Desarrollar políticas

Políticas de uso aceptable

Nuestro sistema será utilizado - esperamos - por decenas, cientos o miles de personas, dependiendo de la magnitud de la oraganización y del proyecto. Siempre habrá alguien que guste de hacer cosas que a todas luces van en contra de los propósitos que tenemos (pornografía en una institución educativa, sitios de chat o de correo personal en ambientes corporativos, etc.) Pueden no sólo ir en contra, sino hasta entorpecer el funcionamiento (audio/video en línea, intercambios de música Napster, etc.).

Si no definimos claras y explícitas políticas de uso aceptable y de seguridad, no tendremos ninguna carta para obligar a dichos usuarios a no continuar con su ofensiva conducta.

Políticas de seguridad

No menos importantes son las políticas de seguridad - y tampoco menos extensas. La seguridad se divide varios incisos:

Seguridad Física - ¿Quién tiene acceso a nuestros sistemas? ¿Cómo están protegidos de eventos tales como temblores o incendios? ¿Qué tan confiable es la alimentación eléctrica?
Seguridad de la información - ¿Tenemos respaldos diarios de la información? ¿Están en un medio confiable y en un lugar adecuado?¿Alguien más tiene copia del respaldo? ¿Debe un usuario tener acceso de lectura a los archivos de otro? ¿Y de escritura?
Seguridad ante ataques - ¿Tenemos procedimientos escritos para actuar en caso de una emergencia informática? ¿Conocemos perfectamente qué corre en nuestro sistema? ¿Podemos identificar - ya sea a mano o por medio de una herramienta - si hay alguna modificación en el sistema? ¿Tenemos contacto y relación con un Equipo de Respuestas a Incidentes en Computación?

Análisis de riesgos

Como extensión de las políticas de seguridad, debemos ponernos en perspectiva, analizando qué está en juego. No debemos descuidar a un sistema con información altamente sensible o delicada tan sólo por prestarle igual atención que a uno de menor importancia. Claro, no existe ningún servidor que no requiera atención - Cualquier intrusión en nuestra red, por más que sea en un servidor de impresión cuya impresora esté en servicio, representa una incursión exitosa en nuestro terreno, y la aparición de un sistema base (que creemos seguro) desde el cual puede originarse un ataque a nuestros otros servidores.

Aplicación de las políticas;
Las políticas son muy bonitas, pero de muy poco sirven en papel. La parte más difícil es la implementación de un conjunto de políticas es convencer a los usuarios de seguirlas. Muchos administradores abandonan brillantes trabajos de políticas representando meses de esfuerzo al toparse con esto. Por ello, es indispensable al crear políticas hacerlo conjuntamente con una figura que represente autoridad en la organización, y que sean presentadas a los usuarios por él. Esto se hace más evidente al tratar de poner en práctica alguna de estas políticas - Si surge algún conflicto, más vale que contemos con un apoyo en las capas superiores.

Escribir políticas es algo que va mucho más allá de esta breve plática. Les invito a leer el tutorial que César Vega Calderón y yo hicimos al respecto para el Área de Seguridad en Cómputo en http://www.asc.unam.mx/disc/1999/tutoriales/politicas/politicas.html.