martes, 8 de mayo de 2012

CINCO Mandamientos básicos de la Seguridad


En este artículo describimos algunas de las políticas básicas en la seguridad de la información.  No se listan todas las filosofías, solo aportamos las principales, que además son aplicables a diferentes entornos, como por ejemplo al entorno Web.
Obviamente cada sector puede tener sus propias políticas/filosofías adicionales o específicas. 

1.    Proporcionar seguridad por defecto
En cuestiones de seguridad lo más importante es proporcionar seguridad por defecto, en todo momento. Si se actúa siempre de forma “segura” se limita mucho la ventana de ataque.  Para nosotros éste es el más importante ya que  las demás filosofías de seguridad pueden derivarse directamente o indirectamente de ésta

2.    Hazlo tan simple como sea posible
Controlar algo simple y ordenado resulta más fácil, eficiente y efectivo  que controlar algo desordenado o complicado.  Por otra parte la probabilidad de error en un sistema simple y ordenado es  menor que la de un sistema complicado y desordenado.

3.    Minimiza la superficie de ataque
Esta es otra regla básica para ser eficientes en costes y efectivos en medidas de seguridad.  Reduciendo la superficie de ataque, para controlar las amenazas,  es posible centrar las medidas de seguridad compensatorias en dicha área. Esta regla es bien conocida por los organismos institucionales de defensa. Por ejemplo, para controlar la seguridad de una instalación sería posible cerrar todas las posibles vías de entradas y dejar solo un camino posible, justo aquel donde se centrarían la mayoría de los controles y/o medidas de seguridad.

4.    Separación de privilegios
La implantación de las medidas propuestas por este mandamiento de seguridad son básicas para prevenir un posible conflicto de interés o un fraude. Por ejemplo, si un determinado presupuesto para la compra o contratación de un determinado recurso fuese habilitado y ejecutado por la misma persona, no habría un control sobre la necesidad o licitud del mismo y por lo tanto podría darse un fraude o un conflicto de interés. 

5.    Permite solo lo bueno conocido y deniega lo demás por defecto
Permitir solo lo bueno conocido es la mejor forma de asegurarse que sólo lo lícito sea habilitado. Por ejemplo, èsta es una regla que a menudo se aplica en el control de accesos, para  implementar  filtrados, controles de validaciones, etc…  Todo lo que no sea lo bueno conocido se tiene que denegar por defecto.