sistemas de información y entretenimiento y los sistemas avanzados de asistencia al conductor (ADAS). Esta conectividad expone estos sistemas a posibles amenazas de ciberseguridad, incluido el acceso no autorizado, las filtraciones de datos y los ataques maliciosos.

Para abordar la ciberseguridad en la aviónica y los sistemas automotrices, se han desarrollado marcos y estándares específicos de la industria, como DO-326A para aviónica e ISO-21434 para automoción. Estos estándares brindan orientación sobre la realización de evaluaciones de riesgos, la definición de requisitos de seguridad, la implementación de controles de seguridad y el establecimiento de procesos para el desarrollo y mantenimiento seguros de sistemas integrados.

Análisis de riesgo:

El análisis de riesgos es un aspecto fundamental de la ciberseguridad. Implica identificar riesgos y vulnerabilidades potenciales, evaluar su probabilidad e impacto y priorizarlos para su mitigación. En el contexto de la aviónica y los sistemas automotrices, el análisis de riesgos ayuda a identificar las amenazas potenciales a la seguridad cibernética y su impacto potencial en la seguridad del sistema, la funcionalidad y la privacidad del usuario.

El proceso de análisis de riesgos normalmente implica los siguientes pasos:

  1. Identificación de amenazas: Identificar amenazas y vulnerabilidades potenciales que pueden explotarse para comprometer la seguridad del sistema. Esto incluye considerar amenazas tanto internas como externas, como ataques maliciosos, vulnerabilidades de software y manipulación física.
  2. Evaluación de vulnerabilidad: Evaluar las vulnerabilidades y debilidades del sistema que podrían ser aprovechadas por las amenazas identificadas. Esto implica evaluar la postura de seguridad del sistema, incluido el software, el hardware, la red y las interfaces de comunicación.
  3. Evaluación de probabilidad: Evaluar la probabilidad de que ocurra cada amenaza identificada. Esto implica considerar factores como la exposición del sistema a amenazas potenciales, la sofisticación de los atacantes potenciales y los datos o tendencias históricos.
  4. Análisis de impacto: Analizar las posibles consecuencias y el impacto de los ataques exitosos o las infracciones de seguridad en el sistema, incluidos los riesgos de seguridad, las pérdidas financieras, el daño a la reputación y las preocupaciones sobre la privacidad del usuario.
  5. Priorización de riesgos: Priorizar los riesgos en función de su probabilidad e impacto para determinar las áreas críticas que requieren atención inmediata y esfuerzos de mitigación.

Trazabilidad:

La trazabilidad es esencial para garantizar la seguridad y la integridad de los sistemas de aviónica y de automoción. Se refiere a la capacidad de rastrear y documentar las relaciones y dependencias entre varios elementos del sistema, incluidos los requisitos, los artefactos de diseño, el código de implementación y los casos de prueba. La trazabilidad proporciona una vista transparente de cómo se implementan los requisitos de seguridad a lo largo del ciclo de vida del desarrollo del sistema.

En el contexto de la ciberseguridad, la trazabilidad ayuda a:

  1. Trazabilidad de requisitos: Vincular los requisitos de seguridad con los requisitos del sistema de nivel superior y las especificaciones de diseño para garantizar que las medidas de seguridad se definan e implementen correctamente.
  2. Trazabilidad del diseño: Rastrear las características y controles de seguridad desde la fase de diseño hasta la etapa de implementación, asegurando que el sistema se construya de acuerdo con los requisitos de seguridad definidos.
  3. Pruebas de trazabilidad: Establecer la trazabilidad entre los casos de prueba de seguridad y los requisitos de seguridad correspondientes y los elementos de diseño para verificar la eficacia de los controles de seguridad y garantizar una cobertura integral de las pruebas.

La trazabilidad ayuda a identificar posibles brechas, inconsistencias o medidas de seguridad faltantes durante el proceso de desarrollo del sistema. También facilita auditorías, evaluaciones de vulnerabilidad y futuras actualizaciones o modificaciones del sistema al proporcionar una comprensión clara de las medidas de seguridad implementadas.

Definición de requisitos de ciberseguridad

DO-326A

DO-326A, la "Especificación del proceso de seguridad de la aeronavegabilidad", brinda orientación para abordar la seguridad cibernética en los sistemas de aviónica. Si bien DO-326A se enfoca principalmente en el aspecto de aeronavegabilidad, brinda orientación sobre la definición de los requisitos de seguridad cibernética para los sistemas de aviónica. El estándar enfatiza la importancia de realizar evaluaciones de riesgos, identificar objetivos de seguridad y desarrollar un plan de seguridad que incluya requisitos de seguridad específicos.

El objetivo principal de DO-326A es garantizar la seguridad de los sistemas de aeronaves contra amenazas cibernéticas. Reconoce que los sistemas de aviación están cada vez más interconectados y son susceptibles a los ataques cibernéticos, que pueden comprometer la seguridad, la integridad y la disponibilidad de la aeronave.

DO-326A sugiere las siguientes consideraciones al definir los requisitos de ciberseguridad:

  1. Identificar activos críticos y componentes del sistema que necesitan protección contra amenazas de ciberseguridad.
  2. Establecimiento de objetivos de seguridad y niveles de tolerancia al riesgo.
  3. Definición de los requisitos de seguridad relacionados con la comunicación segura, los controles de acceso, la seguridad del software y las prácticas de desarrollo seguras.
  4. Incorporar controles de seguridad que aborden riesgos específicos identificados durante el proceso de evaluación de riesgos.
  5. Garantizar la compatibilidad e interoperabilidad de las medidas de ciberseguridad con los sistemas y arquitecturas de aeronaves existentes.
  6. Proporcionar trazabilidad entre los requisitos de ciberseguridad y otros artefactos del sistema.

DO-326A destaca la importancia de adaptar los requisitos de seguridad cibernética en función de las características del sistema, el contexto operativo y las amenazas potenciales. Alienta a las organizaciones a adoptar un enfoque sistemático para definir e implementar los requisitos de seguridad cibernética, alineándose con otros estándares y mejores prácticas relevantes.

ISO 21434

ISO 21434 es una norma internacional titulada "Vehículos de carretera: ingeniería de ciberseguridad". Proporciona pautas y requisitos para gestionar los riesgos de ciberseguridad en la industria automotriz. El estándar tiene como objetivo garantizar la seguridad y la resiliencia de los sistemas automotrices contra las ciberamenazas a lo largo de su ciclo de vida.

ISO 21434 reconoce la creciente conectividad y complejidad de los sistemas automotrices, incluidos los sistemas avanzados de asistencia al conductor (ADAS), los sistemas de infoentretenimiento y la comunicación de vehículo a vehículo. Estos avances generan nuevos desafíos y riesgos de ciberseguridad que deben abordarse para salvaguardar la integridad, la seguridad y la privacidad de los vehículos y sus ocupantes.

Cuando se trata de definir los requisitos de ciberseguridad, la norma ISO 21434 ofrece valiosas orientaciones y consideraciones:

  1. Evaluación de riesgos: ISO 21434 enfatiza la realización de una evaluación integral de riesgos para identificar posibles amenazas y vulnerabilidades de seguridad cibernética específicas de los sistemas automotrices. Esto incluye considerar los posibles impactos en la seguridad, la privacidad y la funcionalidad del sistema.
  2. Objetivos de seguridad: El estándar enfatiza la definición de objetivos de seguridad claros y medibles basados ​​en los riesgos identificados y la tolerancia al riesgo de la organización. Estos objetivos deben alinearse con el nivel deseado de protección y los requisitos específicos del sistema automotriz.
  3. Requerimientos de seguridad: ISO 21434 guía a las organizaciones en la definición de requisitos de seguridad específicos para sistemas automotrices. Estos requisitos cubren varios aspectos, como protocolos de comunicación seguros, prácticas de desarrollo de software seguro, mecanismos de control de acceso, criptografía, detección de intrusos y respuesta a incidentes.
  4. Seguridad por diseño: ISO 21434 promueve la integración de las consideraciones de seguridad a lo largo de todo el ciclo de vida del desarrollo, siguiendo un enfoque de "seguridad por diseño". Esto incluye considerar los aspectos de seguridad durante la arquitectura del sistema, la selección de componentes, los procesos de desarrollo y las interfaces.
  5. Cumplimiento y Auditoría: ISO 21434 enfatiza la importancia del cumplimiento de los reglamentos y normas pertinentes. Alienta a las organizaciones a definir los requisitos de seguridad cibernética que se alinean con los estándares y las mejores prácticas específicas de la industria. La norma también destaca la necesidad de procesos de auditoría y verificación para garantizar el cumplimiento de los requisitos definidos.
  6. Colaboración e intercambio de información: ISO 21434 fomenta la colaboración y el intercambio de información entre las partes interesadas involucradas en el desarrollo, fabricación y mantenimiento de sistemas automotrices. Esto promueve un enfoque holístico de la ciberseguridad y permite el intercambio de conocimientos y mejores prácticas.

Siguiendo la guía proporcionada por la norma ISO 21434, las organizaciones de la industria automotriz pueden definir requisitos sólidos de ciberseguridad que aborden los desafíos y riesgos únicos asociados con los sistemas automotrices. Estos requisitos sirven como base para diseñar, implementar y verificar la efectividad de las medidas de ciberseguridad en los sistemas automotrices, lo que ayuda a mejorar la postura de seguridad general y la resiliencia de los vehículos.

Requisitos de visualización Plataforma ALM

Con sus herramientas sofisticadas, Visure Solutions permite a las empresas desarrollar mejores productos/servicios rápidamente mientras mantienen el control y cumplen con todas las reglamentaciones. También ayuda a las organizaciones a reducir el tiempo de comercialización, mejorar los estándares de calidad, aumentar la eficiencia operativa y acelerar el tiempo de comercialización de manera efectiva. Además, ofrece una gama de soluciones específicas del sector para industrias como la automotriz, aeroespacial y de defensa, telecomunicaciones y electrónica, tecnología médica, energía y servicios públicos, y finanzas. Esto facilita que las empresas accedan a la experiencia que necesitan sin tener que invertir en recursos adicionales o capacitar al personal. Visure Solutions es la herramienta perfecta para ayudar a las empresas a aprovechar al máximo su ciclo de vida de entrega de productos y servicios.

Lista de verificación automatizada de Visure hace que sea fácil administrar el cumplimiento sin todas las molestias manuales; realice un seguimiento de todo, para que pueda concentrarse en lo que es importante. De esta manera, puede basar su diseño y mejora de su proceso de revisión en torno a estas listas de verificación, que se sabe que son más confiables.

En otras palabras, al usar nuestro producto, podrá aumentar la productividad y la alineación entre los miembros del equipo. Esto se hace a través de funciones como la trazabilidad de extremo a extremo, la reutilización de requisitos para diferentes proyectos y la medición de la calidad de los requisitos con IA, todo automáticamente.

En Visure, también entendemos lo difícil que es para las organizaciones tecnológicas energéticas mantenerse al día con la era digital y al mismo tiempo utilizar herramientas heredadas. Es por eso que hemos convertido en una prioridad para nosotros incluir funciones fáciles de importar y exportar de herramientas heredadas como IBM DOOR, así como una función de migración simple.

Además, con Visure puede utilizar las mejores funciones de importación y exportación de MS Office Word y Excel. También puede promover la colaboración en toda la cadena de suministro mediante el uso de ReqIF para intercambio de datos, un estándar internacional.

Al acceder a estas funciones e integraciones con soluciones industriales de primer nivel, puede ahorrar tiempo al evitar la necesidad de volver a trabajar manualmente los requisitos a través de múltiples interacciones de ida y vuelta. Este proceso es sin pérdidas y sin duplicados. Con nuestra plataforma, puede verificar que se cumplan todos los requisitos, sin importar de dónde vengan.

Visure también ayuda a simplificar el proceso de creación de productos complejos y de alta calidad en la industria del petróleo y el gas con requisitos verificados y validados para ayudarlo a cumplir con los requisitos reglamentarios aplicables al combinar análisis de riesgos y gestión de requisitos en una única solución.

El uso del análisis de efectos y modos de falla (FMEA) le permite estimar con precisión el riesgo asociado con las métricas de FMEA. Una vez que identifique los riesgos con sus herramientas de análisis de riesgos, puede importar los resultados a Visure y vincular los requisitos de alto riesgo a los siguientes.

Esta plataforma ayuda a las organizaciones a ahorrar tiempo y dinero, al mismo tiempo que garantiza que sus proyectos cumplan con los estándares de la industria. Proporciona un conjunto integral de características que permiten a los equipos rastrear y monitorear rápidamente los cambios a lo largo del proceso de desarrollo. Además, ayuda a garantizar el cumplimiento de las normas y los organismos reguladores, lo que permite que las empresas de petróleo y gas sigan siendo competitivas en el mercado actual. La plataforma ALM de requisitos de Visure es una herramienta invaluable para cualquier organización que busque optimizar los procesos y garantizar que se cumplan todos los requisitos del proyecto.

¡No olvides compartir esta publicación!

Software de puertas racionales de IBM
Notable

Simplificación de la gestión y validación de requisitos

11 julio,2024

10 a. m. EST | 4:7 horas (hora central europea) | XNUMX a. m. hora del Pacífico

Luis Arduin

Luis Arduin

Consultor sénior, Soluciones Visure

Thomas Dirsch

Consultor senior de calidad de software, Razorcat Development GmbH

Un enfoque integrado con Visure Solutions y Razorcat Development TESSY

Aprenda cómo optimizar la gestión y validación de requisitos para obtener los mejores resultados.