2.1 - O que é uma política de segurança? Por que ter uma?
As decisões que você como administrador toma ou deixa de tomar, relacionadas à segurança, irão determinar quão segura ou insegura é a sua rede, quantas funcionalidades ela irá oferecer, e qual será a facilidade de utilizá-la. No entanto, você não consegue tomar boas decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que você determine quais sejam elas, você não poderá fazer uso efetivo de qualquer coleção de ferramentas de segurança pois você simplesmente não saberá o que checar e quais restrições impor.
Por exemplo, seus objetivos provavelmente serão muito diferentes dos que são definidos por um vendedor de produto. Os vendedores procuram deixar a configuração e a operação de seus produtos o mais simplificado possível, o que implica que as configurações default normalmente serão bastante tão abertas (e por conseguinte inseguras) quanto possível. Se por uma lado isto torna o processo de instalação de novos produtos mais simples, também deixa acessos abertos, para qualquer usuário.
Seus objetivos devem ser determinados a partir das seguintes determinantes:
1. Serviços oferecidos versus Segurança fornecida - Cada serviço oferecido para os usuários carrega seu próprios riscos de segurança. Para alguns serviços, o risco é superior que o benefício do mesmo, e o administrador deve optar por eliminar o serviço ao invés de tentar torná-lo menos inseguro.
2. Facilidade de uso versus Segurança - O sistema mais fácil de usar deveria permitir acesso a qualquer usuário e não exigir senha, isto é, não haveria segurança. Solicitar senhas torna o sistema um pouco menos conveniente, mas mais seguro. Requerer senhas "one-time" geradas por dispositivos, torna o sistema ainda mais difícil de utilizar, mas bastante mais seguro.
3. Custo da segurança versus o Risco da perda - Há muitos custos diferentes para segurança: monetário (o custo da aquisição de hardware e software como