Quizás en este momento te sea de gran utilidad ver un ejemplo de política de seguridad, junto con los procedimientos y las tareas que éstas llevan asociadas en el plan de seguridad.
| Política | Procedimiento | Plan |
|---|---|---|
| Protección del servidor web del instituto contra accesos no autorizados. | Actualización del software del servidor Web. | Revisión diaria de los parches publicados por el fabricante del software. Seguimiento de las noticias sobre fallos de seguridad. |
| Revisión de los registros de actividad en el servidor. | Revisión semanal de los "logs" del servidor para detectar situaciones anómalas. Configuración de alertas de seguridad que permitan reaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión. |
Y ahora vamos a crear una política de seguridad, la tarea se hace más sencilla si tenemos en mente un ejemplo. Imaginemos el servidor web de un instituto. En este servidor web se encuentran alojadas la página web del instituto, de la biblioteca y un gestor de contenidos o intranet.
- Primer paso: Lo más recomendable es crear unas guías de cómo realizar cada una de las tareas para aquellas personas que las llevan a cabo. Al mismo tiempo crear otras guías para usuarios con las directrices de lo que se considera un uso aceptable del sistema. Además, hay que instalar el hardware y software necesario para reforzarlas con otras que indiquen cuál es la forma que se espera que los usuarios. Por otra parte, habrán de instalarse y configurarse el hardware o software de seguridad necesario.
- Segundo paso: Definir claramente las responsabilidades exigidas al personal con acceso al sistema: técnicos, analistas y programadores, usuarios finales, directivos, personal externo a la organización.
- Tercer paso: Debe cumplir con las exigencias del entorno legal.
- Cuarto paso: Revisar de forma periódica las políticas de seguridad para poder adaptarlas a las nuevas exigencias de la organización y del entorno tecnológico y legal.
- Quinto paso: Aplicación del principio de "Defensa en profundidad": definición e implantación de varios niveles o capas de seguridad.
- Sexto paso: Asignación de los mínimos privilegios. Los servicios, las aplicaciones y usuarios del sistema deberían tener asignados los mínimos privilegios necesarios para que puedan realizar sus tareas. La política por defecto debe ser aquella en la que todo lo que no se encuentre expresamente permitido en el sistema estará prohibido. Las aplicaciones y servicios que no sean estrictamente necesarios deberían ser eliminados de los sistemas informáticos.
- Séptimo paso: Configuración robusta ante fallos. Los sistemas deberían ser diseñados e implementados para que, en caso de fallo, se situaran en un estado seguro y cerrado, en lugar de en uno abierto y expuesto a accesos no autorizados.
- Octavo paso: Las Políticas de Seguridad no deben limitarse a cumplir con los requisitos impuestos por el entorno legal o las exigencias de terceros, sino que deberían estar adaptadas a las necesidades reales de cada organización. Es importante que se reflejen las características específicas de cada empresa o institución en las políticas, pues los entornos de una a otra pueden ser muy cambiantes.
Conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.
Conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.
Definición establecida por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.
Definición detallada de pasos a ejecutar para desarrollar una actividad determinada.