Security System Development Life Cycle (SecSDLC) se define como el conjunto de procedimientos que se ejecutan en una secuencia en el ciclo de desarrollo de software (SDLC). Está diseñado de tal manera que puede ayudar a los desarrolladores a crear software y aplicaciones de una manera que reduzca significativamente los riesgos de seguridad en etapas posteriores desde el principio. El Ciclo de Vida de Desarrollo de Sistemas de Seguridad (SecSDLC) es similar al Ciclo de Vida de Desarrollo de Software (SDLC), pero difieren en cuanto a las actividades que se llevan a cabo en cada fase del ciclo. SecSDLC elimina las vulnerabilidades de seguridad. Su proceso implica la identificación de ciertas amenazas y los riesgos que imponen en un sistema, así como la implementación necesaria de controles de seguridad para contrarrestar, eliminar y gestionar los riesgos involucrados. Mientras que, en el proceso SDLC, el enfoque está principalmente en los diseños e implementaciones de un sistema de información. Las fases involucradas en SecSDLC son:
- Investigación del Sistema: Este proceso es iniciado por los funcionarios/directivos que trabajan en la alta dirección de la organización. Los objetivos y metas del proyecto son considerados previamente para ejecutar este proceso. Se define una Política de Seguridad de la Información que contiene las descripciones de las aplicaciones y programas de seguridad instalados junto con sus implementaciones en el sistema de la organización.
- Análisis del sistema: en esta fase, se realiza un análisis detallado de los documentos de la fase de investigación del sistema. Se analizan las políticas de seguridad, las aplicaciones y el software ya existentes para detectar diferentes fallas y vulnerabilidades en el sistema. También se analizan las posibilidades de amenazas futuras. La gestión de riesgos se incluye únicamente en este proceso.
- Diseño Lógico: La fase de Diseño Lógico se ocupa del desarrollo de herramientas y los siguientes planos que están involucrados en varias políticas de seguridad de la información, sus aplicaciones y software. También se redactan políticas de copia de seguridad y recuperación con el fin de prevenir futuras pérdidas. En caso de cualquier siniestro, también se planifican los pasos a seguir en los negocios. En esta fase se decide la decisión de externalizar el proyecto de la empresa. Se analiza si el proyecto se puede realizar en la propia empresa o hay que enviarlo a otra empresa para la tarea concreta.
- Diseño Físico: Los equipos técnicos adquieren las herramientas y planos necesarios para la implementación del software y aplicación del sistema de seguridad. Durante esta fase, se investigan diferentes soluciones para cualquier problema imprevisto que pueda surgir en el futuro. Se analizan y anotan para cubrir la mayoría de las vulnerabilidades que se pasaron por alto durante la fase de análisis.
- Implementación: La solución decidida en las fases anteriores se hace definitiva ya sea que el proyecto sea interno o subcontratado. Se proporciona la documentación adecuada del producto para cumplir con los requisitos especificados para el proyecto a cumplir. El proceso de implementación e integración del proyecto se lleva a cabo con la ayuda de varios equipos que prueban agresivamente si el producto cumple con los requisitos del sistema especificados en la documentación del sistema.
- Mantenimiento: Después de la implementación del programa de seguridad, se debe asegurar que esté funcionando correctamente y se gestione en consecuencia. El programa de seguridad debe mantenerse actualizado en consecuencia para contrarrestar las nuevas amenazas que pueden pasar desapercibidas en el momento del diseño.
Estos son los pasos que intervienen en el ciclo SecSDLC con su breve descripción.