Políticas y Modelos
Políticas y Modelos
De Seguridad
De Seguridad
PUA: Laura Domínguez
Introducción
Los requerimientos de seguridad
informática en pocos años han
cobrado un gran auge.
Las instituciones se ven inmersas en
ambientes agresivos.
Las tecnologías se han esparcido lo
cual las han transformado en un
continuo riesgo.
Importancia y sensibilidad de la
información y servicios críticos.
Alto compromiso con la institución.
La necesidad de las políticas
Las políticas de alto nivel son pautas sobre la seguridad
de la información.
Sin políticas es imposible la creación de sistemas
seguros.
Una política de seguridad se divide en los estados de un
sistema autorizado y no autorizado.
La institución de políticas de seguridad incluye las leyes,
normas y prácticas que regulan cómo una institución
gestiona y protege los recursos.
Los sistemas informáticos de la institución deben hacer
cumplir estas políticas que se ven reflejan en sus
mecanismos (ej. El modelo de capas).
Las políticas de seguridad (I)
Sistemas Abiertos / Cerrados:
- En un sistema cerrado, nada es accesible al menos que se
autorice expresamente.
- En un sistema abierto o institución todo es accesible a menos
que esté explícitamente denegado.
Menos privilegio (lo que necesita conocer):
- Deben ser autorizadas sólo para tener acceso a los recursos
que necesitan.
Maximizar el intercambio:
- Hacer a la información lo más accesible posible.
Autorización:
- Las normas explícitas deben definir quién puede
utilizar qué recursos y cómo.
Las políticas de seguridad (II)
Obligación:
-Estas políticas definen qué debe o no debe realizarse.
Separación de los derechos:
- Las funciones críticas deben ser asignadas a más de una persona o
sistema.
Auditoria:
- Debe llevar un registro de lo que se hizo y en qué momento.
Control Centralizado / Descentralizado:
- En un sistema descentralizado sus divisiones tienen autoridad para
definir sus propias políticas.
Propiedad y administración:
- Una política administrativa separa la administración de
los datos de su uso.
- La propiedad puede violar la separación de los
derechos cuando el usuario de la información también es
su administrador.
Las políticas de seguridad (III)
Rendición de cuentas individuales:
- Deben ser identificados y sus actuaciones
grabadas y revisadas.
Roles:
- Un grupo de derechos que se le da a los usuarios de acuerdo a
sus funciones.
Nombre o número dependiendo de su control de
acceso:
- El acceso de control está designado por su número.
Contenido- dependiendo del control de acceso-:
-El acceso a los datos depende de los requerimientos
de los archivos específicos.
Las políticas de seguridad (IV)
Contexto-dependiendo
del control de acceso-:
- El acceso a los datos
depende de que otra
información también la
requiere.
Historia-dependiendo
del control de acceso-:
- Se considera todos o
subgrupos de requerimientos
para la decisión de acceso.
Aplicación - Políticas Específicas (I)
1. Políticas de confidencialidad.
Clasificación de documentos:
- Los documentos son clasificados en función de la sensibilidad
de su información.
Categorías:
- Definen particiones verticales de los niveles.
Originator controlled (ORCON):
-Un documento sólo se libera a las personas o unidades que
estén en una lista específica hecha por el inventor.
Acceso a lo total:
-Los usuarios están autorizados a leer sólo los valores de los
datos agregados.
Aplicación - Políticas Específicas
(II)
2. Políticas de integridad.
La integridad de los documentos:
- Un documento no puede ser modificado o sólo se puede registrar las
modificaciones.
Cambio limitado:
-Los datos sólo se pueden modificar en la forma prescripta.
3. Grupo de políticas.
Acciones autorizadas:
- Sólo pueden realizar acciones para las que fueron autorizadas.
Rotación de los derechos:
-Una tarea no debe ser realizada siempre por la misma persona.
Operación de la secuenciación:
-Los pasos de algunas tareas deben llevarse a cabo en un orden
específico.
Aplicación - Políticas Específicas
(III)
4. Políticas de conflicto de
intereses.
Política de Muralla:
-La información se agrupa en clases de
“conflicto de intereses”.
Conflicto de roles:
- Un usuario no puede tener dos
funciones que pueden implicar un conflicto
de intereses.
Sistema de políticas (I)
La mayoría de estas políticas pueden
aplicarse también a bajo nivel.
Otras políticas de sistema definen el
uso específico de algún sistema.
-Por ejemplo, una cuenta de usuario /
contraseña.
Se pueden definir políticas para el
diseño y el uso de cualquier aspecto de
un sistema informático.
Sistema de políticas (II)
Moffett y Sloman clasifican las políticas de sistemas de
seguridad en tres niveles:
1. Políticas generales:
- Éstas se aplican a cualquier institución.
2. Políticas específica:
- Estas se refieren a organizaciones específicas.
3. Reglas de acceso:
- Define especificaciones para el acceso a recursos
determinados.
Un error común es definir las políticas de bajo nivel sin
utilizar políticas de alto nivel como referencia.
Sistema de políticas (III)
- Algunas políticas se pueden aplicar a varios
sistemas:
Aislamiento o contención:
- Un sistema debe estar aislados de los
sistemas externos.
Compartir el control:
- Los recursos o la información deben ser
compartidos por los procesos o sistemas de forma
controlada.
Sistemas sin memoria:
- Un programa no debe tener ningún vestigio
de sus ejecuciones pasadas.
En general, el aislamiento y la participación en el
control se excluyen mutuamente cuando se aplica a
un proceso específico.
Ejemplos de políticas (I)
Muchas políticas comunes se refieren a aspectos de autorización.
Las autorizaciones definidas deben ajustarse a las necesidades de la
aplicación.
Lo siguiente es un posible conjunto de las políticas de un sistema
universitario, asumiendo también la política de un sistema cerrado:
- Un instructor puede ver toda la información sobre el curso que está
enseñando.
- Un instructor puede cambiar las calificaciones de los estudiantes en el curso en
que enseñanza.
- Un estudiante puede ver sus calificaciones del curso que está realizando.
- Un director de departamento puede añadir o suprimir cursos en su
departamento.
Los miembros del profesorado puede acceder a información sobre sí mismos.
-
- Un estudiante puede inscribirse en un curso.
- Un director de departamento puede ver información sobre su departamento y
pueden cambia la información sobre profesores y cursos.
- Un decano puede ver la información de todos los departamentos en su
universidad o facultad.
Ejemplos de políticas (II)
Algunas políticas pueden ser muy complejas y dependen de los
valores de las variables involucradas.
- Un usuario puede ver los registros de cada empleado que
supervisa si el usuario tiene un sueldo mayor que los demás
empleados.
Las políticas pueden referirse a múltiples políticas:
- Un plan de vuelo se puede clasificar si la lista de pasajeros
incluye a funcionarios con nombres específicas.
-Un plan de vuelos sin clasificar puede ser clasificado una vez
que el vuelo se ha completado.
Uso de funciones en materia de
políticas
Es importante definir las funciones con respecto a la información
producida.
Algunas posibles funciones con respecto a los documentos son:
- Fuente:
* La persona que emite un documento.
- Autorizador:
* La persona que controla el acceso sobre el documento.
-Depositario:
* La persona que guarda el documento de control y su uso.
-Usuario:
* La persona que lee o modifica el documento.
-Auditor:
*La persona que chequea las acciones, resultados, y los controla.
También podemos definir las funciones apropiadas para las personas de
acuerdo a sus funciones de trabajo.
- Por ejemplo, gerente, secretaria, estudiante, y el instructor.
Políticas Estándares
En los EE.UU. la primera institución gubernamental a
cargo de las políticas de seguridad fue el Departamento
de Defensa.
Se publicó un documento que enumera una serie de
requisitos para sistemas de seguridad (Libro Naranja) .
Más tarde, el Instituto Nacional de Estándares y
Tecnología (NIST) ha desarrollado un conjunto de
documentos conocidos como los Criterios Comunes .
Otras políticas se han definido por ECMA y la ISO.
Las políticas para aplicaciones especializadas:
- La información médica: BMA en el Reino Unido y
la HIPAA en los EE.UU..
- La información financiera: La Ley Sarbanes-/
Oxley de los EE.UU..
Normas para las políticas
El Modelo de Política del Núcleo de Información (PCIM) es un
modelo de política.
Para ampliar el Modelo Común de información (CIM).
La CIM define objetos genéricos.
Incluye sistemas, elementos administradores del sistema, elementos
físicos y lógicos, y los servicios.
Se define una política de Estado y sus componentes, condiciones y
acciones.
- <condition set> hacer <action list>
Las normas de política pueden ser simples o grupales (un patrón
compuesto).
Las condiciones y acciones pueden ser parte de normas específicas o
ser almacenados en los repositorios de uso común por varias
normas.
Políticas de lenguajes
IBM ha desarrollado una
Política de Lenguaje
Fiduciario.
Usa XML para definir los
criterios de asignación.
Las normas no pueden ser
heredadas.
Políticas en conflictos
Es posible que los objetos a que se refiere
una política se superpongan con los de otra
política.
El conflicto puede resolverse mediante
políticas tales como:
- “permisos tienen prioridad”;
- “negaciones tienen prioridad”;
- o mediante la adición explícita a las
prioridades de cada Estado.
Problemas con las políticas no
apropiadas
Un ejemplo de un caso real:
- Un ex-empleado de Global
Crossing Holdings Ltd.
Descontento con esta, colocó
numerosos nombres, SSN, y fechas
de nacimiento de empleados de la
empresa en su sitio Web.
El primer problema fue la no
aplicación de la necesidad de
conocer la política.
El segundo proble
Crear cuenta
Comentarios de: Políticas y Modelos de Seguridad (0)
No hay comentarios