El término política de seguridad se suele definir como el
conjunto de requisitos definidos por los responsables directos o indirectos
de un sistema que indica en términos generales qué está y qué no está
permitido en el área de seguridad durante la operación general de dicho
sistema ([Org88]). Al tratarse de `términos generales', aplicables
a situaciones o recursos muy diversos, suele ser necesario refinar los
requisitos de la política para convertirlos en indicaciones precisas
de qué es lo permitido y lo denegado en cierta parte de la operación del
sistema, lo que se denomina política de aplicación específica
([MPS$^+$93]).
Una política de seguridad puede ser prohibitiva, si todo lo que
no está expresamente permitido está denegado, o permisiva, si todo
lo que no está expresamente prohibido está permitido. Evidentemente la
primera aproximación es mucho mejor que la segunda de cara a mantener la
seguridad de un sistema; en este caso la política contemplaría todas
las actividades que se pueden realizar en los sistemas, y el resto - las no
contempladas - serían consideradas ilegales.
Cualquier política ha de contemplar seis elementos claves en la seguridad
de un sistema informático ([Par94]):
- Disponibilidad
Es necesario garantizar que los recursos del sistema se encontrarán
disponibles cuando se necesitan, especialmente la información crítica.
- Utilidad
Los recursos del sistema y la información manejada en el mismo ha de ser
útil para alguna función.
- Integridad
La información del sistema ha de estar disponible tal y como se almacenó
por un agente autorizado.
- Autenticidad
El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los
usuarios la del sistema.
- Confidencialidad
La información sólo ha de estar disponible para agentes autorizados,
especialmente su propietario.
- Posesión
Los propietarios de un sistema han de ser capaces de controlarlo en todo
momento; perder este control en favor de un usuario malicioso compromete la
seguridad del sistema hacia el resto de usuarios.
Para cubrir de forma adecuada los seis elementos anteriores, con el objetivo
permanente de
garantizar la seguridad corporativa, una política se suele dividir en
puntos más concretos a veces llamados normativas (aunque las
definiciones concretas de cada documento que conforma la infraestructura de
nuestra política de seguridad - política, normativa, estándar,
procedimiento operativo...- es algo en lo que ni los propios expertos se
ponen de acuerdo). El estándar ISO 17799 ([Sta00]) define las siguientes
líneas de actuación:
- Seguridad organizacional.
Aspectos relativos a la gestión de la seguridad dentro de la organización
(cooperación con elementos externos, outsourcing, estructura del
área de seguridad...).
- Clasificación y control de activos.
Inventario de activos y definición de sus mecanismos de control, así
como etiquetado y clasificación de la información corporativa.
- Seguridad del personal.
Formación en materias de seguridad, clausulas de confidencialidad, reporte
de incidentes, monitorización de personal...
- Seguridad física y del entorno.
Bajo este punto se engloban aspectos relativos a la seguridad física de los
recintos donde se encuentran los diferentes recursos - incluyendo los humanos
- de la organización y de los sistemas en sí, así como la
definición de controles genéricos de seguridad.
- Gestión de comunicaciones y operaciones.
Este es uno de los puntos más interesantes desde un punto de vista
estrictamente técnico, ya que engloba aspectos de la seguridad relativos a
la operación de los sistemas y telecomunicaciones, como los controles de
red, la protección frente a malware, la gestión de copias de
seguridad o el intercambio de software dentro de la organización.
- Controles de acceso.
Definición y gestión de puntos de control de acceso a los recursos
informáticos de la organización: contraseñas, seguridad perimetral,
monitorización de accesos...
- Desarrollo y mantenimiento de sistemas.
Seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de
software...
- Gestión de continuidad de negocio.
Definición de planes de continuidad, análisis de impacto, simulacros de
catástrofes...
- Requisitos legales.
Evidentemente, una política ha de cumplir con la normativa vigente en el
país donde se aplica; si una organización se extiende a lo largo de
diferentes paises, su política tiene que ser coherente con la normativa
del más restrictivo de ellos. En este apartado de la políica se
establecen las relaciones con cada ley: derechos de propiedad intelectual,
tratamiento de datos de carácter personal, exportación de cifrado...
junto a todos los aspectos relacionados con registros de eventos en los
recursos (logs) y su mantenimiento.
© 2002 Antonio Villalón Huerta