Política de seguridad

Una política de seguridad es un plan de acción para afrontar riesgos de seguridad, e incluye las reglas, normas y prácticas que regulan cómo una institución gestiona y protege sus recursos. En la práctica, las políticas de seguridad fijan criterios a la hora de asignar permisos a los usuarios relativos a la capacidad de acceso a los diferentes recursos del sistema.

Politica de seguridad

Qué es la política de seguridad

Una política de seguridad es un plan de acción para afrontar riesgos de seguridad, que se materializa en un conjunto de reglas cuya finalidad es el mantenimiento de cierto nivel de seguridad.

Para ello, y como punto de partida, la política de seguridad debe contener la definición de seguridad bajo el punto de vista de la entidad de que se trate, ya sea referente a la seguridad de un ordenador, una empresa, un edificio o un país entero.

Además, debe incluir las reglas a las cuales deberán atenerse los usuarios, los mecanismos y procedimientos para alcanzar los objetivos, así como los sistemas para auditar el cumplimento de la política de seguridad en todos los procesos del sistema.

Descripción formal de política de seguridad y sistema seguro

Si consideramos un sistema como una máquina de estado finito (FSM, Finite State Machine) como un conjunto de estados y transiciones entre estados que modifican el estado del sistema, una política de seguridad puede ser definida como el conjunto de directrices que establecen si un estado está autorizado o no autorizado.

A partir de este concepto, se puede definir como un sistema seguro aquel que comienza en un estado autorizado y nunca cambia a un estado no autorizado. Por ello, un sistema es seguro si sólo permite el acceso de los usuarios a los recursos de acuerdo con una política de seguridad.

De esta manera, una política de seguridad describe un conjunto de reglas relativas al control de accesos diseñadas para garantizar la seguridad del sistema, de acuerdo con los objetivos de la organización.

Modelos de seguridad

La seguridad de una organización puede estar centrada en diferentes objetivos, como Confidencialidad, Integridad y Disponibilidad (Confidentiality, Integrity and Availability), dando lugar a diferentes modelos de seguridad.

Respecto a las reglas de control de accesos en que se materializa una política de seguridad, existen varios modelos de control de accesos:

  • Modelo de control de acceso discrecional (DAC, Discretionary Access Control): las reglas de acceso a un recurso son establecidas por el propietario del objeto, que decide quién tiene acceso al recurso y con qué permisos, por lo que el acceso se basa en la identidad del usuario. Este modelo utiliza el concepto de propietario del objeto y asignación de permisos. Se puede implementar mediante sistemas de control de accesos basados en listas de control de acceso (ACL, Access Control List) o basados en capacidades (Capability based security). Este es un método de control de acceso poco restrictivo, ya que los propios usuarios establecen los permisos según su criterio.
  • Modelo de control de acceso obligatorio o no-discrecional (MAC, Mandatory Access Control): los permisos de acceso del usuario los asigna el administrador del sistema, por lo que el propietario del recurso no puede realizar ninguna acción contraria a la política del administrador. Generalmente se basa en un mecanismo de etiquetas, de tal manera que el sistema asocia una etiqueta de sensibilidad a cada recurso que se utiliza en las decisiones de control de acceso. Este es el método de control de acceso más restrictivo, ya que las reglas de acceso están centralizadas en el administrador del sistema.
  • Modelo de control de acceso basado en roles (RBAC, Role Based Access Control): el acceso está basado en los permisos del rol que el sistema ha asignado al usuario. Los recursos precisan que el usuario tenga un rol determinado para poder acceder a los mismos.
  • Modelo de control de acceso basado en atributos (ABAC, Attribute-based Access Control): el acceso no está basado en los permisos del usuario autenticado, sino en los atributos del usuario, por ejemplo, tener más de 18 años. Cualquier usuario con ese atributo tiene acceso, lo que permite incluso el acceso anónimo, ya que la identificación y autenticación no es estrictamente necesaria.

Artículos en la categoría "Controles de acceso"

  1. Política de seguridad
  2. Funcionamiento de los controles de acceso
  3. Administración de identidades
  4. Identificación
  5. Autenticación
  6. Autorización
  7. Robo de identidad
  8. Ingeniería social
  9. Contraseñas
  10. Número de identificación personal (PIN)
  11. Certificado digital
  12. Firma digital
  13. Firma electrónica
  14. Token de seguridad
  15. Controles de acceso en domótica
  16. Control de acceso a PC
  17. Tarjetas inteligentes
  18. Lectores de tarjetas inteligentes
  19. Documento de identidad electrónico
  20. Autenticación e identificación biométrica
  21. Huellas dactilares
  22. Lector de huellas dactilares
  23. Tipos de lectores de huellas dactilares
  24. Cómo funcionan los lectores de huellas dactilares
  25. Pasaporte biométrico
  26. Reconocimiento de iris
  27. Lector de iris
  28. Reconocimiento de la firma
  29. Reconocimiento de voz
  30. Reconocimiento facial
  31. Seguridad física
  32. Controles de acceso físico
  33. Reloj de fichar
  34. Control de asistencia
  35. Control de presencia
  36. Controles de acceso de vehículos
  37. Automatismos para puertas
  38. Etiquetas RFID

Los comentarios están cerrados