Por motivos que no viene al caso, últimamente mi carrera profesional se ha encauzado más por la parte de desarrollo que por la de seguridad, pero desde luego ambas cosas no son excluyentes. Todo desarrollo, además de muchas otras características, debe ser seguro. Para esto se han establecido estándares de seguridad para el desarrollo. El más aceptado de estos estándares es el Common Criteria (CC). En el se han definido 7 niveles con el que medir la seguridad de las aplicaciones. Estos niveles se conocen como Evaluation Assurance Levels (EAL) y con una numeración del 1 al 7, siendo el nivel 1 el más bajo y el 7 el más alto.

Por hacernos una idea de la dimensión de los niveles, el nivel 4 sería el más adecuado para un software comercial, a pesar de esto, muy pocos sistemas cumplen este nivel. A continuación, vamos a comentar por encima los distintos niveles.

EAL 1: Para cumplirlo solo se requiere que el sistema funcione, pero en el no se ha aplicado ningún tipo de seguridad por considerarse que el software no tiene riesgo de amenaza.

EAL 2: El producto software desarrollado exige buenas prácticas de diseño, pero la seguridad no se ha considerado prioritaria.

EAL 3: Una aplicación a la que se le han aplicado mecanismos de seguridad para alcanza un nivel de seguridad moderado.

EAL 4: Para alcanzar este nivel, se requiere ya un estudio detallado de la seguridad y métodos de ingeniería de seguridad.

EAL 5: Se buscan altos niveles de seguridad. El equipo de ingeniería de seguridad debe trabajar desde el primer día con el de desarrollo. Para alcanzar este nivel se tienen que haber tenido en cuenta condiciones especiales sobre la seguridad no solo las básicas habituales.

EAL 6: Proporciona elevados mecanismos de protección contra riesgos importantes y tiene una amplia seguridad frente a ataques de penetración.

EAL 7: Este es el último nivel, y se debe poseer un nivel extraordinariamente alto de seguridad. Para alcanzar este nivel hacen falta pruebas, medidas y un test de seguridad de la aplicación realizado por terceros.

El post solo pretende ser una pequeñísima introducción a los diferentes niveles, ya que entrar en profundidad en uno o todos los niveles requeriría de una extensión muy elevada. Espero que os sirva, al menos, para conocer la existencia de los niveles y como son cada uno de ellos. Nos vemos.