¿Que es una Política de Seguridad?
Las decisiones en cuanto a medidas de seguridad para un sitio determinan, obviamente, que tan segura será la red y, además, qué nivel de funcionalidad ofrecerá y qué tan fácil será de usar.
Estas decisiones deben ser antecedidas por la determinación de los objetivos de seguridad, que permitirán resolver la selección de las herramientas que harán efectivos tales objetivos. Estos objetivos serán diferentes para cada organización porque dependen de sus necesidades. Están muy relacionados con algunos puntos de equilibrio claves tales como:
Servicios ofrecidos vs. La seguridad provista: cada servicio ofrecido a un usuario tiene su propio riesgo de seguridad.
Facilidad de uso vs. Seguridad: un sistema muy fácil de usar permitirá el acceso a casi todos los usuarios y por lo tanto serán menos seguro.
Costo de la seguridad vs. Riesgo de pérdida: existen muchos costos de seguridad: monetarios, de desempeño y facilidad de uso. Los riesgos de pérdida pueden ser de privacidad, de datos, y servicios. Cada tipo de costo debe ser balanceado con respecto a cada tipo de perdida.
Una vez definidos los objetivos, deben ser comunicados a todos los usuarios de la red de la organización e implementados a través de un conjunto de reglas de seguridad, llamadas “política de seguridad”.
“Una política de seguridad es un enunciado formal de las reglas que los usuarios que acceden a los recursos de la red de una organización deben cumplir” [RFC-2196].
El objetivo principal del uso de una política de seguridad es:
- Informar a los usuarios de la red sus obligaciones para proteger a los recursos de la red.
- Especificar los mecanismos a través de los cuales estos requerimientos pueden ser logrados.
- Proveer una guía que permitirá implementar, configurar y controlar los sistemas de la red para determinar su conformidad con la política.
Una política de seguridad debe asegurar cuatro aspectos fundamentales en una solución de seguridad: autenticación, control de acceso, integridad y confidencialidad. A partir de estos, surgen los principales componentes de una política de seguridad:
Una política de privacidad: define expectativas de privacidad con respecto a funciones como monitoreo, registro de actividades y acceso a recursos de la red.
Una política de acceso: que permite definir derechos de acceso y privilegios para proteger los objetivos clave de una perdida o exposición mediante la especificación de guías de uso aceptables para los usuarios con respecto a conexiones externas, comunicación de datos, conexión de dispositivos a la red, incorporación de nuevo software a la red, etc.
Una política de autenticación: que establece un servicio de confiabilidad mediante alguna política de contraseñas o mecanismos de firmas digitales, estableciendo guías para la autenticación remota y el uso de dispositivos de autenticación.
Un sistema de IT (tecnología de la información) y una política de administración de la red: describe como pueden manipular la tecnologías los encargados de la administración interna y externa. De aquí surge la consideración de si la administración externa será soportada y, en tal caso, como será controlada.
Al diseñar la política de seguridad de una red se deben responder algunas cuestiones claves para poder llevar a cabo una sólida definición. Las preguntas básicas sobre la cual desarrollar la política de seguridad son las siguientes:
- ¿Que recursos se tratan de proteger? (objetivos clave)
- ¿De quién se trata de proteger los recursos?
- ¿Cuáles y cómo son son las amenazas que afectan a tales recursos?
- ¿Qué tan importante es el recurso?
- ¿Qué medidas pueden ser implementadas para proteger el recurso?
- ¿Cuál es el costo de tal medida y en qué tiempo puede ser implementada?
- ¿Quién autoriza a los usuarios?
Las empresas y organizaciones raramente mantienen sus servicios constantes, sino que continuamente introducen nuevas tecnologías para mejorarlos. Es por esto que tales cuestiones (y por tanto, la política de seguridad) deben ser revisadas periódicamente para adaptarse a las necesidades de seguridad reales, ya que la introducción o modificación de algún recurso puede generar fallas en la arquitectura de seguridad actual.
Análisis de riesgo
En cuanto a la tarea de determinar dónde se requiere enfocar las decisiones (1 y 2) se puede lograr mediante un Análisis de Riesgo que permite determinar qué se necesita proteger, de qué protegerlo, y cómo protegerlo. Es decir, se examinan todos los riesgos posibles y se clasifican por nivel de severidad. Dos de los elementos importantes del análisis de riesgo son: la identificación de los objetivos clave e identificación de las amenazas.
Identificar los objetivos clave
Se debe identificar todo aquello que será protegido, es decir, que puedan ser afectadas por un problema de seguridad. Entre algunas de las más importantes encontramos:
Hardware: Unidades de procesamiento, terminales, impresoras, unidades de almacenamiento, servidores, routers, etc.
Software: Programas fuentes, utilidades, sistemas operativos, etc.
Datos: archivos en línea, bases de datos, datos siendo trasmitidos por algún medio, etc.
Identificar las amenazas
Consiste en determinar aquellas amenazas que afecten los objetivos clave a ser protegidos. Pueden ser examinadas considerando el potencial de perdida existente. Las amenazas a considerar dependerán de las características del sitio y servicios a ofrecer, sin embargo existen algunas amenazas comunes que deben ser consideradas:
- Acceso no autorizado a recursos y/o información
- Exposición no autorizada de información
- Ataques de Rechazo del servicio (DoS – Denial of Service)