Administrador de Políticas de Seguridad Organizacionales
Export citation
Abstract
La información es el principal recurso de una organización, preservar su integridad se ha convertido en una tarea fundamental necesaria para lograr los objetivos de la empresa que normalmente van enfocados a su crecimiento tanto económico como social. La seguridad y en especial, las políticas de seguridad están tomando mayor importancia en la empresa ya que representan un mecanismo de protección de sus recursos principalmente de la información. Las políticas de seguridad en general se definen como normás o lineamientos (de carácter obligatorio) necesarios en la protección de recursos. No existen estándares que deban seguirse para la descripción de una política, sin embargo es importante que éstas sean fáciles de entender y aplicables. Hablando específicamente de las políticas de seguridad de información, éstas apoyan la protección, control y dirección de los recursos de información de la organización (TI). Escribir políticas de seguridad no es una tarea sencilla debido a que debe garantizarse el correcto funcionamiento de un sitio que está expuesto a una serie de amenazas, eso trae como consecuencias que muchas empresas aÚn no cuenten con un documento de políticas de seguridad. Por otro lado, solo algunas de las organizaciones que han diseñado sus políticas de seguridad, llevan a cabo una adecuada administración de éstas, mientras que el resto de ellas no aseguran su validez y beneficio dentro de la empresa. De ahí surge la necesidad de evaluar cada una de las políticas escritas evitando contradicciones entre ellas mismás, ya que este hecho representaría vulnerabilidades latentes expuestas a diversas amenazas. En la actualidad no existen herramientas que ayuden o faciliten la captura de políticas de seguridad organizacionales. Sin embargo, esta investigación incluye un capítulo en el que se estudian algunos lenguajes utilizados para especificar políticas de seguridad en aplicaciones, y sobre los que se extrajeron algunas ideas para diseñar un prototipo capaz de administrar políticas de seguridad. El trabajo principal de esta tesis consiste en el diseño de una herramienta administradora de políticas de seguridad, las principales características de esta herramienta incluyen: 1) una interfaz gráfica utilizada para capturar políticas de seguridad mediante el uso de ventanas que surgen conforme se va construyendo una política, 2) un traductor de políticas que formaliza éstas en lógica de primer orden con sintaxis de Otter (demostrador automático de teoremás de primer orden), y 3) abre una consola gráfica de Otter para manipular su uso ya que éste trabaja mediante comandos del sistema operativo. El prototipo fue desarrollado en lenguaje java para no limitar la herramienta a una plataforma en especial. Las secciones 4, 5 y 6 explican el trabajo realizado en la construcción del prototipo administrador de políticas de seguridad. El prototipo administrador de seguridad que se presenta en este documento pretende Únicamente capturar y validar políticas de seguridad, no concretar la aplicación de las mismás en una organización (implementación de las políticas capturadas).