Tactics selection poker, TaSPeR technique for selecting tactics of software architecture by consensus (a security approach)

Abstract

Construir software seguro requiere tomar decisiones de diseño que permitan cumlir los requerimientos de seguirdad deseados; estas decisiones deben realizarse detenidamente antes de ser establecidas, lo anterior debido a que un mal diseño podría impactar gravemente el resultado final de un sistema, afectando los objetivos esperados. Respecto al punto anterior, son los arquitectos quienes suelen tomar estas resoluciones, basándose tanto en sus experiencias como en el uso de diferentes técnicas de arquitectura, como por ejemplo el uso de tácticas de arquitectura de software; por otro lado, los desarrolladores también ejecutan acciones claves al desarrollar el software, sin embargo es posible que estos no consideren de forma sistemática y primordial la importancia de un diseño seguro desde el punto de vista de las decisiones de diseño. El trabajo realizado en esta tesis presenta la Técnica TaSPER (Security Tactics Selection Poker), técnica consensuada basada en Planning Poker, la cual permite que todas las peronas involucradas en un desarrollo de software puedan identificar, argumentar, discutir y seleccionar las tácticas de seguridad para el desarrollo de arquitectura de acuerdo a los objetivos, requerimientos y prioridades establecidas. Para lograr esto, primero se realizó un estudio de caso a un grupo de nueve profesionales de la Armada de Chile, para luego desarrollar un estudio experimental el cual consideró cinco etapas: definición, planificación, evaluación, ejecución y análisis. Para ello, se realizaron dos pre-experimentos con estudiantes de pregrado y postgrado en diferentes universidades y finalmente, se ejecutó un experimento con veinte profesionales del Programa del Magíster en TI con el objeto de evualuar la efectividad de la técnica en varios escenarios. Los resultados muestran que la técnica TaSPeR apoya la toma de decisiones arquitectónicas colaborativas, formenta la participación de los diferentes involucrados y genera una dinámica grupal sobre cómo actuar contra las amenazas. Al mismo tiempo, se pudo determinar que la técnica propuesta permite decisiones más cercanas a Ground Truth (establecido por expertos) en comparación con decisiones individuales tomadas por los participantes. Por tanto, el uso de una técnica consensuada para la evualuación de arquitecturas parece ser un enfoque prometedor para establecer de forma grupal la seguridad en el desarrollo de software.