La política de seguridad es una definición de lo que significa ser seguro para un sistema , organización u otra entidad. Para una organización, aborda las limitaciones al comportamiento de sus miembros, así como las limitaciones impuestas a los adversarios por mecanismos como puertas, cerraduras, llaves y paredes. Para los sistemas, la política de seguridad aborda las limitaciones de las funciones y el flujo entre ellas, las limitaciones del acceso de sistemas externos y adversarios, incluidos los programas, y el acceso de las personas a los datos.
Si es importante estar seguro, entonces es importante asegurarse de que toda la política de seguridad se aplique mediante mecanismos sólidos. Existen metodologías organizadas y estrategias de evaluación de riesgos para garantizar la integridad de las políticas de seguridad y garantizar que se apliquen por completo. En sistemas complejos, como los sistemas de información , las políticas se pueden descomponer en subpolíticas para facilitar la asignación de mecanismos de seguridad para hacer cumplir las subpolíticas. Sin embargo, esta práctica tiene desventajas. Es demasiado fácil ir directamente a las subpolíticas, que son esencialmente las reglas de operación, y prescindir de la política de nivel superior. Eso da la falsa sensación de que las reglas de operación abordan alguna definición general de seguridad cuando no es así. Debido a que es tan difícil pensar claramente y de manera integral sobre la seguridad, las reglas de operación declaradas como "subpolíticas" sin ninguna "superpolítica" generalmente resultan ser reglas confusas que no logran hacer cumplir nada de manera integral. En consecuencia, una política de seguridad de alto nivel es esencial para cualquier plan de seguridad serio y las subpolíticas y reglas de operación no tienen sentido sin ella. [1]