Seguridad de la información
Este artículo es parte de una serie de |
Seguridad informática |
---|
|
Categorías relacionados con la seguridad |
|
Amenazas |
|
Defensas |
|
Seguridad de la información, a veces acortado a InfoSec, es la práctica de la defensa información acceso no autorizado, uso, revelación, alteración, modificación, lectura, inspección, grabación o destrucción. Es un término general que puede ser utilizado independientemente de la forma pueden tomar los datos (por ejemplo electrónica, física).[1]
Contenido
- 1 Resumen
- 2 Historia
- 3 Definiciones
- 4 Profesión
- 5 Principios básicos
- 5.1 Conceptos clave
- 5.1.1 Integridad
- 5.1.2 Disponibilidad de
- 5.1.3 Autenticidad
- 5.1.4 No repudio
- 5.1 Conceptos clave
- 6 Gestión del riesgo
- 6.1 Controles
- 6.1.1 Administrativa
- 6.1.2 Lógica
- 6.1.3 Física
- 6.2 Defensa en profundidad
- 6.3 Clasificación de seguridad de información
- 6.4 Control de acceso
- 6.4.1 Identificación
- 6.4.2 Autenticación
- 6.4.3 Autorización
- 6.5 Criptografía
- 6.1 Controles
- 7 Proceso
- 7.1 Gobernanza de la seguridad
- 7.2 Planes de respuesta a incidentes
- 7.3 Gestión del cambio
- 8 Continuidad del negocio
- 8.1 Planificación de recuperación ante desastres
- 9 Las leyes y reglamentos
- 10 Cultura de seguridad de la información
- 11 Fuentes de las normas
- 12 Conclusión
- 13 Véase también
- 14 Expertos trabajan en el campo
- 15 Lectura adicional
- 16 Notas y referencias
- 17 Enlaces externos
- 17.1 Bibliografía
Resumen
- Seguridad
- A veces se denomina seguridad informática, Seguridad informática es la seguridad de la información aplicada a la tecnología (más a menudo posible algún tipo de sistema informático). Vale la pena tener en cuenta que un computadora No significa necesariamente un escritorio casero. Una computadora es cualquier dispositivo con un procesador y parte de la memoria. Estos dispositivos pueden variar desde dispositivos independientes sin conexión a red tan simples como calculadoras, a red dispositivos informáticos móviles como smartphones y tablet ordenadores. Especialistas en seguridad IT se encuentran casi siempre en cualquier gran empresa/establecimiento debido a la naturaleza y el valor de los datos dentro de las empresas más grandes. Ellos son responsables de mantener todos los tecnología dentro de la empresa asegure de ataques cibernéticos maliciosos que intentan a menudo infringe en crítica información privada o hacerse con el control de los sistemas internos.
- Aseguramiento de la información
- El acto de asegurar que datos No se pierde cuando se presentan problemas críticos. Estos temas incluyen pero no se limitan a: desastres naturales, mal funcionamiento del ordenador/servidor, robo físico o cualquier otra instancia donde los datos tienen el potencial de ser perdido. Puesto que la mayoría de la información se almacena en los equipos en nuestra era moderna, aseguramiento de la información es típicamente abordado por especialistas en seguridad IT. Uno de los métodos más comunes de proporcionar la seguridad de la información es tener una copia de seguridad fuera de los datos en caso de uno de los temas mencionados.
Amenazas
Computadora sistema amenazas vienen en muchas formas diferentes. Algunas de las amenazas más comunes hoy en día son los ataques de software, robo de propiedad intelectual, robo de identidad, robo de equipo o información, sabotaje e información de extorsión. Mayoría de las personas ha experimentado ataques de software de algún tipo. Virus, gusanos, ataques de phishing, y caballos de Troya son algunos ejemplos comunes de ataques de software. El robo de la propiedad intelectual también ha sido un problema extenso para muchas empresas en el área de ti. La propiedad intelectual es la propiedad de bienes que habitualmente consiste de alguna forma de protección. Robo de software hoy es probablemente el más común en las empresas IT. El robo de identidad es el intento de actuar como otra persona generalmente a obtener información personal de esa persona o tomar ventaja de su acceso a información vital. Robo de equipo o información se está volviendo más prevalente hoy debido a que la mayoría de los dispositivos hoy es móvil. Los teléfonos celulares son propensos al robo y también se han vuelto mucho más deseables que la cantidad de aumentos de capacidad de datos. Sabotaje generalmente consiste en la destrucción de un sitio web de la organización en un intento de provocar la pérdida de confianza de sus clientes. Extorsión de información consiste en robo de una propiedad MB′92 información o como un intento por recibir un pago a cambio de devolver la información o la propiedad a su dueño. Hay muchas maneras de protegerse de estos ataques pero una de las precauciones más funcionales es esmero de usuario.
Gobiernos, militar, corporaciones, instituciones financieras, hospitales y privadas empresas acumular una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigación y estado financiero. La mayoría de esta información es ahora recogidos, procesados y almacenados en equipos electrónicos y transmitida a través de redes a otros equipos.
Información confidencial sobre de un negocio los clientes o las finanzas o nueva línea de producto cayera en manos de un competidor o un hacker de sombrero negro, una empresa y sus clientes podrían sufrir pérdida financiera generalizada, irreparable, así como daños a la reputación de la compañía. Proteger la información confidencial es un requisito de negocio y en muchos casos también una exigencia ética y legal. Una preocupación fundamental para las organizaciones es la derivación de la cantidad óptima para invertir, desde una perspectiva de la economía, sobre la seguridad de la información. El Modelo de Gordon-Loeb ofrece un enfoque económico matemático para abordar esta última preocupación.
Para el individuo, seguridad de la información tiene un efecto significativo privacidad, que se ve muy diferente en diferentes culturas.
El campo de la seguridad de la información ha crecido y evolucionado significativamente en los últimos años. Hay muchas maneras de entrar en el campo como una carrera. Ofrece muchas áreas de especialización, incluyendo asegurar redes y aliados infraestructura, asegurando aplicaciones y bases de datos, pruebas de seguridad, sistemas de información auditoría, planificación de continuidad del negocio y Análisis forense digital.
Historia
|
En esta sección No lo hace Cite cualquier referencias o fuentes. (Agosto de 2014) |
Desde los primeros días de la comunicación, los diplomáticos y los comandantes militares entendieron que era necesario establecer algún mecanismo para proteger la confidencialidad de la correspondencia y a algunos medios de detección manipulación. Julius Caesar se le atribuye la invención de la Cifrado César c. 50 antes de Cristo, que fue creada con el fin de impedir sus mensajes secretos leer un mensaje cayera en manos equivocadas, pero en su mayor parte protección se logró mediante la aplicación de controles de manejo procesal. Información sensible fue marcada para indicar que debe ser protegido y transportado por personas de confianza, guardado y almacenado en un entorno seguro o una caja fuerte. Como servicios postales ampliado, los gobiernos creados organizaciones oficiales para interceptar, descifrar, lectura y reselle Letras (por ejemplo la oficina secreta del Reino Unido y rama descifrar en 1653).
En el siglo XIX más complejo sistemas de clasificación fueron desarrollados para permitir a los gobiernos administrar su información según el grado de sensibilidad. El gobierno británico, codificada en cierta medida, con la publicación de la Ley de secretos oficiales en 1889. En el momento de la Primera guerra mundial, sistemas de clasificación de multinivel fueron utilizados para comunicar información a y desde varios frentes, que alentaron una mayor utilización del código hace y que rompe las secciones en la sede diplomática y militar. En el Reino Unido esto condujo a la creación de la Código de gobierno y Cypher School en 1919. Codificación se convirtió más sofisticada como las máquinas se emplearon para codificar y descifrar información entre las dos guerras. El volumen de información compartida por los países aliados durante la Segunda guerra mundial requería una alineación formal de sistemas de clasificación y controles de procedimiento. Una gama de marcas Arcana evolucionó para indicar que podría manejar documentos (oficiales generalmente más que los hombres) y donde deben ser almacenados como cada vez más complejos cajas fuertes e instalaciones de almacenamiento se desarrollaron. Procedimientos evolucionaron para asegurar documentos fueron destruidos adecuadamente y fue el incumplimiento de estos procedimientos que condujo a algunos de los mayores golpes de inteligencia de la guerra (ej.: U-570).
Al final del siglo XX y primeros años del siglo XXI vieron avances rápidos en telecomunicaciones, computación hardware y softwarey los datos cifrado. La disponibilidad de más pequeño, más potente y menos caros equipos informáticos hecha procesamiento electrónico de datos en el alcance de pequeña empresa y el usuario. Estos equipos se convirtió rápidamente en interconectados a través de el Internet.
El rápido crecimiento y un uso generalizado de procesamiento electrónico de datos y comercio electrónico llevó a cabo a través de Internet, junto con las numerosas apariciones de internacional terrorismo, alimentada por la necesidad de mejores métodos de protección de las computadoras y la información que almacenan, procesan y transmiten. Las disciplinas académicas de seguridad informática y Aseguramiento de la información surgió junto con numerosas organizaciones profesionales – compartiendo los objetivos comunes de garantizar la seguridad y fiabilidad de los sistemas de información.
Definiciones
Las definiciones de InfoSec sugerido en diversas fuentes se resumen abajo (adoptado de).[2]
1 "preservación de la confidencialidad, integridad y disponibilidad de la información. Nota: Además, también pueden implicar otras propiedades, como la rendición de cuentas, no repudio, autenticidad y confiabilidad. " (ISO/IEC 27000:2009)[3]
2. "la protección de la información y sistemas de información de acceso no autorizado, uso, revelación, alteración, modificación o destrucción para proporcionar confidencialidad, integridad y disponibilidad". (CNSS, 2010)[4]
3. asegura que sólo los usuarios autorizados (confidencialidad) tengan acceso a información precisa y completa (integridad) cuando "requiere" (disponibilidad). (ISACA, 2008)[5]
4. "la seguridad de la información es el proceso de proteger la propiedad intelectual de una organización". (Pipkin, 2000)[6]
5... la seguridad de la información es una disciplina de gestión de riesgo, cuyo trabajo consiste en administrar el costo de riesgo de la información para el negocio. " (McDermott y Geer, 2001)[7]
6. "un sentido bien informado de la garantía de que los controles y riesgos de la información están en equilibrio". (Anderson, J., 2003)[8]
7. seguridad de la información es la protección de la información y minimiza el riesgo de exponer información a terceros no autorizados. (Venter y Eloff, 2003)[9]
8. "seguridad de la información es un área multidisciplinar de estudio y actividad profesional que se ocupa de la elaboración y aplicación de mecanismos de seguridad de todos los tipos disponibles (técnicos, organizativos, humano-se orienta y legales) con el fin de mantener la información en todas sus localizaciones (dentro y fuera del perímetro de la organización) y, en consecuencia, sistemas de información, donde se produce información procesan, almacenada, transmitida y destruido, libre de amenazas.
Las amenazas a la información y sistemas de información pueden clasificarse y un objetivo de seguridad correspondientes puede definirse para cada categoría de amenazas. Un conjunto de objetivos de seguridad, identificadas como resultado de un análisis de las amenazas, debe ser revisado periódicamente para asegurar su adecuación y conformidad con el entorno en constante evolución. El conjunto de objetivos de seguridad actualmente relevante puede incluir: confidencialidad, integridad, disponibilidad, privacidad, autenticidad y confiabilidad, no repudio, responsabilidad y capacidad de auditoría."(Cherdantseva y Hilton, 2013)[2]
Profesión
Seguridad de la información es una profesión estable y en crecimiento. Profesionales de seguridad de la información son muy estables en su empleo; más del 80 por ciento tenía ningún cambio en el patrón o el empleo en el último año, y se proyecta que el número de profesionales continuamente creciendo más del 11 por ciento anualmente a partir de 2014 al 2019.[10]
Principios básicos
Conceptos clave
La tríada CIA confidencialidad, integridad, y disponibilidad de está en el centro de seguridad de la información.[11] (Los miembros de la tríada clásica de InfoSec, confidencialidad, integridad y disponibilidad — se refieren indistintamente en la literatura como atributos de seguridad, propiedades, objetivos de seguridad, aspectos fundamentales, criterios de información, características de información crítica y bloques básicos de construcción.) Hay un debate continuo sobre extender este trío clásico.[2][citación necesitada] Otros principios tales como la rendición de cuentas[12] a veces han sido propuestos para adición – se ha acentuado a[citación necesitada] que las cuestiones tales como No repudio No encaja dentro de los conceptos principales.
En 1992 y revisada en 2002, el OCDEes las directrices para la seguridad de redes y sistemas de información[13] propone los nueve principios generalmente aceptaron: conciencia, responsabilidad, respuesta, ética, la democracia, evaluación de riesgos, diseño de seguridad y aplicación, gestión de la seguridad y reevaluación. Sobre la base de aquellos, en 2004 el NISTde principios de ingeniería para seguridad informática[14] principios propuestos 33. De cada una de estas prácticas y directrices derivadas.
En 2002, Donn Parker propone un modelo alternativo para la tríada clásica de la CIA que llamó la seis elementos atómicos de información. Los elementos son confidencialidad, posesión, integridad, autenticidad, disponibilidad de, y utilidad. Los méritos de la Hexad parkerian son un tema de debate entre profesionales de la seguridad.[citación necesitada]
Integridad
En seguridad de la información, integridad de datos significa mantener y asegurar la exactitud y consistencia de los datos durante todo su ciclo de vida.[15] Esto significa que no se puede modificar datos en forma no autorizada o no detectada. Esto no es lo mismo que integridad referencial en bases de datos, aunque puede ser visto como un caso especial de consistencia como se entiende en el clásico ÁCIDO modelo de procesamiento de transacciones. Sistemas de seguridad de la información normalmente proporcionan integridad de mensaje además de confidencialidad de los datos.
Disponibilidad de
Para que cualquier sistema de información servir a su propósito, la información debe ser disponible Cuando es necesario. Esto significa que los sistemas informáticos utilizados para almacenar y procesar la información, la controles de seguridad utilizado para protegerlo, y los canales de comunicación utilizados para acceder a ella deben estar funcionando correctamente. Alta disponibilidad sistemas tienen como objetivo permanecer disponible en todo momento, evitando interrupciones del servicio debido a los apagones, fallas de hardware y actualizaciones del sistema. Garantizar la disponibilidad también implica prevención ataques de denegación de servicio, como una inundación de mensajes entrantes al sistema de destino esencialmente obligándolo a cerrar.[16]
Autenticidad
En computación, e-Business, y seguridad de la información, es necesario garantizar que los datos, las transacciones, las comunicaciones o documentos (electrónicos o físicos) son auténticos. También es importante para la autenticidad validar que ambas partes involucradas son quienes dicen ser. Algunos sistemas de seguridad de información incorporan funcionalidades de autenticación como "firma digital", que dan evidencia de que los datos del mensaje es genuinos y fue enviados por alguien que posee la clave de firma apropiada.
No repudio
En la ley, No repudio implica la intención de cumplir con sus obligaciones de un contrato. También implica que una parte de la transacción no puede negar haber recibido una transacción ni la otra parte lo puede negar haber enviado una transacción.
Es importante señalar que mientras la tecnología como sistemas criptográficos puede ayudar en los esfuerzos de no repudio, el concepto es en esencia un concepto jurídico que trasciende el ámbito de la tecnología. Por ejemplo, no es suficiente Mostrar que el mensaje coincide con una firma digital firmados con la clave privada del remitente, y por lo tanto solo el remitente podría haber enviado el mensaje y nadie más podría haber alterado en tránsito. El presunto remitente a cambio pudo demostrar que el algoritmo de firma digital es vulnerable o defectuosa, o alegan o demostrar que su clave de firma ha sido comprometida. La culpa por estas violaciones puede o no puede mentir con el remitente y tales afirmaciones pueden o no pueden aliviar el remitente de la responsabilidad, pero la afirmación invalidaría la afirmación de que la firma demuestra necesariamente la autenticidad e integridad y así evita el repudio.
Comercio electrónico utiliza la tecnología como firmas digitales y cifrado de clave pública establecer autenticidad y no repudio.
Gestión del riesgo
El Certificado Auditor de sistemas de información (CISA) Revisión Manual 2006 proporciona la siguiente definición de administración de riesgos: "gestión de riesgos es el proceso de identificación vulnerabilidades y amenazas a los recursos de información utilizados por una organización en el logro de los objetivos del negocio y decidir qué contramedidasSi alguno, a tomar para reducir el riesgo a un nivel aceptable, basado en el valor de los recursos de información a la organización. "[17]
Hay dos cosas en esta definición que pueda necesitar alguna aclaración. Primero, la proceso gestión de riesgos es un continuo, iterativo proceso. Debe repetirse indefinidamente. El ambiente de negocios es constantemente cambiante y nuevo amenazas y vulnerabilidades surgen todos los días. Segundo, la elección de contramedidas (controles) utilizado para administrar riesgos deben lograr un equilibrio entre productividad, costos, efectividad de la contramedida y el valor del activo informativo protegido.
Análisis de riesgos y procesos de evaluación de riesgo tienen sus limitaciones, ya que, cuando se producen incidentes de seguridad, surgen en un contexto, y su rareza y ni siquiera su singularidad dan lugar a amenazas impredecibles. El análisis de estos fenómenos que se caracterizan por averías, sorpresas y efectos secundarios, requiere un enfoque teórico que es capaz de analizar e interpretar subjetivamente el detalle de cada incidente.[18]
Riesgo es la probabilidad de que algo malo va a suceder que causa daño a un activo informativo (o la pérdida del activo). A vulnerabilidad es una debilidad que podría utilizarse para poner en peligro o perjudicar a un activo informativo. A amenaza es algo (artificial o acto de la naturaleza) que tiene el potencial para causar daño.
La probabilidad de que una amenaza usará una vulnerabilidad para causar daño crea un riesgo. Cuando una amenaza utiliza una vulnerabilidad para causar daño, tiene un impacto. En el contexto de seguridad de la información, el impacto es una pérdida de disponibilidad, integridad y confidencialidad y posiblemente otras pérdidas (pérdida de ingresos, pérdida de la vida, pérdida de bienes inmuebles). Debe señalarse que no es posible identificar todos los riesgos, ni es posible eliminar todos los riesgos. El riesgo restante se denomina "riesgo residual".
A evaluación de riesgos se lleva a cabo por un equipo de personas que tienen conocimiento de áreas específicas de la empresa. Miembros del equipo pueden variar con el tiempo ya se evalúan diferentes partes de la empresa. La evaluación puede utilizar un análisis cualitativo subjetivo basado en la opinión informada, o cuando se disponga de cifras fiables e información histórica, puede utilizar el análisis cuantitativa Análisis.
La investigación ha demostrado que el punto más vulnerable en la mayoría de los sistemas de información es el usuario humano, operador, diseñador u otros humanos.[19] El ISO/IEC 27002:2005 Código de prácticas para gestión de seguridad de la información recomienda los siguientes ser examinados durante una evaluación del riesgo:
- política de seguridad,
- Organización de seguridad de la información
- gestión de activos,
- recursos humanos seguridad,
- física y seguridad ambiental,
- comunicaciones y gerencia de operaciones,
- control de acceso,
- adquisición de sistemas de información, desarrollo y mantenimiento,
- seguridad de la información gestión de incidencias,
- gestión de continuidad del negocio, y
- cumplimiento de normas.
En términos generales, consiste en el proceso de gestión de riesgo:
- Identificación de los activos y estimar su valor. Incluyen: personas, edificios, hardware, software, datos (electrónicos, impresos, otros), suministros.
- Llevar a cabo un evaluación de la amenaza. Incluyen: Actos de la naturaleza, actos de guerra, accidentes, actos malintencionados procedentes de dentro o fuera de la organización.
- Llevar a cabo un evaluación de la vulnerabilidady para cada vulnerabilidad, calcular la probabilidad de que se explotarán. Evaluar las políticas, procedimientos, normas, capacitación, seguridad física, control de calidad, seguridad técnica.
- Calcular el impacto que tendría cada amenaza en cada activo. Utilice análisis cualitativo o cuantitativo Análisis.
- Identificar, seleccionar y aplicar controles apropiados. Proporcionar una respuesta proporcional. Considerar la productividad, rentabilidad y valor del activo.
- Evaluar la efectividad de las medidas de control. Los controles garantizan la protección rentable requerida sin pérdida apreciable de la productividad.
Para cualquier riesgo determinado, puede elegir gestión aceptar el riesgo basado en el valor relativo de la bajo de los activos, la relativa baja frecuencia de ocurrencia y el relativo bajo impacto en el negocio. O, puede elegir liderazgo mitigar el riesgo al seleccionar e implementar medidas de control adecuadas para reducir el riesgo. En algunos casos, el riesgo puede ser transferido a otro negocio comprando seguro o a otra empresa de outsourcing.[20] La realidad de algunos riesgos puede ser disputada. En tales casos puede elegir liderazgo negar el riesgo.
Controles
Controles adecuados de selección y ejecución de los inicialmente ayudará a una organización para bajar el riesgo a niveles aceptables. Selección de control debe seguir y debe basarse en la evaluación del riesgo. Los controles pueden variar en la naturaleza, pero fundamentalmente son formas de proteger la confidencialidad, integridad o disponibilidad de la información. ISO/IEC 27001: 2005 ha definido 133 controles en diferentes áreas, pero esto no es exhaustiva. Las organizaciones pueden implementar controles adicionales según el requisito de la organización. ISO 27001:2013 se ha reducido el número de controles a 113.
Administrativa
Controles administrativos (también llamados controles de procedimiento) consisten en aprobado políticas escritas, procedimientos, normas y directrices. Controles administrativos forman el marco para el manejo del negocio y gestión de personas. Informan a la gente cómo el negocio es que las operaciones de ejecución y cómo día a día son llevar a cabo. Las leyes y reglamentos creados por organismos gubernamentales son también un tipo de control administrativo porque informan el negocio. Algunos sectores de la industria tienen las políticas, procedimientos, normas y directrices que deben seguirse – el Pago estándar Card Industry Data Security Standard Exija (PCI DSS) Visa y MasterCard es un ejemplo. Otros ejemplos de controles administrativos incluyen la política de seguridad corporativa, política de contraseñas, contratando a las políticas y las políticas disciplinarias.
Controles administrativos forman la base para la selección e implementación de controles lógicos y físicos. Controles lógicos y físicos son manifestaciones de controles administrativos. Controles administrativos son de vital importancia.
Lógica
Controles lógicos (también llamados controles técnicos) utilizan software y datos para supervisar y controlar acceso a la información y sistemas de computación. Por ejemplo: contraseñas, red y firewalls basados en host, red detección de intrusos sistemas, listas de control de acceso, y cifrado de datos son controles lógicos.
Un importante control lógico que con frecuencia se pasa por alto es el principio de privilegio mínimo. El principio de privilegio mínimo requiere que un individual, programa o sistema de proceso no se concede ninguna más privilegios de acceso que son necesarios para realizar la tarea. Un ejemplo flagrante de la falta de respetar el principio de menor privilegio es iniciar sesión en Windows como usuario administrador para leer correo electrónico y navegar por la web. Las violaciones de este principio también pueden ocurrir cuando un individuo acumula privilegios de acceso adicional con el tiempo. Esto sucede cuando el cambio obligaciones laborales de los trabajadores, o son promovidos a una nueva posición, o transfieren a otro departamento. Los privilegios de acceso requeridos por sus nuevas funciones se agregan con frecuencia en sus privilegios de acceso ya existentes que ya no sea necesario o apropiado.
Física
Controles físicos supervisar y controlan el entorno del lugar de trabajo y servicios informáticos. También supervisar y controlar el acceso desde y hacia este tipo de instalaciones. Por ejemplo: el fuego puertas, cerraduras, calefacción y aire acondicionado, humo y alarmas de incendio, sistemas de extinción, cámaras, barricadas, esgrima, guardias de seguridad, cerraduras de cable, etc.. Separación de la red y el lugar de trabajo en áreas funcionales también es controles físicos.
Es un control físico importante que con frecuencia se pasa por alto la separación de funciones. Separación de funciones asegura que un individuo no puede completar una tarea crítica por sí mismo. Por ejemplo: un empleado que presente una solicitud de reembolso no debe también ser capaz de autorizar el pago o imprimir el cheque. Un programador de aplicaciones no debe también ser el Administrador del servidor o el Administrador de base de datos – Estos roles y responsabilidades deben estar separadas de uno al otro.[21]
Defensa en profundidad
Seguridad de la información debe proteger información a lo largo de la vida útil de la información, desde la creación inicial de la información sobre a través de la eliminación definitiva de la información. La información debe estar protegida mientras está en movimiento y mientras que al resto. Durante toda su vida, puede pasar información a través de muchos sistemas de procesamiento de información diferente y muchas partes de los sistemas de procesamiento de información. Hay muchas maneras diferentes, que la información y los sistemas de información pueden verse amenazados. Para proteger completamente la información durante su vida, cada componente del sistema de procesamiento de información debe tener sus propios mecanismos de protección. La edificación, en capas y superposición de las medidas de seguridad se llama defensa en profundidad. La fuerza de cualquier sistema no es mayor que su eslabón más débil. Usando una defensa en estrategia de profundidad, si no hay una medida defensiva son otras medidas defensivas en el lugar que continúan proporcionando protección.
Recordar la discusión anterior sobre controles administrativos, controles lógicos y controles físicos. Los tres tipos de controles pueden utilizarse para formar la base sobre la cual construir una estrategia de defensa en profundidad. Con este enfoque, defensa en profundidad puede ser conceptualizada como tres distintas capas o planos uno encima del otro sexo. Puede obtenerse información adicional en defensa en profundidad por pensar en él como formando las capas de una cebolla, con datos en la base de la cebolla, la gente la próxima capa externa de la cebolla, y seguridad de red, seguridad basada en host y seguridad de aplicaciones formación de las capas más externas de la cebolla. Ambas perspectivas son igualmente válidas y cada uno proporciona información valiosa sobre la implementación de una buena estrategia de defensa en profundidad.
Clasificación de seguridad de información
Un aspecto importante de la seguridad de la información y gestión de riesgos es reconocer el valor de la información y definiendo los procedimientos apropiados y requerimientos de protección de la información. No toda la información es igual y que no toda la información requiere el mismo grado de protección. Esto requiere que la información debe ser asignado a clasificación de seguridad.
El primer paso en la clasificación de información es identificar a un miembro de alta gerencia como el propietario de la información particular que se clasificará. A continuación, desarrollar una política de clasificación. La política debe describir las etiquetas de clasificación diferente, definir los criterios de información debe ser asignado un sello particular y lista la necesaria controles de seguridad para cada clasificación.
Algunos factores que incluye la influencia que información de clasificación debe asignarse cuánto valor tiene esa información a la organización, cuántos años tiene la información y si la información se ha vuelto obsoleta. Otros requerimientos regulatorios y las leyes son también consideraciones importantes cuando clasificar información.
El modelo de negocio de seguridad de la información permite a los profesionales de la seguridad examinar la seguridad desde la perspectiva de sistemas, creando un ambiente donde se puede administrar holísticamente seguridad, permitiendo que los riesgos reales que se tratará.
El tipo de etiquetas de clasificación de seguridad de información seleccionado y utilizado dependerá de la naturaleza de la organización, con ejemplos que:
- En el sector empresarial, las etiquetas tales como: Público, privado, confidencial, sensibles a la.
- En el sector gubernamental, las etiquetas tales como: Sin clasificar, Sensibles pero no clasificadas, Restringido, Confidencial, Secreto, Top Secret y sus equivalentes en inglés.
- En formaciones intersectorial, la Protocolo de semáforo, que consiste en: Blanco, verde, ámbar, y Rojo.
Todos los empleados de la organización, así como socios de negocios, deben ser entrenados en el esquema de clasificación y entienden los controles de seguridad necesarios y los procedimientos de manipulación para cada clasificación. La clasificación de un activo de información particular que se ha asignado debe revisarse periódicamente para asegurar la clasificación es aún apropiada para la información y a garantizar la seguridad controles exigidos por la clasificación están en su lugar y siguen en sus procedimientos correctos.
Control de acceso
Acceso a información protegida debe estar restringido a las personas que están autorizados a acceder a la información. Los programas de ordenador, y en muchos casos los ordenadores que procesan la información, también debe ser autorizado. Esto requiere que los mecanismos en el lugar para controlar el acceso a información protegida. La sofisticación de los mecanismos deben ser en paridad con el valor de la información protegidos – el control de acceso más sensible o valiosa la información más fuerte los mecanismos de control necesitan ser. La Fundación en cuyo acceso se construyen mecanismos de control comienza con la identificación y autenticación.
Control de acceso se considera generalmente en tres pasos: Identificación, Autenticación, y Autorización.
Identificación
Identificación es una afirmación de que alguien o algo pasa. Si una persona hace la declaración de "Hola, mi nombre es John Doe"están haciendo un reclamo de quienes son. Sin embargo, su reclamación puede o no puede ser verdad. Antes de que John Doe puede conceder acceso a la información protegida será necesario verificar que la persona que dice ser John Doe es desconocido. La afirmación es típicamente en la forma de un nombre de usuario. Introduciendo el nombre de usuario usted reclama "Yo soy la persona que pertenece el nombre de usuario".
Autenticación
Autenticación es el acto de verificación de una afirmación de la identidad. Cuando John Doe entra en un banco para retirar dinero, dice el cajero de banco es John Doe — una afirmación de la identidad. La cajera le pide a ver una identificación con foto, así que le entrega el cajero su conducir licencia de. La cajera del Banco comprueba la licencia para asegurarse de que tiene John Doe impresa y compara la fotografía de la licencia contra la persona que dice ser John Doe. Si la foto y el nombre coincide con la persona, el narrador ha autenticado que John Doe es quien decía ser. Igualmente introduciendo la contraseña correcta, el usuario está proporcionando evidencia que son el nombre de usuario pertenece a la persona.
Existen tres tipos de información que puede ser utilizado para la autenticación:
- Algo sabes: cosas como un alfiler, un contraseña, o de su madre nombre de soltera.
- Algo tienes: conducir una licencia de o un magnético tarjeta Swipe.
- Algo está: biometría, incluyendo impresiones de la palma, huellas dactilares, huellas de voz y Análisis de la retina (ojo).
Autenticación requiere proporcionar más de un tipo de información de autenticación (autenticación de dos factores). El nombre de usuario es la forma más común de identificación en sistemas informáticos hoy y la contraseña es la forma más común de autenticación. Nombres de usuario y contraseñas han servido a su propósito, pero en nuestro mundo moderno ya no son adecuados.[citación necesitada] Nombres de usuario y contraseñas poco a poco están siendo reemplazadas con más sofisticados mecanismos de autenticación.
Autorización
Después de una persona, equipo o programa sea correctamente identificada y autenticado y luego debe ser determinado qué recursos informativos se les permite acceso y qué acciones pueden realizar (correr, ver, crear, borrar o cambiar). Esto se llama autorización. Autorización para acceder a información y otros servicios de Informática comienza con los procedimientos y las políticas administrativas. Las políticas de prescriben qué información y servicios de computación pueden acceder, por quién y bajo qué condiciones. Los mecanismos de control de acceso se configuran entonces para aplicar estas políticas. Diferentes sistemas informáticos están equipados con diferentes tipos de mecanismos de control de acceso, algunos incluso pueden ofrecer una variedad de mecanismos de control de acceso diferentes. El mecanismo de control de acceso que ofrece un sistema se basará en uno de los tres enfoques para control de acceso o pueda derivarse de una combinación de los tres enfoques.
El no discrecionales enfoque consolida todo el control de acceso bajo una administración centralizada. El acceso a la información y otros recursos se basa generalmente en la función de individuos (papel) en la organización o el individuo debe realizar las tareas. El enfoque discrecional da el creador o propietario de los recursos de información la capacidad de controlar el acceso a esos recursos. En Enfoque de control de acceso obligatorio, acceso se concede o deniega basándose en la clasificación de seguridad asignada a los recursos de información.
Ejemplos de mecanismos de control de acceso común en uso hoy en día incluyen control de acceso basado en roles disponible en muchos sistemas de gestión de base de datos avanzado — simple permisos de archivos en los sistemas operativos UNIX y Windows, Objetos de directiva de grupo en sistemas de red de Windows, Kerberos, RADIO, TACACS, y el fácil acceso las listas usadas en muchos cortafuegos y routers.
Para ser eficaces, las políticas y otros controles de seguridad deben ser ejecutable y confirmó. Políticas eficaces aseguran que se llevan a cabo personas responsable por sus acciones. Todos los intentos de autenticación fallida y exitosa deben estar registrados, y todos los accesos a la información deben dejar algún tipo de pistas de auditoría.[citación necesitada]
También, principio de necesidad de saber tiene que ser en efecto cuando se habla de control de acceso. Necesidad de saber principio da los derechos de acceso a una persona para realizar sus funciones de trabajo. Este principio se utiliza en el gobierno, cuando se trata con separaciones de diferencia. Aun cuando dos empleados de diferentes departamentos tienen una espacio secreto, deben tener una necesidad de saber en orden para obtener información que se intercambiará. En el principio de necesidad de saber, los administradores de red conceden al empleado menos cantidad privilegios para impedir el acceso de los empleados y hacer más de lo que se supusieron. Necesidad de saber ayuda a reforzar la tríada de confidencialidad integridad disponibilidad (C‑I‑A). Necesidad de saber incide directamente en el área confidencial de la tríada.
Criptografía
Utiliza la seguridad de la información criptografía para transformar información utilizable en una forma que hace que sea inutilizable por alguien que no sea un usuario autorizado; Este proceso se denomina cifrado. Información que ha sido encriptado (inutilizó) puede transformarse en su forma original utilizable por un usuario autorizado, que posee el clave criptográfica, a través del proceso de descifrado. La criptografía se utiliza en seguridad de la información para proteger la información de la divulgación no autorizada o accidental mientras el información está en tránsito (electrónicamente o físicamente) y mientras que la información está en el almacén.
Criptografía proporciona seguridad de la información con otras aplicaciones útiles así como métodos de autenticación mejoradas, compendios de mensaje, firmas digitales, No repudioy cifrado de las comunicaciones de red. Mayores aplicaciones menos seguras como telnet y ftp que lentamente están siendo reemplazadas con aplicaciones más seguras tales como ssh que utilizan las comunicaciones de red cifrada. Las comunicaciones inalámbricas pueden encriptarse usando protocolos tales como WPA/WPA2 o las antiguas (y menos seguros) WEP. Comunicaciones por cable (tales como UIT‑T G.hn) están asegurados mediante AES para el cifrado y X.1035 para la autenticación y el intercambio de claves. Aplicaciones de software tales como GnuPG o PGP puede utilizarse para cifrar los archivos de datos y correo electrónico.
Criptografía puede presentar problemas de seguridad cuando no se aplica correctamente. Necesidad de soluciones criptográficas implementarse utilizando industria acepta soluciones que han sido sometidos a rigurosa revisión por expertos en criptografía detenida. El longitud y fuerza el cifrado clave también es una consideración importante. Una clave que es débil o demasiado cortas producirá cifrado débil. Las claves utilizadas para el cifrado y descifrado deben estar protegidas con el mismo grado de rigor como cualquier otra información confidencial. Ellos deben ser protegidos de la divulgación no autorizada y destrucción y deben estar disponibles cuando sea necesario. Infraestructura de clave pública Muchos de los problemas que rodean Dirección soluciones (PKI) gestión de claves.
Proceso
Los términos persona razonable y prudente, debida atención y debida diligencia se han utilizado en los campos de finanzas, valores y derecho durante muchos años. En los últimos años estos términos han encontrado su camino en los campos de la seguridad informática y de información. ESTADOS UNIDOS Lineamientos federales de sentencia ahora hacen posible responsabilizar a los funcionarios corporativos por no ejercer el debido cuidado y debida diligencia en la gestión de sus sistemas de información.
En el mundo de los negocios, los accionistas, clientes, gobiernos y socios de negocios tienen la expectativa de que los funcionarios corporativos se ejecutarán el negocio conforme a las prácticas comerciales aceptadas y en cumplimiento de las leyes y otros requerimientos reglamentarios. Esto a menudo se describe como la regla de "persona razonable y prudente". Una persona prudente toma debida atención para asegurarse de que todo lo necesario se hace para operar el negocio por principios de negocios y de manera legal y ética. Una persona prudente también es diligente (consciente, atento y en curso) en su debida atención del negocio.
En el campo de la seguridad de la información, Harris[22] ofrece las siguientes definiciones de debida atención y debida diligencia:
"Debida atención son medidas que se toman para demostrar que una empresa ha asumido la responsabilidad por las actividades que se realizan dentro de la Corporación y ha tomado las medidas necesarias para proteger a la empresa, sus recursos y los empleados." Y, [debida diligencia son el] "las actividades continuas que asegurarse de que los mecanismos de protección continuamente son mantenidas y operacional".
Atención debe hacerse dos puntos importantes en estas definiciones. Primero, en la debida atención, se toman medidas para Mostrar -Esto significa que los pasos pueden ser verificados, medido, o incluso producen artefactos tangibles. Segundo, en la debida diligencia, hay actividades continuas -Esto significa que la gente en realidad está haciendo las cosas para supervisar y mantener los mecanismos de protección, y están llevando a cabo estas actividades.
Gobernanza de la seguridad
El Software Engineering Institute en Universidad Carnegie-Mellon, en una publicación titulada "Consejo para la empresa de seguridad (GES)", define las características de la gobernanza de la seguridad efectiva. Estos incluyen:
- Un problema de toda la empresa
- Los líderes son responsables
- Vistos como un requisito empresarial
- Basado en el riesgo
- Segregación de funciones definidas, responsabilidades y roles
- Dirigida y forzada en la política
- Suficientes recursos comprometidos
- Personal capacitado y consciente
- Un requisito del ciclo de vida de desarrollo
- Planificado, administrado, medibles y medido
- Revisado y auditado
Planes de respuesta a incidentes
párrafos 1 a 3 (no técnicos) que discutir:
- Selección de los miembros del equipo
- Definir roles, responsabilidades y líneas de autoridad
- Definir un incidente de seguridad
- Definir un incidente notificable
- Entrenamiento
- Detección
- Clasificación
- Escalada
- Contención
- Erradicación de
- Documentación
Gestión del cambio
Gestión del cambio es un proceso formal para dirigir y controlar las alteraciones en el entorno de procesamiento de información. Esto incluye las alteraciones a las computadoras de escritorio, la red, servidores y software. Son los objetivos de la gestión del cambio reducir los riesgos planteados por los cambios en el entorno de procesamiento de información y mejorar la estabilidad y la confiabilidad del medio de procesamiento cuando se realizan cambios. No es el objetivo de la gestión del cambio para impedir o dificultar cambios necesarios de ser implementado.
Cualquier cambio en el entorno de procesamiento de información introduce un elemento de riesgo. Incluso aparentemente simples cambios pueden tener efectos inesperados. Una de las muchas responsabilidades de gestión es la gestión del riesgo. Gestión del cambio es una herramienta para la gestión de los riesgos introducidos por cambios en el entorno de procesamiento de la información. Parte del proceso de gestión cambio asegura que los cambios no se aplican en momentos inoportunos cuando pueden perturbar los procesos críticos para el negocio o interferir con otros cambios que se están implementadas.
No todos los cambios debe gestionarse. Algunos tipos de cambios son una parte de la rutina diaria de procesamiento de la información y se adhieren a un procedimiento predefinido, que reduce el nivel global de riesgo para el entorno del procesado. Crear una nueva cuenta de usuario o implementar una nueva computadora de escritorio es ejemplos de cambios que generalmente no requieren administración de cambios. Sin embargo, reubicación de recursos compartidos de archivos de usuario, o actualizar el servidor de correo electrónico plantean un nivel mucho más alto de riesgo para el entorno del procesado y no son una actividad diaria normal. Los primeros pasos críticos en la gestión del cambio son (a) definir el cambio (y comunicar esa definición) y (b) definir el alcance del sistema de cambio.
Gestión del cambio es generalmente supervisado por una junta de revisión de cambio integrado por representantes de las áreas clave del negocio, seguridad, redes, administradores de sistemas, administración de base de datos, desarrollo de aplicaciones, soporte de escritorio y la mesa de ayuda. Las tareas de la Junta de revisión de cambio se pueden facilitar con el uso de la aplicación de flujo de trabajo automatizado. La responsabilidad de la Junta de revisión de cambiar es asegurar las organizaciones documentadas la gestión se sigan los procedimientos del cambio. El proceso de gestión del cambio es como sigue:
- Solicitado: Cualquier persona puede solicitar un cambio. La persona que hace la solicitud de cambio puede o no puede ser la misma persona que realiza el análisis o implementa el cambio. Cuando se recibe una solicitud de cambio, puede someterse a un examen preliminar para determinar si el cambio solicitado es compatible con las organizaciones modelo de negocio y prácticas y para determinar el monto de los recursos necesarios para implementar el cambio.
- Aprobado: Gestión dirige el negocio y controla la asignación de recursos por lo tanto, gestión debe aprobar las solicitudes de cambios y asignar una prioridad para todos los cambios. Gestión podría optar por rechazar una solicitud de cambio si el cambio no es compatible con el modelo de negocio, estándares de la industria o las mejores prácticas. Gestión también podría optar por rechazar una solicitud de cambio si el cambio requiere más recursos que pueden ser asignados para el cambio.
- Planificado: Planeando un cambio consiste en descubrir el alcance y el impacto del cambio propuesto; analizar la complejidad del cambio; asignación de recursos, desarrollo, pruebas y documentar planes de implementación tanto backout. Es necesario definir los criterios en que se realizará la decisión de retirarse.
- Testeado: Cada cambio debe probarse en un entorno de prueba segura, que refleja estrechamente el entorno de producción real, antes de aplica el cambio en el entorno de producción. También se debe probar el plan de recuperación.
- Programado: Parte de la responsabilidad de la Junta de revisión el cambio es ayudar en la planificación de cambios mediante la revisión de la fecha de implementación propuestas para posibles conflictos con otros cambios programados o actividades críticas del negocio.
- Comunicado: Una vez que se ha programado un cambio debe ser comunicada. La comunicación es dar a otros la oportunidad para recordar a la Junta de revisión de cambio sobre los otros cambios o actividades críticas del negocio que podrían haber sido pasados por alto cuando se planifica el cambio. La comunicación también sirve para hacer el Help Desk y los usuarios conscientes que un cambio está a punto de ocurrir. Otra de las responsabilidades de la Junta de revisión de cambio es asegurar que los cambios programados han sido comunicados debidamente a quienes serán afectados por el cambio o si no tienen un interés en el cambio.
- Implementado: En la fecha designada y tiempo, los cambios deben ser aplicados. Parte del proceso de planificación fue desarrollar un plan de implementación, pruebas de plan y, un plan. Si fracasara la implementación del cambio o la aplicación post prueba falla u otros criterios "caerse muerto" se han cumplido, la parte posterior plan debe ser implementada.
- Documentado: Todos los cambios deben ser documentados. La documentación incluye la solicitud inicial para el cambio, su aprobación, la prioridad asignada, la implementación, prueba y volver a los planes, los resultados de la crítica cambio revisión Junta Directiva, la fecha y hora se implementó el cambio, que implementó y si el cambio se implementó con éxito, error o pospuestas.
- El post cambio revisión: La Junta de revisión de cambio debe tener una revisión de la implementación del poste de los cambios. Es particularmente importante revisar falló y retiró los cambios. La Junta de revisión debería tratar de entender los problemas que se encontraron y buscan áreas de mejora.
Los procedimientos de gestión del cambio que son fáciles de seguir y fácil de usar pueden reducir grandemente los riesgos globales creados cuando se realizan cambios en el entorno de procesamiento de la información. Buen cambio de procedimientos de gestión mejoran la calidad y el éxito de los cambios que se aplican. Esto se logra mediante la planificación, revisión, documentación y comunicación.
ISO/IEC 20000, El manual de operaciones Visible: implementación de ITIL en 4 pasos prácticos y Auditable[23] (Libro completo Resumen),[24] y Information Technology Infrastructure Library todas ofrecen valiosa orientación sobre la implementación de un cambio eficiente y eficaz gestión programa información de seguridad.
Continuidad del negocio
|
En esta sección está escrito como un ensayo de reflexión u opinión personal eso afirma que el editor de Copro es particular sentimientos acerca de un tema, más que las opiniones de expertos. (Abril de 2010) |
Continuidad del negocio es el mecanismo por el cual una organización continúa operando sus unidades de negocio críticos, durante las interrupciones planificadas o no planificadas que afectan las operaciones normales del negocio, invocando los procedimientos previstos y administrados.
No sólo es la continuidad del negocio simplemente sobre el negocio, pero es también un sistema y un proceso. Hoy en día los desastres o las interrupciones a los negocios son una realidad. Si el desastre es natural o artificial, que afecta a la vida normal y muy comercial. Por lo tanto, es importante planificar.
La planificación simplemente está mucho mejor preparado para afrontarla, sabiendo muy bien que los mejores planes pueden fallar. Planificación ayuda a reducir el costo de recuperación, la mayoría y gastos operacionales importante navega a través de unos pequeños sin esfuerzo.
Para que las empresas a crear planes eficaces necesitan concentrarse sobre las siguientes preguntas claves. La mayoría de ellas es conocimiento común, y cualquiera puede hacer un BCP.
- Debe atacar un desastre, ¿cuáles son las primeras pocas cosas que debo hacer? ¿Debo llamar a la gente para encontrar si son aceptables o llamar al banco para averiguar mi dinero está a salvo? Esta es la respuesta a emergencias. Servicios de respuesta a emergencia ayudan a tomar el primer golpe cuando el desastre y si el desastre es lo suficientemente grave como la necesidad de equipos Emergency Response para obtener rápidamente un equipo de gestión de Crisis en el lugar.
- ¿Qué partes de mi negocio debería recuperar primero? ¿El único que me trae más dinero o uno donde pasé la mayor parte, o que se asegurará de que seré capaz de conseguir sostenido crecimiento en el futuro? Las secciones identificadas son las unidades de negocio críticos. No hay ninguna fórmula mágica aquí, no hay una respuesta satisface a todos. Las empresas necesitan encontrar respuestas que satisfagan los requerimientos del negocio.
- ¿Cuándo debería objetivo recuperar mis unidades de críticos para el negocio? En la jerga técnica del BCP, esto se llama Recovery Time Objective, o RTO. Este objetivo definirá lo que cuesta el negocio tendrá que pasar para recuperarse de una interrupción. Por ejemplo, es más barato para recuperar un negocio en el día 1 que en 1 hora.
- ¿Lo que necesitas recuperar el negocio? Maquinaria, registra... comida, agua, gente...Tantos aspectos a moradores de. El factor costo llega a ser más claro ahora...Los líderes empresariales necesitan para continuidad del negocio en coche. Espera. Mi gerente gastó $200000 el mes pasado y creó un (DRPPlan de recuperación ante desastres), ¿qué pasó con eso? un DRP es continuar con un sistema y es una de las secciones de un Plan integral de continuidad del negocio. Ver abajo para más información sobre esto.
- Y dónde se recuperan mi negocio de... El centro de negocios me dará espacio para trabajar, o sería inundada por mucha gente haciendo cola por las mismas razones que yo soy.
- Pero una vez que recuperarse de la catástrofe y trabajar en producción reducida capacidad desde mis sitios operativos principales no están disponibles, cuánto puede esto. ¿Cuánto puedo hacer sin mi sitios originales, sistemas, personas? Esto define la cantidad de resistencia del negocio que puede tener un negocio.
- Ahora que sé cómo recuperar mi negocio. ¿Cómo puedo hacer que mi plan funciona? La mayoría de los analistas BCP recomendaría probar el plan al menos una vez al año, revisarlo para adecuación y reescritura o actualizar los planes anualmente o cuando las empresas cambien.
Planificación de recuperación ante desastres
Mientras que un plan de continuidad del negocio (BCP) adopta un enfoque amplio para tratar con toda la organización los efectos de un desastre, un plan de recuperación ante desastres (DRP), que es un subconjunto del plan de continuidad de negocio, en cambio se centra en tomar las medidas necesarias para reanudar las operaciones normales del negocio lo más rápidamente posible. Un plan de recuperación ante desastres se ejecuta inmediatamente después de la catástrofe se produce y los detalles qué medidas deben tomarse para recuperar la infraestructura de tecnología de la información crítica.[25] Planificación de recuperación ante desastres incluye establecer un grupo de planificación, realización de evaluación de riesgos, establecer prioridades, desarrollando estrategias de recuperación, preparación de inventarios y documentación del plan, desarrollo de procedimiento y criterios de verificación y por último aplicar el plan.[26]
Las leyes y reglamentos
Abajo se encuentra una parcial Listado de leyes gubernamentales europeos, Reino Unido, Canadá y Estados Unidos y las regulaciones que tienen o tendrán un efecto significativo en el procesamiento de datos y seguridad de la información. Regulaciones del sector de la industria también han incluido cuando tienen un impacto significativo en seguridad de la información importante.
- REINO UNIDO Data Protection Act 1998 hace nuevas disposiciones para la regulación del procesamiento de la información relativa a individuos, incluyendo la obtención, tenencia, uso o divulgación de dicha información. La Directiva de protección de datos de Unión Europea (EUDPD) requiere que todos los miembros de la UE deben adoptar las normas nacionales para estandarizar la protección de la privacidad de los datos de los ciudadanos en toda la UE.
- El Uso indebido en computación 1990 es un acto de la Parlamento británico delitos informáticos (e.g. hacking) haciendo un delito penal. El acto se ha convertido en un modelo en que varios otros países incluyendo Canadá y el República de Irlanda han inspirado al posteriormente elaborar sus propias leyes de seguridad de información.
- Las leyes de la UE de retención de datos requiere que los proveedores de servicios de Internet y las compañías telefónicas guardar datos en cada mensaje electrónico enviado y llamada telefónica hecha entre seis meses y dos años.
- El Ley de privacidad y derechos educativos familiares (FERPA) (20 U.S.C.§ 1232 g; 34 CFR parte 99) es una ley nos Federal que protege la privacidad de los archivos de educación del estudiante. La ley se aplica a todas las escuelas que reciben fondos bajo un programa aplicable del Departamento de Educación de Estados Unidos. Generalmente, las escuelas deben haber escrito permiso del padre o el estudiante elegible para liberar cualquier información de un expediente de educación.
- Federal financiera instituciones examen Consejo (FFIEC) las directrices de seguridad para los auditores especifica los requisitos para la seguridad de banca en línea.
- Health Insurance Portability and Accountability Act (HIPAA) de 1996 requiere la adopción de estándares nacionales para las transacciones electrónicas de cuidado de la salud y los identificadores nacionales para proveedores, planes de seguro médico y los empleadores. Y se requiere que los proveedores de cuidado de la salud, los proveedores de seguros y los empleadores salvaguardar la seguridad y privacidad de datos de salud.
- Ley Gramm-Leach-Bliley de 1999 (GLBA), también conocida como la financiera servicios de ley de modernización de 1999, protege la privacidad y seguridad de la información financiera privada que instituciones financieras recogen, mantener y procesan.
- Ley Sarbanes – Oxley de 2002 (SOX). Sección 404 de la ley requiere que las empresas que cotizan a evaluar la eficacia de sus controles internos para la presentación de informes financieros en informes anuales que se someten al final de cada año fiscal. Director de información oficiales son responsables de la seguridad, exactitud y la confiabilidad de los sistemas de gestión e informe los datos financieros. La ley también requiere que las empresas que cotizan a auditores independientes que deben atestiguar e informar sobre, la validez de sus evaluaciones.
- Estándar de seguridad de datos de industria pagos con tarjeta (PCI DSS) establece requisitos integrales para mejorar la seguridad de los datos de cuenta de pago. Fue desarrollado por las marcas de pago fundador del PCI Security Standards Council, incluyendo American Express, Discover Financial Services, JCB, MasterCard Worldwide y Visa Internacional, para ayudar a facilitar la amplia adopción de constante seguridad de datos medidas sobre una base global. El PCI DSS es un estándar de seguridad multifacético que incluye los requisitos para la gestión de la seguridad, las políticas, procedimientos, arquitectura de red, diseño de software y otras medidas de protección críticas.
- Estado leyes de notificación de violación de seguridad (California y muchos otros) requieren las empresas, organizaciones e instituciones del estado para notificar a los consumidores cuando sin cifrar "información personal" pueden han sido comprometidos, perdidos o robado.
- (Ley de documento de electrónica y protección de información personalPIPEDA) – Un acto para apoyar y promover el comercio electrónico mediante la protección de información personal recopilada, usada o divulgada en determinadas circunstancias, aportando para el uso de medios electrónicos para comunicar o grabar información o transacciones y modificando el Ley de pruebas de Canadá, los instrumentos legales y la ley de revisión de estatuto.
- Hellenic autoridad para la seguridad de las comunicaciones y privacidad (ADAE) (ley 165/2011) - la Ley griega establece y describe los controles de seguridad de la información mínimos que deben ser desplegados por cada empresa que proporciona redes de comunicaciones electrónicas o servicios en Grecia con el fin de proteger la confidencialidad de los clientes. Estos incluyen controles tanto gerenciales y técnicos (es decir, registros deben guardarse durante dos años).
- Hellenic autoridad para la seguridad de las comunicaciones y privacidad (ADAE) (ley 205/2013) - la última Ley griega publicado por ADAE concentrados alrededor de la protección de la integridad y la disponibilidad de los servicios y datos ofrecidos por el griego telecomunicaciones bièn nueva ley obliga a empresas de telecomunicaciones y empresas para construir, implementar y probar planes de continuidad de negocio apropiadas y redundantes infraestructuras asociadas.
Cultura de seguridad de la información
El comportamiento del empleado tiene un gran impacto en la seguridad de la información en las organizaciones. Concepto cultural puede ayudar a diferentes segmentos de la organización a la preocupación sobre la seguridad de la información dentro de la organización. ″Exploring la relación entre cultura organizacional y Culture″ de seguridad de información proporciona la siguiente definición de cultura de la seguridad de información: ″ISC es la totalidad de los patrones de comportamiento en una organización que contribuyen a la protección de la información de todo tipo. ″[27]
Cultura de seguridad de la información necesita ser mejorada continuamente. En ″Information cultura de la seguridad desde el análisis de Change″, autores, comentaron ″It′s un interminable proceso, un ciclo de evaluación y el cambio o mantenimiento. ″ para gestionar la cultura de seguridad de información, deben realizar cinco pasos: evaluación previa, planificación estratégica, planificación operativa, implementación y evaluación posterior.[28]
- Pre-Evaluation: para identificar la conciencia de seguridad de la información dentro de los empleados y a la política actual de seguridad análisis.
- Planificación estratégica: para llegar a un mejor programa de conciencia, necesitamos establecer objetivos claros. Gente de clustering es útil para lograrlo.
- Planificación operativa: podemos establecer una cultura de seguridad basada en la comunicación interna, management-buy-in y conciencia de seguridad y programa de entrenamiento.[28]
- Aplicación: cuatro etapas puede usarse para implementar la cultura de seguridad de información. Son compromiso de gestión, comunicación con los miembros de la organización, cursos para todos los miembros de la organización y el compromiso de los empleados.[28]
Fuentes de las normas
International Organization for Standardization (ISO) es un consorcio de institutos de normas nacionales de 157 países, coordinados por una Secretaría en Ginebra, Suiza. ISO es el desarrollador más grande del mundo de las normas. ISO 15443: "Información tecnica - seguridad - un marco para la garantía de seguridad IT", ISO/IEC 27002:: "Tecnología de la información - técnicas de seguridad - código de prácticas para la administración de seguridad de información", ISO-20000:: "Information technology - Service management", y ISO/IEC 27001:: "Información tecnica - seguridad - seguridad manejo sistemas de información - requisitos" son de particular interés para profesionales de seguridad de la información.
Los Estados Unidos National Institute of Standards and Technology (NIST) es una agencia federal no reglamentarios dentro de la Departamento de comercio de Estados Unidos. La división de seguridad del NIST Computer desarrolla estándares, mediciones, pruebas y validación programas así como publica las normas y directrices para incrementar fíjela planificación, implementación, gestión y operación. NIST también es el Custodio de los Estados Unidos Estándar de procesamiento de información federal Publicaciones (PAA).
La Internet Society es una sociedad de membresía profesional con más de 100 de la organización y más de 20.000 miembros individuales en más de 180 países. Proporciona liderazgo para abordar los problemas que enfrentan el futuro de la Internet y es la organización a los grupos responsables de estándares de infraestructura de Internet, incluyendo el Internet Engineering Task Force (IETF) y el Internet Architecture Board (IAB). La ISOC acoge las solicitudes de comentarios (RFC) que incluye las normas oficiales de protocolo de Internet y el RFC-2196 Manual de seguridad de sitio.
El Foro de seguridad de la información es una organización sin fines de lucro global de varios cientos organizaciones líderes en servicios financieros, manufactura, telecomunicaciones, bienes de consumo, gobierno y otras áreas. Se lleva a cabo investigaciones en las prácticas de seguridad de la información y ofrece asesoramiento en su bianual Normas de buenas prácticas y más detallada los avisos para los miembros.
El Instituto de información profesionales de seguridad (IISP) es un órgano independiente, sin ánimo de lucro gobernado por sus miembros, con el objetivo principal de promover el profesionalismo de los profesionales de seguridad de información y de tal modo el profesionalismo de la industria en su conjunto. El Instituto desarrolló el IISP habilidades marco ©. Este marco describe la gama de competencias previsto en el desempeño eficaz de sus funciones de seguridad de la información y profesionales de aseguramiento de la información. Ha sido desarrollado mediante la colaboración entre ambos privados y organizaciones del sector público y académicos de renombre mundial y líderes de seguridad.
El alemán Oficina federal para la seguridad de la información (en alemán Bundesamt für Sicherheit en der Informationstechnik (BSI)) BSI-100-1 a 100-4 normas son un conjunto de recomendaciones incluyendo "métodos, procesos, procedimientos, métodos y medidas relativas a la seguridad de la información".[29] El BSI-Standard 100-2 Metodología de él-Grundschutz describe cómo una administración de seguridad de la información puede ser implementado y operado. El estándar incluye una guía muy específica, la ÉL referencia protección catálogos (también conocido como él-Grundschutz catálogos). Antes de 2005 los catálogos eran conocidos anteriormente como"Protección de línea de base es Manual". Los catálogos son una colección de documentos útiles para detectar y combatir puntos débiles relevantes para la seguridad en el entorno de ti (cluster de ti). La colección abarca desde septiembre de 2013 más de 4.400 páginas con la introducción y catálogos. El enfoque de él-Grundschutz está alineado con la familia 2700 x ISO/IEC.
En el Instituto de estándares de telecomunicaciones europeo un catálogo de Indicadores de seguridad de información se han estandarizado por la especificación Industrial Group (ISG) ISI.
Conclusión
Seguridad de la información es el proceso continuo de ejercer el debido cuidado y debida diligencia para proteger la información y sistemas de información, de acceso no autorizado, uso, divulgación, destrucción, modificación, o alteración o distribución. El interminable proceso de seguridad de la información implica la formación continua, evaluación, protección, vigilancia y detección, respuesta a incidentes y reparación, documentación y revisión. Esto hace a seguridad de la información una parte indispensable de todas las operaciones comerciales a través de diferentes dominios.
Véase también
|
|
Expertos trabajan en el campo
|
|
Lectura adicional
- Anderson, K. "Seguridad profesionales deben evolucionar para cambiar el mercado", SC Magazine, 12 de octubre de 2006.
- Aceituno, V., "Sobre información seguridad paradigmas", ISSA Journal, Septiembre de 2005.
- Dhillon, G., Principios de sistemas de información de seguridad: texto y casos, John Wiley & Sons, 2007.
- Easttom, C., Fundamentos de seguridad informática (2ª edición) Prensa Pearson, 2011.
- Lambo, T., "ISO/IEC 27001: el futuro de la certificación de infosec", ISSA Journal, Noviembre de 2006.
Notas y referencias
- ^ 44 U.S.C.§ 3542(b)(1)
- ^ a b c J. Y. Cherdantseva y Hilton: "seguridad de la información y seguridad de la información. La discusión sobre el significado, alcance y objetivos". En: Dimensiones organizacionales, Legal y tecnológicas de administrador de sistemas de información. Almeida f el., Portela, I. (eds.). IGI Global Publishing. (2013)
- ^ ISO/IEC 27000:2009 (E). (2009). - técnicas de seguridad - información seguridad Administración sistemas informáticos - Resumen y vocabulario. ISO/IEC.
- ^ Comité de sistemas nacionales de seguridad: información nacional Glosario de aseguramiento (IA), CNSS instrucción nº 4009, 26 de abril de 2010.
- ^ ISACA. (2008). Glosario de términos, 2008. Obtenido de https://www.isaca.org/Knowledge-Center/Documents/Glossary/Glossary.pdf
- ^ Pipkin, D. (2000). Seguridad de la información: protección de la empresa global. Nueva York: Hewlett-Packard Company.
- ^ B., McDermott, E. & Geer, D. (2001). Seguridad de la información es la gestión de riesgos de la información. En Proceedings of the Workshop 2001 en nuevos paradigmas de seguridad NSPW ' 01, (pp. 97-104). ACM. doi:10.1145/508171.508187
- ^ Anderson, J. M. (2003). "Por qué necesitamos una nueva definición de seguridad de la información". Equipos & seguridad, Geomorfologia, 308-313. doi:10.1016 / S0167-4048 (03) 00407-3.
- ^ Venter, H. S. & Eloff, P. J. H. (2003). "Una taxonomía para tecnologías de seguridad de la información". Equipos & seguridad, Geomorfologia, 299-307. doi:10.1016 / S0167-4048 (03) 00406-1.
- ^ https://www.ISC2.org/uploadedFiles/ (ISC)2_Public_Content/2013%20Global%20Information%20Security%20Workforce%20Study%20Feb%202013.pdf
- ^ Perrin, Chad. "La tríada CIA". 31 de mayo 2012.
- ^ "Principios de ingeniería para la seguridad informática". CSRC.NIST.gov.
- ^ "oecd.org" (PDF). 17 / 01 / 2014.
- ^ "NIST Special Publication 800-27 Rev A". CSRC.NIST.gov.
- ^ Boritz, J. Efrim. "Es opiniones aplicada sobre conceptos básicos de integridad de la información". Revista Internacional de sistemas de información contable. Elsevier. 12 de agosto 2011.
- ^ Loukas, G.; Oke, G. (septiembre de 2010) [agosto de 2009]. "Protección contra la denegación de servicio ataques: una encuesta". Comput. J. 53 (7): 1020 – 1037. Doi:10.1093/comjnl/bxp078.
- ^ ISACA (2006). CISA Review Manual 2006. Asociación de Control y auditoría de sistemas de información. p. 85. ISBN1-933284-15-3.
- ^ Spagnoletti, Paolo; Resca A. (2008). "La dualidad de la administración de seguridad de la información: lucha contra amenazas previsibles e imprevisibles". Revista de información sistema de seguridad 4 (3): 46 – 62.
- ^ Kiountouzis, E.A.; Kokolakis, S.A. Seguridad de sistemas de información: frente a la sociedad de la información del siglo XXI. Londres: Chapman & Hall, Ltd. ISBN0-412-78120-4.
- ^ "NIST SP 800-30 riesgo Management Guide for sistemas informáticos" (PDF). 17 / 01 / 2014.
- ^ "La segregación de la matriz de Control de tareas". ISACA. 2008. 2008-09-30.[link muerto]
- ^ Shon Harris (2003). Guía de examen de certificación CISSP All-in-one (2ª ed.). Emeryville, California: McGraw-Hill/ Osborne. ISBN0-07-222966-7.
- ^ ITPI.org[link muerto]
- ^ "wikisummaries.org". wikisummaries.org. 17 / 01 / 2014.
- ^ Harris, Shon (2008). Guía de examen de certificación CISSP All-in-one (4ª ed.). Nueva York, NY: McGraw-Hill. ISBN978-0-07-149786-2.
- ^ "El Plan de recuperación ante desastres". Sans Institute. 7 de febrero 2012.
- ^ Lim, Joo S., et al., "Explorar la relación entre cultura organizacional y cultura de la seguridad de información". Australiano Information Security Management Conference.
- ^ a b c Schlienger, Thomas y Stephanie Teufel. "Seguridad cultura-de análisis de información para cambiar." Diario de informática del africano del sur 31 (2003): 46-52.
- ^ "Normas BSI". https://www.BSI.Bund.de. BSI. 29 de noviembre 2013.
Enlaces externos
Wikimedia Commons tiene medios relacionados con Seguridad de la información. |
- DoD IA política gráfico en el sitio web de DoD Information Assurance tecnología análisis Center.
- patrones y prácticas explicó Ingeniería de seguridad
- Arquitectura - controles de seguridad abierta y patrones para garantizar los sistemas
- Una introducción a la seguridad de la información
- IWS - capítulo de seguridad de la información
- Ross Anderson libro "Ingeniería de seguridad"
- Traducción al Inglés de la regulación del griego (165/2011)
Bibliografía
- Allen, Julia H. (2001). La guía CERT de sistema y prácticas de seguridad de red. Boston, MA: Addison-Wesley. ISBN0-201-73723-X.
- Krutz, Ronald L.; Russell Dean vides (2003). La guía de preparación CISSP (Oro edición Ed.). Indianapolis, IN: Wiley. ISBN0-471-26802-X.
- Layton, Timothy P. (2007). Seguridad de la información: Diseño, implementación, medición y cumplimiento. Boca Raton, FL: Publicaciones de Auerbach. ISBN978-0-8493-7087-8.
- McNab, Chris (2004). Evaluación de seguridad de red. Sebastopol, CA: o ' Reilly. ISBN0-596-00611-X.
- Peltier, Thomas R. (2001). Análisis de riesgo para la seguridad de la información. Boca Raton, FL: Publicaciones de Auerbach. ISBN0-8493-0880-1.
- Peltier, Thomas R. (2002). Las políticas de seguridad de la información, procedimientos y estándares: directrices para la gestión de la seguridad de información eficaz. Boca Raton, FL: Publicaciones de Auerbach. ISBN0-8493-1137-3.
- White, Gregory (2003). Guía de examen de certificación de seguridad All-in-one +. Emeryville, CA: McGraw-Hill/Osborne. ISBN0-07-222633-1.
- Dhillon, Gurpreet (2007). Principios de sistemas de información de seguridad: texto y casos. Nueva York: John Wiley & Sons. ISBN978-0-471-45056-6.
|