Este nivel incluye las medidas de acceso y políticas de empleo de los recursos protegidos, así como la distribución de la responsabilidad correspondiente a las personas con responsabilidades parciales.
Este nivel es preciso en todos los entornos donde se debe proteger un recurso al que deben acceder muchas personas. Por ejemplo, un edificio de oficinas no puede permanecer cerrado: se pueden establecer privilegios de acceso, permitiendo a algunas personas un acceso total, a otras acceso a zonas sensibles, a empleados normales sólo a oficinas, y a visitantes sólo al area de recepción. Cada persona puede disponer de una llave o juego de llaves especial y será responsable de ellas, pudiendo comprometer aquellas zonas a las que tiene acceso.
Una política de distribución de los privilegios de acceso adecuada puede asegurar que cada persona acceda y pueda comprometer solamente aquellas áreas que sean imprescindibles.
El establecimiento de políticas de acceso y reparto de la responsabilidad a este nivel es muy importante por cuanto va a definir las necesidades informáticas de seguridad. Podemos centrarnos en dos aspectos fundamentales:
El primer aspecto a decidir es cómo se va a repartir la responsabilidad en el acceso a los recursos, es decir, qué personas van a tener acceso, y en qué medida.
Se pueden establecer varias categorías en cuanto a las políticas más comunes, véase por ejemplo la documentación de seguridad informática del arco iris .
- Todo el mundo tiene acceso a todo
- Dos niveles de acceso: privilegiado y normal
- Varios niveles de acceso
El primer caso es desgraciadamente uno de los mas comunmente utilizados, a menudo incluso involuntariamente. Es el caso, por ejemplo de una tienda pequeña en que todos los empleados tienen la llave, o el de un grupo de trabajo que comparte todos los recursos por igual entre todos los usuarios. Todos los usuarios tienen acceso al sistema con todos los privilegios y son por tanto administradores del mismo con poder absoluto sobre él. No hace falta decir que éste es el sistema menos seguro y más peligroso y que hay que intentar evitarlo siempre que sea posible.
En el segundo caso, una persona o grupo de personas tienen acceso absoluto, mientras que el resto de personas sólo puede acceder a un conjunto limitado de recursos determinado por los administradores con privilegios. En este caso, el riesgo máximo reside en las personas con acceso privilegiado y conviene reducir el número de las mismas al mínimo. Sin embargo, también existe un riesgo asociado a los usuarios normales, éste directamente proporcional al espectro de recursos al que tienen acceso y que pueden controlar. Es muy importante pues en este caso disponer de administradores cualificados que definan cuidadosamente a qué recursos acceden los usuarios y verifiquen que no puedan tener acceso a nada que no sea estrictamente necesario.
Finalmente, en ocasiones el problema puede ser complejo, siendo necesario disponer de varios niveles jerárquicos: por ejemplo, en una empresa el jefe de un departamento podría tener privilegios para decidir qué miembros de su departamento tendrán llave del mismo, pero no podrá proporcionar acceso a todo el edificio. Podrían establecerse así varios niveles de delegación de la responsabilidad. En éste caso, cada persona es administradora de un dominio de seguridad, asumiendo la responsabilidad del mismo y tomando parte en la responsabilidad total de manera proporcional a la importancia del dominio que controla.
El problema con cada uno de estos enfoques es que a medida que se intenta obtener un control más fino es preciso usar sistemas más complejos, disponer de una mayor cantidad de personal debidamente formado, y que la evaluación del grado de responsabilidad de cada persona se dificulta consecuentemente. Una consecuencia de este problema es que proliferan los sistemas de seguridad inapropiados al ser difícil evaluar hasta qué punto un sistema se adecúa al modelo y necesidades que uno ha definido.
Por eso es muy importante elegir con sumo cuidado el sistema sobre el que se va a implementar la seguridad de un Centro. Especialmente, es importante escapar a las trampas que tienden muchos comerciales y a las técnicas agresivas de marketing: la seguridad es un tema candente y muchos vendedores se encuentran con un tema para el que no están preparados, pero no quieren perder ventas ni retrasarlas, por lo que a menudo recurren a medias verdades y a comparaciones y juegos de palabras engañosas. Por ejemplo: un famoso vendedor de software comercializa un producto que define como catalogado para un nivel dado de seguridad, pero omite indicar que la certificación se obtuvo para un sistema aislado, dejando al comprador creer que también es válido en un entorno de red: ellos no engañan a nadie, pero usan una terminología incompleta y omiten información para que el comprador pueda sacar conclusiones erróneas (e incidentalmente beneficiosas para el vendedor).
Es muy importante huir de comparaciones genéricas del tipo es como una máquina tipo X (p. ej. Unix) que omiten aclarar que hay muchas variedades de ese tipo o familia, y confían en una comparación vaga para aparentar mayor seguridad de la que ofrecen en realidad.
Y también es crucial evitar como al demonio a quienes ofrecen bajo términos genéricos sistemas derivados de otro pretendiendo aparentar que esa derivación es una mejora sin detallarla. Por ejemplo, hay un sistema que se vende como derivado de VMS (un sistema clásicamente conocido por su sólida seguridad) dando a entender que es un VMS mejorado y por tanto más seguro, cuando en realidad es un sistema distinto que incorpora algunas ligeras nociones del original, mucho más simple y menos poderoso, y desde luego infinitamente menos seguro.
En cualquier caso, una vez decidido cómo se va a repartir el acceso y responsabilidad sobre los dominios de seguridad, es relativamente fácil -si uno no se deja engatusar por vendedores ávidos de beneficios- elegir un sistema adecuado para la política elegida. Una buena ayuda a la hora de determinar las especificaciones técnicas del equipo necesario la constituyen las llamadas guías del arco iris, en especial el libro naranja disponibles en la red.
La recomendación más importante que puede hacerse en este capítulo es leer estas guías, y usarlas al determinar el sistema de seguridad más adecuado, pero no limitándose a pedir una catalogación determinada -que es donde más a menudo se usan técnicas engañosas- sino revisando paso a paso todos los detalles del nivel elegido para verificar que realmente los cumple hasta el final y a satisfacción de nuestras necesidades.
Una vez definida la forma en que se va a distribuir la responsabilidad el siguiente paso es definir de qué forma se va a implementar la misma, y qué ambitos se deberán controlar.
La delegación de autoridad puede hacerse en muchas formas, y es preciso decidir cuál de ellas es la más apropiada, definiendo a qué dominios de información accede cada persona sobre la que se ha delegado responsabilidad y cómo se controla el que cada una de ellas no pueda acceder a nada fuera de su dominio.
En ese sentido se pueden distinguir varias estrategias básicas:
- Delegación absoluta para un ámbito geográfico limitado
- Delegación de un área de responsabilidad funcional
- Mezclas de las dos anteriores
Para entenderlo mejor podemos usar unas analogías: la delegación geográfica es similar a una empresa organizada por sucursales, donde cada sucursal es relativamente autónoma, y gestiona todos los aspectos de seguridad de su área de influencia, mientras que la delegación funcional sería como una factoría en que cada departamento asume responsabilidad sobre una parcela determinada del proceso de generación del producto final. Finalmente, podrían darse casos mixtos, como podría ser una Universidad que delega la responsabilidad de la seguridad de cada facultad sobre un Centro de Cálculo local en que cada persona se encarga de un aspecto de la misma (p. ej. una persona podría ser responsable de seguridad en red de una facultad).
Obviamente, el sistema más cómodo para delegar es el primero, ya que requiere un mínimo de configuración, lo justo para definir parcelas aisladas y que funcionan autónomamente. El problema es que puede dar demasiada autonomía a una persona o entidad que no debería tenerla. Además favorece la proliferación de políticas locales de seguridad que pueden ser conflictivas o contradictorias.
Una parcelación funcional requiere una disección minuciosa y un conocimiento detallado del sistema para definir compartimentos funcionales estancos y asignar privilegios en un área sin comprometer otras. Por otro lado, favorece la dispersión de una política común, aunque requiere un mayor esfuerzo de coordinación para mantener la armonía del sistema.
Los enfoques mixtos son los más versátiles, y bien manejados pueden ser los mas poderosos facilitando una división jerárquica de la responsabilidad administrativa, pero también requieren un mayor esfuerzo de configuración y coordinación para evitar que acaben convirtiéndose -con gran facilidad- en un monstruo anárquico, desorganizado e incontrolable.