ESTRUCTURA
DE LAS POLÍTICAS DE SEGURIDAD
ESTRUCTURA
DE LAS POLÍTICAS DE SEGURIDAD
IMPLEMENTACIÓN DE POLÍTICAS DE SEGURIDAD
En toda política de seguridad se tendrán en cuenta los siguientes ítems los cuales servirán de referencia en la etapa de gestión de políticas.
Identificativo (codigoPolitica)
El identificativo debe corresponder a una estructura de codificación que le permita al administrador del sistema realizar operaciones de consulta, búsquedas, modificaciones, etc. de una forma sencilla dentro de la base de datos que contiene la información correspondiente las políticas de seguridad. Dependiendo del manejador de bases de datos, este identificativo debe constituirse en la clave primaria para los registros correspondientes a cada política, y puede ser incremental, auto-incremental, o con contenido administrativo.
Por facilidad de administración, este nombre debe ser sencillo, conciso y concreto de tal manera que en la implementación del sistema de protección, pueda realizarse una referencia a un objeto de tipo política que contenga la información necesaria para ejecutar el control necesario de dicha directiva de seguridad. La sencillez de este denominativo también permitirá mayor eficiencia en la transacción de datos entre el gestor y el agente, además de facilitar las operaciones realizadas por el manejador de la base de datos.
Esta información permite tener un registro preciso de cada política que se desea implementar, como la fecha de creación, duración (si la política lo requiere), fecha de expiración (si la política lo requiere), estado de la política (activa/inactiva). La información detallada le permitirá al administrador llevar un control total de sus funciones de gestión, además de facilitar la elaboración de los reportes e informes estadísticos.
Alcance de la política (sistemas, personal)
Este aspecto busca limitar la política a su objetivo o propósito de operación en el sistema, sin tratar de abarcar otros aspectos que restarían eficiencia en tiempo de ejecución y que además pueden llegar a colapsar el sistema o incluso entrar en estado de fuera de control la misma Red. Aunque esta información no forma parte de la implementación de las políticas, si se considera relevante para las correspondientes operaciones de gestión que realizará el Administrador en el momento de crear, modificar e implementar políticas de seguridad a través del módulo de gestión del sistema.
Se considera el corazón estructural de la política y debe constituirse en una respuesta directa y suficiente frente a la falla o problema de seguridad que busca controlar. Su información es fundamental para la gestión de políticas aunque no se considere un requisito visible en la implementación del sistema más allá del correspondiente algoritmo de operación.
Descripción de los elementos involucrados en la política y su definición
Esta información permite obtener una descripción detallada del contexto o entorno de operación del sistema gestor-agente además de los distintos actores que tendrán contacto con el sistema. También determina su comportamiento y funciones específicas frente a cada requerimiento de seguridad de la Red.
Definición de riesgos y consecuencias del no cumplimiento de la política
Esta información es relevante para realizar una correcta gestión de políticas que se ajuste a la realidad del sistema que se desea proteger en cuanto a desprotección e inseguridad, riesgos, fallos y vulnerabilidades que se desean erradicar o aminorar.
Este análisis debe proporcionar de forma precisa los medios operativos mediante los cuales se controlará el cumplimiento de las políticas de seguridad. Depende de una decisión del área administrativa de la Red o de la Organización quienes se responsabilizan por las sanciones asignadas a los distintos infractores, su magnitud y duración (en el caso de que las políticas implementadas tengan un carácter restrictivo), y además permitirán al usuario recibir ayuda y soporte en el uso de los servicios que presta la institución (en el caso de que las políticas tengan una naturaleza educativa).
Nivel de seguridad (alto/medio/bajo)
En toda política a gestionar o implementar, debe existir una valoración de riesgo o daño que corresponda a una estimación mas o menos precisa del grado de inseguridad o consecuencias perjudiciales que asume la institución en el caso de la infracción de una o algunas de las políticas de seguridad que se desean controlar.
Esta información debe brindar una explicación comprensible y coherente (preciso sin entrar en tecnicismos y terminología judicial), que aclare los motivos y propósitos que constituyen la razón de ser de cada política.
Actualización conforme a los propósitos organizacionales
Toda política debe brindar la flexibilidad necesaria para que su funcionamiento se adecue a los distintos cambios tecnológicos que pueden implicar un crecimiento en los riesgos de protección que la organización desea controlar.
Autoridad aprobatoria o responsable
En toda política debe existir una entidad aprobatoria y responsable cuya autoridad dentro de la institución le acredita asumir la seguridad de la Red mediante distintos mecanismos de protección que aseguren el funcionamiento normal del sistema y el cumplimiento de los propósitos organizacionales.
IMPLEMENTACIÓN DE POLÍTICAS DE SEGURIDAD
INFORMACIÓN ADICIONAL / Ejecución, Estado, Clase, Control
ALCANCE DE LA POLÍTICA DE SEGURIDAD / Sistemas, Personal
OBJETIVOS DE LA POLÍTICA DE SEGURIDAD / Procedimientos
ELEMENTOS INVOLUCRADOS / Entorno de Desarrollo de Políticas de Seguridad
RIESGOS Y CONSECUENCIAS / Proyección por Escenarios
APLICATIVOS Y/O SANCIONES / Operaciones de Control
NIVEL SEGURIDAD / Alto - Medio - Bajo
CONTENIDO / Información Explicativa
ACTUALIZACIÓN / Trayectoria Temporal de las Políticas de Seguridad
AUTORIDAD APROBATORIA / Autor - Gestor de Políticas de Seguridad, Ente Aprobador
ESTRUCTURA DE LAS POLÍTICAS DE SEGURIDAD
Naturaleza de las Políticas de Seguridad
Lenguaje de Políticas de Seguridad
Índice / Asistencia Web
contactos: samador@unicauca.edu.co/solivero@unicauca.edu.co/gjurado@unicauca.edu.co by nkt
