Política Académica De la Seguridad De la Computadora

Share

|

Las políticas de la seguridad pueden tener pocos detalles, o muchos. La explicidad de una política de la seguridad depende del ambiente en el cual existe. Un ambiente del laboratorio o de la oficina de investigación puede tener una política no escrita. Un banco necesita una política muy explícita. En la práctica, las políticas comienzan como declaraciones genéricas de apremios en los miembros de la organización. Estas declaraciones se derivan de un análisis de amenazas. Mientras que se presentan las preguntas (o los incidentes), la política se refina para cubrir específicos. Como ejemplo, presentamos una política académica de la seguridad.

Política General De la Universidad

Esta política es un "Acceptable Use Policy" (AUP) para el campus de Davis de la universidad de California. Porque los servicios que computan varían de unidad del campus para consignar la unidad, la política no dicta cómo los recursos específicos pueden ser utilizados. En lugar, presenta los apremios genéricos que las unidades individuales pueden apretar.

La política primero presenta las metas de computar del campus: para proporcionar el acceso a los recursos y permitir que los usuarios se comuniquen con otros a través del mundo. Entonces indica las responsabilidades asociadas al privilegio de usar las computadoras del campus. Todos los usuarios deben respetar las derechas de otros usuarios, respetar la integridad de los sistemas y de los recursos físicos relacionados, y observar todos los leyes relevantes, regulaciones, y obligaciones contractuales.

La política indica el intento subyacente las reglas, y observa que los encargados y los usuarios del sistema deben seguir la ley (por ejemplo, puesto que la información electrónica es volátil y reproducida fácilmente, los usuarios deben ejercitar cuidado en el reconocimiento y respetar del trabajo de otros con adherencia terminante a los acuerdos que licencian del software y a los leyes de copyright).

Los mecanismos de aplicación en esta política son procesales. Para las violaciones de menor importancia, o la unidad sí mismo resuelve el problema (por ejemplo, pidiendo que el delincuente no lo haga otra vez) o se dan las advertencias formales. Para infracciones más serias, la administración puede tomar una acción más fuerte tal como negar el acceso a los sistemas informáticos del campus. En casos muy serios, la universidad puede invocar la acción disciplinaria. La oficina de los asuntos judiciales del estudiante oye tales casos y determina consecuencias apropiadas.

La política entonces enumera ejemplos específicos de las acciones que se consideran ser uso irresponsable. Entre éstos están supervisando ilícito otros, el Spamming, y están localizando y están explotando vulnerabilidades de la seguridad. Éstos son ejemplos; no son exhaustivos. La política concluye con referencias a otros documentos del interés.

Esto es un AUP típico. Se escribe informal y se dirige la comunidad de usuario que es seguir él. La política del correo electrónico presenta un contraste interesante al AUP, probablemente porque el AUP está para Davis UC solamente, y la política del correo electrónico se aplica a la universidad nueve de los campus de California.

Política Del Correo Electrónico

La universidad tiene varias políticas auxiliares, que son subordinadas a la política general de la universidad. La política del correo electrónico describe los apremios impuestos ante el acceso, y uso, del correo electrónico. Se conforma con la política general de la universidad pero los apremios adicionales de los detalles en usuarios y administradores de sistema.

La política del correo electrónico consiste en tres porciones. El primer es un resumen corto previsto para la comunidad de usuario general, mucho pues el AUP para Davis UC se piensa para la comunidad de usuario general. La segunda parte es la política completa para todos los campus de la universidad y se escribe tan exacto como sea posible. El documento pasado describe cómo el campus de Davis pone la política general del correo en ejecucio'n electrónico de la universidad.

El Resumen De la Política Del Correo Electrónico

El resumen primero advierte a usuarios que su correo electrónico no sea privado. Puede ser leído accidentalmente, en el curso del mantenimiento normal del sistema, o de otras maneras indicadas en la política completa. También advierte a usuarios que el correo electrónico pueda ser forjado o ser alterado tan bien como remitido (y que los mensajes remitidos se pueden alterar). Esta sección es interesante porque las políticas alertan raramente a usuarios a las amenazas que hacen frente; las políticas se centran generalmente en las técnicas remediadoras.

Las dos secciones siguientes son las listas deben de qué usuarios, y no deben, hacer. Pueden ser resumidas como "piense antes de que usted envíe; sea cortesano y respetuoso de otros; y no interfiere con otros el uso del correo electrónico." Acentúan que los supervisores tienen la derecha de examinar el correo electrónico de los empleados que se relaciona con el trabajo. Asombrosamente, la universidad no prohíbe uso personal del correo electrónico, probablemente en el reconocimiento que la aplicación desmoralizaría a gente y que los gastos indirectos de llevar el correo personal son mínimos en un ambiente de la universidad. La política requiere que los usuarios no utilicen el correo personal hasta tal punto que interfiere con su trabajo o hace la universidad incurrir en costo adicional.

Finalmente, la política concluye con una declaración sobre su uso. En una compañía privada, esto sería innecesario, pero la universidad de California es una institución cuasi-gubernamental y pues tal está limitada para respetar las partes de la constitución de Estados Unidos y de la constitución de California que las compañías privadas no están limitadas al respecto. También, como institución educativa, la universidad toma las ediciones que rodean la libertad de la expresión y de la investigación muy seriamente. ¿Un campus del visitante sería limitado por estas políticas? La sección final dice sí. ¿Un empleado de los laboratorios nacionales de Lorenzo Livermore, funcionamiento para el Ministerio de Energía por la universidad de California, también sería limitado por estas políticas? Aquí, el resumen sugiere que fueran, pero si son los empleados del laboratorio el Ministerio de empleados de la Energía o universidad de los empleados de California podría afectar esto. Damos vuelta tan al máximo a la política.

La Política Completa

La política completa también comienza con una descripción del contexto de la política, así como su propósito y alcance. El alcance aquí es más explícito lejano que eso en el resumen. Por ejemplo, la política completa no se aplica a los servicios del E-mail del Ministerio de laboratorios de la Energía funcionados por la universidad, tal como laboratorios del nacional de Lorenzo Livermore. Por otra parte, esta política no se aplica a las copias impresas del E-mail, porque otras políticas de la universidad se aplican a tales copias.

Las disposiciones generales siguen. Indican que los servicios y la infraestructura del E-mail son característica de la universidad, y que se espera que todos que los utilizan habiten por la ley y por políticas de la universidad. La falta de hacer tan puede dar lugar al acceso al E-mail que es revocado. La política reitera que la universidad aplicará principios de la libertad académica y la libertad del discurso en su dirección del E-mail, y así que buscará el acceso al E-mail sin el permiso del sostenedor solamente bajo circunstancias extremas, se enumeran que, y solamente con la aprobación de un vice canciller del campus o de un vice presidente de la universidad (esencialmente, el segundo oficial de la graduación de un campus o del sistema universitario). Si esto es infeasible, el E-mail puede ser leído solamente al igual que necesario resolver la emergencia, y entonces la autorización se debe asegurar después del hecho.

La sección siguiente discute el uso legítimo e ilegítimo del E-mail de la universidad. La política permite anonimato a los remitentes a condición de que no viola leyes u otras políticas. Rechaza con el correo para interferir con otros, por ejemplo enviando bombas del Spam o de la letra. También expreso permite el uso de las instalaciones de la universidad para enviar E-mail personal, a condición de que el hacer tan no interfiere con negocio de la universidad; y advierte que tal E-mail personal se pueda tratar como un "expediente de la universidad" conforme a acceso.

La discusión de la seguridad y del secreto acentúa que, aunque la universidad no saldrá de su manera de leer E-mail, puede hacer tan para los propósitos legítimos del negocio y mantener servicio del E-mail robusto y confiable. La sección en archivar y la retención dice que la gente puede poder recuperar E-mail de los sistemas de extremo donde puede ser archivado como parte de una reserva regular.

Las tres secciones pasadas discuten las consecuencias de violaciones y ordenan a canciller de cada campus desarrollar procedimientos para poner la política en ejecucio'n.

Un sidelight interesante ocurre en el apéndice A, las "definiciones." La definición del "E-mail" incluye cualquier expediente de computadora visto con los sistemas o los servicios del E-mail, y la "información transaccional asociada a tales expedientes [ E-mail ], por ejemplo jefes, los resúmenes, las direcciones, y los destinatarios." Esto aparece abarcar los paquetes de la red usados para llevar el E-mail a partir de un anfitrión a otro. Esta ambigüedad ilustra el problema con políticas. La lengua es imprecisa. Esto motiva el uso de idiomas más matemáticas, tales como DTEL, para especificar políticas.

Puesta en práctica en Davis UC

Esta interpretación de la política especifica simplemente esos puntos delegados al campus. Específicamente, el "uso personal fortuito" no se permite si ese uso personal beneficia una organización de la no-universidad, con algunas excepciones específicas enumeradas en la política. Entonces los procedimientos para examinar, supervisar, y divulgar el contenido del E-mail se dan, al igual que los procedimientos de la súplica. La sección en reservas indica que el campus no archiva todo el E-mail, e incluso si el E-mail es elemento incidental sostenido a las prácticas de reserva generalmente, no necesita ser puesto a disposición el empleado.

Esta interpretación agrega requisitos y procedimientos campus-especi'ficos a la política de la universidad. El aumento local amplifica la política del sistema; no lo contradice ni lo limita. ¿De hecho, qué sucedería si la política del campus estuvo en conflicto con la política del sistema? En general, (system-wide) la política más alta prevalecería. La ventaja de dejar la puesta en práctica a los campus es que pueden considerar variaciones y costumbres locales, así como cualquier particularidad de la manera la administración y el senado académico gobierna ese campus.