Para mantener una visión clara e integral de las políticas de seguridad a definir, es útil establecer un plan de seguridad que ofrezca un marco de guías generales para tales políticas. De esta forma, las políticas individuales serán consistentes con toda la arquitectura de seguridad
Un plan de seguridad debe definir:
- La lista de servicios que serán ofrecidos por la red de la organización
- Qué áreas de la organización proveerán tales servicios
- Quién tendrá acceso a esos servicios
- Cómo será provisto el acceso
- Quién administrará esos servicios
- Cómo serán manejados los incidentes
...entre otros.
Al igual que un plan de seguridad ofrece un marco de diseño para una política de seguridad, éstas se definen a diferentes niveles de especificación o abstracción lo que ofrece una visión más clara y coherente del esquema de seguridad completo resultante. Cada iteración o nivel, especifica requerimientos de seguridad más detallados enfocados en diferentes aspectos. Las diferentes políticas se refieren a: seguridad del sitio, acceso a servicios de red, diseño del firewall, políticas específicas del sistema.
Política de seguridad del sitio
La política de seguridad del sitio es una política global destinada a la protección de los recursos de información de la organización. Incluye desde escáners hasta el acceso remoto a unidades de discos. Es una política de alto nivel que especifica lineamientos y requerimientos generales como por ejemplo:
- La información es vital para la economía de la organización
- Se realizará todo esfuerzo rentable para asegurar la confidencialidad, integridad, autenticidad, disponibilidad y utilidad de la información,
- La protección de la confidencialidad, integridad, y disponibilidad de recursos de información es prioridad de todos los empleados en todos los niveles de la compañía
A partir de esta política de seguridad surgen políticas específicas del sitio que cubren el acceso físico a la propiedad, acceso general a sistemas de información y acceso específico a los servicios de esos sistemas. La política de acceso a servicios de red es formulada en este nivel.
Política de Acceso a Servicios de Red
La Política de Acceso a Servicios de Red es una política de alto nivel, específica de alguna característica; define aquellos servicios que serán permitidos o explícitamente denegados de la red privada, la forma en la que estos servicios serán usados y las condiciones de las excepciones a esta política.
Se enfoca en la restricción y uso de los servicios de la red interna, también incluye todos los otros accesos externos a la red tales como accesos telefónicos y conexiones SLIP y PPP. Esto es importante ya que algunas restricciones en el acceso a los servicios de la red puede llevar a los usuarios a tratar de utilizar otros que pueden crear puntos débiles de acceso a ataques.
Esta política debe ser diseñada antes de que el firewall sea implementado. La política debe ser realista y sólida. Una política realista provee un balance entre proteger a la red de riesgos conocidos y proveer al usuario acceso razonable a los recursos de la red. Una política sólida restringe los servicios previendo todos los posibles puntos de acceso a tal servicio.
Una medida común asumida por una política de acceso a servicios de red es restringir el acceso a un sitio desde Internet, pero permitir el acceso desde el sitio a Internet, o permitir acceso desde Internet sólo a algunos sistemas seleccionados. Éste último tipo de acceso debe ser permitido sólo si es necesario y debe ser combinado con características de autenticación avanzada.
Política de Diseño de Firewall
Es una política de bajo nivel que describe cómo el firewall controlará el acceso a los servicios restringidos como se definió en la política de acceso a servicios de red.
La política de diseño es específica de cada firewall. Define las reglas utilizadas para implementar la política de acceso a servicios de red. Debe ser diseñada en relación a, y con completo conocimiento de características tales como las limitaciones y capacidades del firewall, y las amenazas y vulnerabilidades asociadas con las tecnologías utilizadas (como TCP/IP). Los firewalls generalmente implementan una de dos políticas de diseño básicas:
- Permitir todo servicio, a menos que sea expresamente restricto, o
- Denegar todo servicio, a menos que sea expresamente permitido.
La primer política es menos deseable, ya que ofrece más vías por las cuales puede accederse a un servicio, evitando el firewall, mientras que la segunda es más fuerte y segura, aunque es más restrictiva para los usuarios. Ésta última es la clásicamente usada en todas las áreas de seguridad de la información.
Por lo tanto, dependiendo de los requerimientos de seguridad y flexibilidad, ciertos tipos de firewalls son más apropiados que otros, haciendo muy importante que la política sea considerada antes de implementar un firewall. De otra forma, el firewall podría no cubrir las funcionalidades esperadas.
Políticas específicas del sistema
Es implementada por el sistema mediante el uso de funciones de control de acceso. Generalmente establece el permiso de acceso a ciertos recursos para ciertos individuos de la organización.
Para ser efectiva, una política requiere visibilidad, lo que favorece a la implementación de la misma ayudando a asegurar que sea comunicada a través de la toda la organización. Además, debe ser integrada y consistente con otras directivas existentes, leyes, guías, procedimientos, y la misión global de la empresa.