En este artículo describimos algunas de las políticas
básicas en la seguridad de la información.
No se listan todas las filosofías, solo aportamos las principales, que además son aplicables a diferentes
entornos, como por ejemplo al entorno Web.
Obviamente cada sector puede tener sus propias políticas/filosofías adicionales o específicas.
1. Proporcionar seguridad por defecto
En cuestiones de seguridad lo más importante es proporcionar seguridad
por defecto, en todo momento. Si se actúa siempre de forma “segura” se limita mucho la ventana de
ataque. Para nosotros éste es el más
importante ya que las demás filosofías
de seguridad pueden derivarse directamente o indirectamente de ésta
2. Hazlo tan simple como sea posible
Controlar algo simple y ordenado resulta más fácil, eficiente y efectivo que controlar algo desordenado o
complicado. Por otra parte la
probabilidad de error en un sistema simple y ordenado es menor que la de un sistema complicado y
desordenado.
3. Minimiza la superficie de ataque
Esta es otra regla básica para ser eficientes en costes y efectivos en
medidas de seguridad. Reduciendo la
superficie de ataque, para controlar las amenazas, es posible centrar las medidas de seguridad
compensatorias en dicha área. Esta regla es bien conocida por los organismos
institucionales de defensa. Por ejemplo, para controlar la seguridad de una
instalación sería posible cerrar todas las posibles vías de entradas y dejar
solo un camino posible, justo aquel donde se centrarían la mayoría de los
controles y/o medidas de seguridad.
4. Separación de privilegios
La implantación de las medidas propuestas por este mandamiento de
seguridad son básicas para prevenir un posible conflicto de interés o un
fraude. Por ejemplo, si un determinado presupuesto para la compra o
contratación de un determinado recurso fuese habilitado y ejecutado por la
misma persona, no habría un control sobre la necesidad o licitud del mismo y
por lo tanto podría darse un fraude o un conflicto de interés.
5. Permite solo lo bueno conocido y deniega lo demás por
defecto
Permitir
solo lo bueno conocido es la mejor forma de asegurarse que sólo lo lícito sea
habilitado. Por ejemplo, èsta es una regla que a menudo se aplica en el control de
accesos, para implementar filtrados, controles de validaciones,
etc… Todo lo que no sea lo bueno
conocido se tiene que denegar por defecto.