Una política de seguridad es un plan de acción para afrontar riesgos de seguridad, e incluye las reglas, normas y prácticas que regulan cómo una institución gestiona y protege sus recursos. En la práctica, las políticas de seguridad fijan criterios a la hora de asignar permisos a los usuarios relativos a la capacidad de acceso a los diferentes recursos del sistema.
Qué es la política de seguridad
Una política de seguridad es un plan de acción para afrontar riesgos de seguridad, que se materializa en un conjunto de reglas cuya finalidad es el mantenimiento de cierto nivel de seguridad.
Para ello, y como punto de partida, la política de seguridad debe contener la definición de seguridad bajo el punto de vista de la entidad de que se trate, ya sea referente a la seguridad de un ordenador, una empresa, un edificio o un país entero.
Además, debe incluir las reglas a las cuales deberán atenerse los usuarios, los mecanismos y procedimientos para alcanzar los objetivos, así como los sistemas para auditar el cumplimento de la política de seguridad en todos los procesos del sistema.
Descripción formal de política de seguridad y sistema seguro
Si consideramos un sistema como una máquina de estado finito (FSM, Finite State Machine) como un conjunto de estados y transiciones entre estados que modifican el estado del sistema, una política de seguridad puede ser definida como el conjunto de directrices que establecen si un estado está autorizado o no autorizado.
A partir de este concepto, se puede definir como un sistema seguro aquel que comienza en un estado autorizado y nunca cambia a un estado no autorizado. Por ello, un sistema es seguro si sólo permite el acceso de los usuarios a los recursos de acuerdo con una política de seguridad.
De esta manera, una política de seguridad describe un conjunto de reglas relativas al control de accesos diseñadas para garantizar la seguridad del sistema, de acuerdo con los objetivos de la organización.
Modelos de seguridad
La seguridad de una organización puede estar centrada en diferentes objetivos, como Confidencialidad, Integridad y Disponibilidad (Confidentiality, Integrity and Availability), dando lugar a diferentes modelos de seguridad.
Respecto a las reglas de control de accesos en que se materializa una política de seguridad, existen varios modelos de control de accesos:
- Modelo de control de acceso discrecional (DAC, Discretionary Access Control): las reglas de acceso a un recurso son establecidas por el propietario del objeto, que decide quién tiene acceso al recurso y con qué permisos, por lo que el acceso se basa en la identidad del usuario. Este modelo utiliza el concepto de propietario del objeto y asignación de permisos. Se puede implementar mediante sistemas de control de accesos basados en listas de control de acceso (ACL, Access Control List) o basados en capacidades (Capability based security). Este es un método de control de acceso poco restrictivo, ya que los propios usuarios establecen los permisos según su criterio.
- Modelo de control de acceso obligatorio o no-discrecional (MAC, Mandatory Access Control): los permisos de acceso del usuario los asigna el administrador del sistema, por lo que el propietario del recurso no puede realizar ninguna acción contraria a la política del administrador. Generalmente se basa en un mecanismo de etiquetas, de tal manera que el sistema asocia una etiqueta de sensibilidad a cada recurso que se utiliza en las decisiones de control de acceso. Este es el método de control de acceso más restrictivo, ya que las reglas de acceso están centralizadas en el administrador del sistema.
- Modelo de control de acceso basado en roles (RBAC, Role Based Access Control): el acceso está basado en los permisos del rol que el sistema ha asignado al usuario. Los recursos precisan que el usuario tenga un rol determinado para poder acceder a los mismos.
- Modelo de control de acceso basado en atributos (ABAC, Attribute-based Access Control): el acceso no está basado en los permisos del usuario autenticado, sino en los atributos del usuario, por ejemplo, tener más de 18 años. Cualquier usuario con ese atributo tiene acceso, lo que permite incluso el acceso anónimo, ya que la identificación y autenticación no es estrictamente necesaria.