SEDE MANIZALES DNSAV

Resumen

El término Políticas de Seguridad, en particular las de Informática PSI, se usa de muchas formas y dando connotaciones diferentes, lo cual en ocasiones hace que se pierda, para muchos, u gran importancia en la tarea de la implementación de la seguridad en las empresas. Acá se presenta una visión integral de este problema y la forma de enfrentar la ardua tarea de diseñar e implantar las PSI.

Introducción
			Rodríguez [ROD95] define la Política de Seguridad como el grupo de reglas y regulaciones que dicta cómo una organización protege, maneja y distribuye información sensible. En la práctica, es usual que la referencia a este término se haga teniendo en mente unas cuantas directrices sobre claves de acceso y respaldo de información. Pero las Políticas de Seguridad se deben enfocar desde una perspectiva de mayor importancia, pues son pieza fundamental en el proyecto de plan de seguridad de una instalación. Como lo plantea Cabrera Martín [CAB00] la forma adecuada para plantear la planificación de la seguridad en una organización debe partir siempre de la definición de una Política de Seguridad que determine el QUÉ se quiere hacer en materia de seguridad en la organización para a partir de ello decidir mediante un adecuado plan de implementación el CÓMO se alcanzarán en la practica los objetivos fijados. Algunos autores orientados a temas de seguridad informática le han dado gran importancia, tal es el caso de Chris Hare y Karanjit Siyan, quienes en su libro de seguridad en redes han dedicado un capitulo completo a Política de Seguridad, planteando que "definir una Política de Seguridad de red significa elaborar procedimientos y planes que salvaguarden los recursos de la red contra la pérdida y daño" [HAR97]. La RFC 1244, posteriormente actualizada con RFC 2196 aborda en detalle la Política de Seguridad de un sitio. Este último documento, a pesar de referirse a ambientes expuestos a Internet, será importante guía para el desarrollo de este artículo [FAQ97]. Apoyados en la definición de RFC 2196 una Política de Seguridad es un documento formal de reglas para todos los usuarios que tienen acceso a los recursos, tecnologías e información de la organización. No es una descripción técnica de mecanismos de seguridad, ni una expresión legal que involucre sanciones a conductas de los empleados, es mas bien una descripción de lo que deseamos proteger y el por qué de ello [CAN01]. Para lograr estos objetivos se debe pasar por una serie de pasos que involucran muchos aspectos y personas. Como plantea el trabajo citado de Hare y Siyan, se parte de la visión que se tenga de la seguridad, la que se mueve entre dos posturas o enfoques:
					1. Lo que no esté expresamente permitido está prohibido 2. Lo que no esté expresamente prohibido está permitido.
				Como una forma de englobar todo lo planteado anteriormente y viendo este asunto desde una óptica integral, como un proceso donde el documento formal es solo un paso y entendiendo la seguridad informática como los procedimientos y mecanismos utilizados para garantizar un razonable grado de protección de los recursos informáticos, se presenta a continuación una propuesta de metodología que facilita esta labor, que como se aprecia no es nada fácil.



	Etapas en el Diseño e Implementación de una Política de Seguridad
			Como se muestra en la figura 1, el diseñar una Política de Seguridad para su posterior implementación no puede ser un acto caprichoso, de momento, de moda; es un proyecto completo que debe ser asumido con la mayor responsabilidad si se quiere lograr el efecto buscado. Cada una de estas etapas cumple papel importante en el exitoso final del proyecto.
						Fig. 1. ETAPAS EN EL DISEÑO E IMPLEMENTACION DE UNA POLITICA DE SEGURIDAD


		Recorriendo cada uno podemos ver que tareas en concreto se deben desarrollar y cual es la razón para su inclusión en la propuesta metodológica planteada.