| Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
|---|---|---|
| Anterior | Capítulo 7. Elementos básicos de seguridad de Red Hat | Siguiente |
Todo sistema, desde una máquina usada sólo por una persona a un servidor en el ámbito empresarial utilizado por miles de usuarios, debería tener políticas de seguridad. Las políticas de seguridad son un conjunto de pautas utilizadas para medir si una determinada actividad o aplicación debiese o no ser desempeñada o utilizada en un sistema, basándose en los particulares objetivos para ese sistema.
Las políticas de seguridad entre sistemas diferentes pueden variar mucho, pero la cosa más importante es que exista una para su sistema no importa si está escrita en el manual de políticas de la empresa o simplemente se recuerda.
Cualquier política de seguridad debería estar construida con estas características como pautas:
Que sea sencilla en vez de compleja — mientras más sencilla y clara la política de seguridad, más fácil será que las pautas sean respetadas y el sistema permanezca seguro.
Que sea fácil de mantener en vez de difícil — como todo, los métodos y herramientas de seguridad pueden cambiar dependiendo de necesidades y retos nuevos. Su política de seguridad debería construirse con un enfoque hacia la minimización del impacto que los cambios tendrán en su sistema y en sus usuarios.
La promoción de la libertad a través de la confianza en la integridad del sistema en vez de una sofocante utilización de sistema — evite métodos y herramientas de seguridad que limiten innecesariamente la utilidad de su sistema cuando esté haciendo más seguro el sistema. Los métodos y herramientas de seguridad de calidad son casi siempre una ventaja segura y ofrecen más elecciones a los usuarios cada vez que sea posible.
El reconocimiento de la falibilidad en vez de una falsa sensación de seguridad — una de las maneras más exitosas de atraer un problema de seguridad es a través de la creencia que su sistema no podría tener un problema como ese. En vez de dormirse en los laureles, hay que estar siempre alerta.
El enfoque debería estar en los problemas reales en vez de en problemas teóricos — Emplee su tiempo y esfuerzo ocupándose de los problemas reales más grandes y luego prosiga con los menores. Dé la prioridad de sus esfuerzos a los problemas mayores y resuélvalos cuanto antes. Para ayudarle a determinar contra qué debería estar alerta principalmente, considere consultar http://www.sans.org/topten.htm o sitios web parecidos que dan descripciones detalladas de problemas de seguridad que constituyen una verdadera amenaza y exactamente qué hay que hacer para eliminarlos.
La inmediatez en vez de la desidia — resuelva los problemas como vayan surgiendo y determine que equivalen a un riesgo. No piense que es posible ocuparse del problema más tarde. En realidad no hay mejor momento que ahora mismo, especialmente cuando se trata de una amenaza a la incolumidad de su sistema.
Si considera que su política de seguridad es tan restrictiva que no permite que el sistema sea usado en el modo en que fue destinada, entonces podría pensar en modificar la política lo suficiente como para aflojar el acceso al sistema. De la misma manera, si considera que la seguridad de su sistema está continuamente bajo amenaza, debería cambiar algunos aspectos de su política de seguridad para limitar el acceso. Lo más importante es que recuerde que una política de seguridad no es una idea o un documento estático. Debe ser modificado según cambien las necesidades de los objetivos de su sistema y de sus usuarios. Revise continuamente su política de seguridad actual para que refleje los requisitos reales.