Administrador de Políticas de Seguridad 2nda Versión-Edición Única
Export citation
Abstract
Dado que una política de seguridad es pilar para el control del riesgo informático en una organización, es necesario que sea precisa, concreta y consistente. Desafortunadamente pocas organizaciones tienen un documento de políticas de seguridad y algunas de ellas no se aseguran que dichas políticas cumplan con el objetivo de proteger sus recursos informáticos. A partir de este hecho surge la necesidad de una herramienta que genere políticas y les dé mantenimiento. Con el propósito de administrar y aplicar efectivamente una política de seguridad, M en C Karen García Gamboa ha desarrollado una herramienta: Administrador de políticas de seguridad organizacionales. Si bien el administrador de políticas de seguridad organizacionales ha impactado en su propósito, un análisis arrojó 3 limitaciones importantes: i) falta de una semántica clara y precisa de políticas de seguridad; ii) razonamiento incompleto en el análisis de políticas, especialmente cuando no hay evidencias de que son inconsistentes; iii) una interfaz usuario-máquina que en algunos módulos requiere interacciones tediosas y que no permite una revisión integral de las políticas capturadas. En la presente tesis, extendemos ésta herramienta desarrollando un nuevo administrador de políticas, el cual subsana las limitaciones anteriores: i) aplicando un lenguaje similar al lenguaje L7, definido por Halpern y Weissman; ii) complementando el análisis de (in)consistencia usando Mace (un constructor de modelos para la lógica de primer orden); iii) ampliando el número de propiedades que podemos analizar, incluyendo si la organización es fiel al modelo de seguridad Bell-La Padula; y por último iv) realizamos una serie de mejoras y de nuevas capacidades a la interfaz gráfica logrando con esto una interfaz más amigable y funcional. Y por último, probamos el rendimiento del administrador de seguridad en una empresa ficticia. Hubiéramos deseado evaluar nuestra herramienta en una organización real, sin embargo, no fue posible debido a que las políticas de cualquier organización son de carácter confidencial. No obstante, consideramos que los resultados obtenidos al evaluar el administrador de políticas son muy satisfactorios por lo que pensamos que si en un futuro el administrador de políticas pueda ser implementado en una empresa real, éste funcionará de forma correcta.