La política de seguridad es una definición de lo que significa ser seguro para un sistema , organización u otra entidad. Para una organización, aborda las restricciones sobre el comportamiento de sus miembros, así como las restricciones impuestas a los adversarios por mecanismos como puertas, cerraduras, llaves y paredes. Para los sistemas, la política de seguridad aborda las restricciones sobre las funciones y el flujo entre ellas, las restricciones sobre el acceso por parte de sistemas externos y adversarios, incluidos los programas , y el acceso a los datos por parte de las personas.
Si es importante estar seguro, entonces es importante asegurarse de que toda la política de seguridad se aplique mediante mecanismos sólidos. Existen metodologías organizadas y estrategias de evaluación de riesgos para asegurar la integridad de las políticas de seguridad y asegurar que se apliquen por completo. En sistemas complejos, como los sistemas de información , las políticas se pueden descomponer en subpolíticas para facilitar la asignación de mecanismos de seguridad para aplicar subpolíticas. Sin embargo, esta práctica tiene sus inconvenientes. Es demasiado fácil simplemente ir directamente a las subpolíticas, que son esencialmente las reglas de operación y prescindir de la política de nivel superior. Eso da la falsa sensación de que las reglas de operación abordan alguna definición general de seguridad cuando no es así. Debido a que es tan difícil pensar con claridad y exhaustividad sobre la seguridad, las reglas de operación enunciadas como "subpolíticas" sin una "superpolítica" generalmente resultan ser reglas confusas que no logran aplicar nada de manera completa. En consecuencia, una política de seguridad de nivel superior es esencial para cualquier esquema de seguridad serio y las subpolíticas y las reglas de operación carecen de sentido sin ella. [1]