Cuando la gente habla de "políticas de seguridad", es posible que se refieran a dos tipos diferentes de políticas de seguridad.
Uno de ellos son de alto nivel, generalmente definidos por las gerencias. Los principales lectores de esta política de seguridad son humanos. Es un documento que define la meta, el contexto, las expectativas y los requisitos de seguridad en la mente de la administración.Los idiomas utilizados dentro de esta política pueden ser imprecisos, pero es la "ley" elemental de seguridad en el contexto de aplicación. Todos los involucrados deberían seguir esa política.
1) El resultado de dicha política son los requisitos de seguridad claramente definidos de la administración. Con estas políticas, todos los involucrados pueden comprender las expectativas de la administración y tomar decisiones relacionadas con la seguridad cuando sea necesario.
2) Como los lectores principales de dichas políticas de seguridad son humanos, y las declaraciones son generalmente muy generales, puede que no estén en forma legible por máquina. Sin embargo, puede haber un par de documentos definidos en base a la política, a saber, pautas de seguridad, procedimientos y manuales. Están en el orden de aumentar el nivel de detalles sobre cómo la seguridad debería implementarse realmente. Por ejemplo, los requisitos definidos en la política de seguridad pueden realizarse en manuales de reforzamiento para diferentes sistemas operativos, de modo que los administradores e ingenieros puedan realizar tareas de refuerzo de manera eficiente sin tener que dedicar demasiado tiempo a interpretar los pensamientos de la administración. Los manuales de endurecimiento se pueden convertir en un conjunto de configuraciones legibles por máquina (por ejemplo, longitud mínima de contraseña, recuento máximo de inicio de sesión de falla antes de bloquear la cuenta, etc.) automatizando las tareas de endurecimiento.
3) El documento debe estar disponible para todos los involucrados y debe ser revisado regularmente por la administración.
4) Prácticamente puede ser difícil hacer tales referencias. Las políticas de seguridad pueden actualizarse de vez en cuando, y es probable que no desee recompilar su programa si los cambios de política solo afectan algunos parámetros. Sin embargo, es bueno hacer referencia a la política en documentos de desarrollo como diseño sepc.
Otro tipo de "políticas de seguridad" podría referirse simplemente a esos conjuntos de parámetros de los programas de seguridad de entrada. Descubrí que a algunos programas de seguridad les gusta usar la palabra "política" para hacer que sus configuraciones estén más organizadas y estructuradas. Pero, de todos modos, estas "políticas de seguridad" en realidad son solo valores y/o instrucciones para que sigan los programas de seguridad. Por ejemplo, Windows tiene su propio conjunto de "políticas de seguridad" para que el usuario configure registros de auditoría, derechos de usuario, etc. Este tipo de "políticas de seguridad" (parámetros para programas) se define en realidad según el primer tipo de "políticas de seguridad" (requisitos de la administración) como se mencionó anteriormente.
Podría estar escribiendo demasiado sobre esto. Espero eso ayude.
Esto no parece ser sobre programación. Dado que aparentemente se trata de seguridad de nivel empresarial, vota para migrar a Server Fault. –
@David: Estoy totalmente en desacuerdo. Al diseñar un sistema con implicaciones de seguridad, los mecanismos que implementa deben respaldar el rango de políticas potenciales. – Novelocrat
@Novelocrat: Ciertamente, y la programación de dichos mecanismos es completamente sobre el tema aquí. Sin embargo, se trata de establecer algún tipo de reglas que se implementarán de varias maneras, algunas de las cuales probablemente involucren programación, y que no están en el tema de SO. –