Seguretat de la informació

De Viquipèdia
Salta a: navegació, cerca
Màquina Enigma utilitzada per xifrar informació per les forces d'Alemanya durant la Segona Guerra Mundial.

La seguretat de la informació és el conjunt de mesures preventives i reactives de les organitzacions i dels sistemes tecnològics que permeten protegir i protegir la informació buscant mantenir la confidencialitat, la disponibilitat i integritat d'aquesta.

El concepte de seguretat de la informació no ha de ser confós amb el de seguretat informàtica, ja que aquest últim només s'encarrega de la seguretat en el mig informàtic, però la informació pot trobar-se en diferents mitjans o formes, i no solament en mitjans informàtics.

Per a l'home com a individu, la seguretat de la informació té un efecte significatiu respecte al seu privadesa, la que pot cobrar diferents dimensions depenent de la cultura d'aquest.

El camp de la seguretat de la informació ha crescut i evolucionat considerablement a partir de la Segona Guerra Mundial, convertint-se en una carrera acreditada a nivell mundial. Aquest camp ofereix moltes àrees d'especialització, inclosos l'auditoria de sistemes d'informació, planificació de la continuïtat del negoci, ciència forense digital i administració de sistemes de gestió de seguretat, entre altres.

Concepció de la seguretat de la informació[modifica | modifica el codi]

En la seguretat de la informació és important assenyalar que el seu maneig està basat a la tecnologia i devem saber que pot ser confidencial: la informació està centralitzada i pot tenir un alt valor. Pot ser divulgada, mal utilitzada, ser robada, esborrada o sabotejada. Això afecta la seva disponibilitat i la posa en risc. La informació és poder, i segons les possibilitats estratègiques que ofereix tenir accés a certa informació, aquesta es classifica com:

Crítica: És indispensable per a l'operació de l'empresa.
Valuosa: És un actiu de l'empresa i molt valuós.
Sensible: Deu ser coneguda per les persones autoritzades

Existeixen dues paraules molt importants que són risc i seguretat:

Risc: És la materialització de vulnerabilitats identificades, associades amb la seva probabilitat d'ocurrència, amenaces exposades, així com l'impacte negatiu que ocasioni a les operacions de negoci.
Seguretat: És una forma de protecció contra els riscos.

La seguretat de la informació comprèn diversos aspectes entre ells la disponibilitat, comunicació, identificació de problemes, anàlisis de riscos, la integritat, confidencialitat, recuperació dels riscos.

Precisament la reducció o eliminació de riscos associat a una certa informació és l'objecte de la seguretat de la informació i la seguretat informàtica. Més concretament, la seguretat de la informació té com a objecte els sistemes l'accés, ús, divulgació, interrupció o destrucció no autoritzada d'informació.[1] Els termes seguretat de la informació, seguretat informàtica i garantia de la informació són usats freqüentment com a sinònims perquè tots ells persegueixen una mateixa finalitat en protegir la confidencialitat, integritat i disponibilitat de la informació. No obstant això, no són exactament el mateix existint algunes diferències subtils. Aquestes diferències radiquen principalment en l'enfocament, les metodologies utilitzades, i les zones de concentració. A més, la seguretat de la informació involucra la implementació d'estratègies que cobreixin els processos on la informació és l'actiu primordial. Aquestes estratègies han de tenir com a punt primordial l'establiment de polítiques, controls de seguretat, tecnologies i procediments per detectar amenaces que puguin explotar vulnerabilitats i que posin en risc aquest actiu, és a dir, que ajudin a protegir i salvaguardar tant informació com els sistemes que l'emmagatzemen i administren. La seguretat de la informació incumbeix a governs, entitats militars, institucions financeres, els hospitals i les empreses privades amb informació confidencial sobre els seus empleats, clients, productes, investigació i la seva situació financera.

En cas que la informació confidencial d'una empresa, els seus clients, les seves decisions, el seu estat financer o nova línia de productes caiguin en mans d'un competidor; es torni pública de forma no autoritzada, podria ser causa de la pèrdua de credibilitat dels clients, pèrdua de negocis, demandes legals o fins i tot la fallida d'aquesta.

Per més de vint anys la Seguretat de la Informació ha declarat que la confidencialitat, integritat i disponibilitat (coneguda com la Tríade CIA, de l'anglès: "Confidentiality, Integrity, Availability") són els principis bàsics de la seguretat de la informació.

La correcta Gestió de la Seguretat de la Informació busca establir i mantenir programes, controls i polítiques, que tinguin com a finalitat conservar la confidencialitat, integritat i disponibilitat de la informació, si alguna d'aquestes característiques falla no estem davant res segur. Cal anotar, a més, que la seguretat no és cap fita, és més aviat un procés continu que cal gestionar coneixent sempre les vulnerabilitats i les amenaces que se cenyeixen sobre qualsevol informació, tenint sempre en compte les causes de risc i la probabilitat que ocorrin, així com l'impacte que pot tenir. Una vegada coneguts tots aquests punts, i mai abans, hauran de prendre's les mesures de seguretat oportunes.

Confidencialitat[modifica | modifica el codi]

La confidencialitat és la propietat que impedeix la divulgació d'informació a persones o sistemes no autoritzats. A grans trets, assegura l'accés a la informació únicament a aquelles persones que comptin amb la deguda autorització.

Per exemple, una transacció de targeta de crèdit en Internet requereix que el nombre de targeta de crèdit a ser transmesa des del comprador al comerciant i el comerciant d'una xarxa de processament de transaccions. El sistema intenta fer valer la confidencialitat mitjançant el xifrat del nombre de la targeta i les dades que conté la banda magnètica durant la transmissió d'aquests. Si una part no autoritzada obté el nombre de la targeta de cap manera, s'ha produït una violació de la confidencialitat.

La pèrdua de la confidencialitat de la informació pot adoptar moltes formes. Quan algú mira per sobre de la seva espatlla, mentre vostè té informació confidencial en la pantalla, quan es publica informació privada, quan un ordinador portàtil amb informació sensible sobre una empresa és robat, quan es divulga informació confidencial a través del telèfon, etc. Tots aquests casos poden constituir una violació de la confidencialitat.

Integritat[modifica | modifica el codi]

És la propietat que busca mantenir les dades lliures de modificacions no autoritzades. (No és igual a integritat referencial en bases de dades.) Grosso modo, la integritat és el mantenir amb exactitud la informació tal qual va ser generada, sense ser manipulada o alterada per persones o processos no autoritzats.

La violació d'integritat es presenta quan un empleat, programa o procés (per accident o amb mala intenció) modifica o esborra les dades importants que són part de la informació, així mateix fa que el seu contingut romangui inalterat tret que sigui modificat per personal autoritzat, i aquesta modificació sigui registrada, assegurant la seva precisió i confiabilitat. La integritat d'un missatge s'obté adjuntant-li un altre conjunt de dades de comprovació de la integritat: la signatura digital és un dels pilars fonamentals de la seguretat de la informació.

Disponibilitat[modifica | modifica el codi]

La disponibilitat és la característica, qualitat o condició de la informació de trobar-se a la disposició dels qui han d'accedir a ella, ja siguin persones, processos o aplicacions. Grosso modo, la disponibilitat és l'accés a la informació i als sistemes per persones autoritzades al moment que així ho requereixin.

En el cas dels sistemes informàtics utilitzats per emmagatzemar i processar la informació, els controls de seguretat utilitzats per protegir-ho, i els canals de comunicació protegits que s'utilitzen per accedir a ella han d'estar funcionant correctament. L'alta disponibilitat de sistemes objectiu ha d'estar disponible a tot moment, evitant interrupcions del servei a causa de corts d'energia, fallades de maquinari, i actualitzacions del sistema.

Garantir la disponibilitat implica també la prevenció d'atac de denegació de servei. Per poder manejar amb major facilitat la seguretat de la informació, les empreses o negocis es poden ajudar amb un sistema de gestió que permeti conèixer, administrar i minimitzar els possibles riscos que atemptin contra la seguretat de la informació del negoci.

La disponibilitat a més de ser important en el procés de seguretat de la informació, és a més variada en el sentit que existeixen diversos mecanismes per complir amb els nivells de servei que es requereixi. Tals mecanismes s'implementen en infraestructura tecnològica, servidors de correu electrònic, de bases de dades, de web, etc, mitjançant l'ús de clusters o arranjaments de discos, equips en alta disponibilitat a nivell de xarxa, servidors mirall, replicació de dades, xarxes d'emmagatzematge (SAN), enllaços redundants, etc. La gamma de possibilitats dependrà del que volem protegir i el nivell de servei que es vulgui proporcionar.

Autenticació o autenticació[modifica | modifica el codi]

És la propietat que permet identificar el generador de la informació. Per exemple en rebre un missatge d'algú, estar segur que és d'aquest algú el que ho ha manat, i no una tercera persona fent-se passar per l'altra (suplantació d'identitat). En un sistema informàtic se sol aconseguir aquest factor amb l'ús de comptes d'usuari i contrasenyes d'accés.

Aquesta propietat es pot considerar com un aspecte de la integritat -si està signat per algú, està realment enviat pel mateix- i així figura en la literatura anglosaxona.

Serveis de seguretat[modifica | modifica el codi]

L'objectiu d'un servei de seguretat és millorar la seguretat dels sistemes de processament de dades i la transferència d'informació en les organitzacions. Els serveis de seguretat estan dissenyats per contrarestar els atacs a la seguretat i fan ús d'un o més mecanismes de seguretat per proporcionar el servei.

No repudi[modifica | modifica el codi]

Proporciona protecció contra la interrupció, per part d'alguna de les entitats implicades en la comunicació, d'haver participat en tota o part de la comunicació. El servei de Seguretat de No repudi o irrenunciabilitat està estandarditzat en l'ISO-7498-2.

No Repudi d'origen: L'emissor no pot negar que enviament perquè el destinatari té proves de l'enviament, el receptor rep una prova infalsificable de l'origen de l'enviament, la qual cosa evita que l'emissor, de negar tal enviament, tingui èxit davant el judici de tercers. En aquest cas la prova la crea el propi emissor i la rep el destinatari.

  • Prova que el missatge va ser enviat per la part específica.

No Repudi de destinació: El receptor no pot negar que va rebre el missatge perquè l'emissor té proves de la recepció. Aquest servei proporciona a l'emissor la prova que el destinatari legítim d'un enviament, realment ho va rebre, evitant que el receptor ho negui posteriorment. En aquest cas la prova irrefutable la crea el receptor i la rep l'emissor.

  • Prova que el missatge va ser rebut per la part específica.

Si l'autenticitat prova qui és l'autor d'un document i com és el seu destinatari, el "no repudi" prova que l'autor va enviar la comunicació (no repudi en origen) i que el destinatari la va rebre (no repudi en destinació). El no repudi evita que l'emissor o el receptor neguin la transmissió d'un missatge. Així, quan s'envia un missatge, el receptor pot comprovar que, efectivament, el suposat emissor va enviar el missatge. De forma similar, quan es rep un missatge, l'emissor pot verificar que, de fet, el suposat receptor va rebre el missatge. Definició segons la recomanació X.509 de la UIT-T Servei que subministra la prova de la integritat i de l'origen de les dades- tots dos en una relació infalsificable que poden ser verificats per un tercer a qualsevol moment.

Protocols de Seguretat de la Informació[modifica | modifica el codi]

Els protocols de seguretat són un conjunt de regles que governen dins de la transmissió de dades entre la comunicació de dispositius per exercir una confidencialitat,integritat, autenticació i el no repudi de la informació. Es componen de:

  • Criptografia (Xifrat de dades). S'ocupa de transposicionar o ocultar el missatge enviat per l'emissor fins que arriba a la seva destinació i pot ser desxifrat pel receptor.
  • Lògica (Estructura i seqüència). Portar un ordre en el qual s'agrupen les dades del missatge el significat del missatge i saber quan es va enviar el missatge.
  • Identificació (Autentication). És una validació d'identificació és la tècnica mitjançant la qual un procés comprova que el company de comunicació és qui se suposa que és i no es tracta d'un impostor.

Planificació de la seguretat[modifica | modifica el codi]

Avui dia la ràpida evolució de l'entorn tècnic requereix que les organitzacions adoptin un conjunt mínim de controls de seguretat per protegir la seva informació i sistemes d'informació. El propòsit del pla de seguretat del sistema és proporcionar una visió general dels requisits de seguretat del sistema i es descriuen els controls en el lloc o els previstos per complir aquests requisits. El pla de seguretat del sistema també delinea les responsabilitats i el comportament esperat de tots els individus que accedeixen al sistema. Ha de reflectir les aportacions de diferents gestors amb responsabilitats sobre el sistema, inclosos els propietaris de la informació, el propietari de la xarxa, i l'alt funcionari de l'agència d'informació de seguretat (SAISO).

Els administradors de programes, els propietaris del sistema, i personal de seguretat en l'organització ha d'entendre el sistema de seguretat en el procés de planificació. Els responsables de l'execució i gestió de sistemes d'informació han de participar en el tractament dels controls de seguretat que han d'aplicar-se als seus sistemes.

Creació d'un pla de resposta a incidents[modifica | modifica el codi]

És important formular un pla de respostes a incidents, suportar-ho al llarg de l'organització i provar-ho regularment. Un bon pla de respostes a incidents pot no només minimitzar els efectes d'una violació sinó també, reduir la publicitat negativa.

Des de la perspectiva de l'equip de seguretat, no importa si ocorre una violació o obertura (doncs tals esdeveniments són una part eventual de quan es fan negocis usant un mètode de poca confiança com l'és Internet), sinó més aviat quan ocorre. L'aspecte positiu d'entendre la inevitabilitat d'una violació als sistemes (qualsevol sistema on es processi informació confidencial, no aquesta limitat a serveis informàtics) és que permet a l'equip de seguretat desenvolupar un curs d'accions per minimitzar els danys potencials. Combinant un curs d'accions amb l'experiència li permet a l'equip respondre a condicions adverses d'una manera formal i oportuna.

El pla de resposta a incidents pot ser dividit en quatre fases:

  • Acció immediata per detenir o minimitzar l'incident
  • Investigació de l'incident
  • Restauració dels recursos afectats
  • Reporti de l'incident als canals apropiats

Una resposta a incidents ha de ser decisiva i executar-se ràpidament. A causa que hi ha molt poc espai per a errors, és crític que s'efectuïn pràctiques d'emergències i es mesurin els temps de resposta. D'aquesta forma, és possible desenvolupar una metodologia que fomenta la velocitat i la precisió, minimitzant l'impacte de la indisponibilitat dels recursos i el dany potencial causat pel sistema en perill.

Un pla de resposta a incidents té un nombre de requeriments, incloent:

  • Un equip d'experts locals (un Equip de resposta a emergències de computació)
  • Una estratègia legal revisada i aprovada
  • Suport financer de la companyia
  • Suporti executiu de la gerència superior
  • Un pla d'acció factible i provat
  • Recursos físics, tal com emmagatzematge redundant, sistemes en stand by i serveis de respatller

Consideracions legals[modifica | modifica el codi]

Altres aspectes importants a considerar en una resposta a incidents són les ramificacions legals. Els plans de seguretat haurien de ser desenvolupats amb membres de l'equip d'assessoria jurídica o alguna forma de consultoria general. De la mateixa forma en què cada companyia hauria de tenir la seva pròpia política de seguretat corporativa, cada companyia té la seva forma particular de manejar incidents des de la perspectiva legal. Les regulacions locals, d'estat o federals estan més enllà de l'àmbit d'aquest document, però s'esmenten a causa que la metodologia per dur a terme l'anàlisi forense, serà dictat, almenys en part, per la consultoria jurídica. La consultoria general pot alertar al personal tècnic de les ramificacions legals d'una violació; els perills que s'escapi informació personal d'un client, registres mèdics o financers; i la importància de restaurar el servei en ambients de missió crítica tals com a hospitals i bancs.

Plans d'acció[modifica | modifica el codi]

Una vegada creat un pla d'acció, est ha de ser acceptat i implementat activament. Qualsevol aspecte del pla que sigui qüestionat durant la implementació activa el més segur és que resulti en un temps de resposta pobra i temps fora de servei en l'esdeveniment d'una violació. Aquí és on els exercicis pràctics són invalorables. La implementació del pla hauria de ser acordada entre totes les parts relacionades i executada amb seguretat, tret que es cridi l'atenció pel que fa a alguna cosa abans que el pla sigui col·locat en producció.

La resposta a incidents ha d'anar acompanyada amb recol·lecció d'informació sempre que això sigui possible. Els processos en execució, connexions de xarxa, arxius, directoris i molt més hauria de ser auditat activament en temps real. Pot ser molt útil tenir una presa instantània dels recursos de producció en fer un seguiment de serveis o processos maliciosos. Els membres de CERT i els experts interns seran recursos excel·lents per seguir tals anomalies en un sistema.

El maneig de riscos[modifica | modifica el codi]

Dins de la seguretat en la informació es duu a terme la classificació de les alternatives per manejar els possibles regs que un actiu o bé pot tenir dins dels processos d'organització. Aquesta classificació porta el nom de maneig de riscos. El maneig de riscos, comporta una estructura ben definida, amb un control adequat i el seu maneig, havent-los identificat, prioritzats i analitzats, a través d'accions factibles i efectives. Per a això es compta amb les següents tècniques de maneig del risc:

  • Evitar. El risc és evitat quan l'organització rebutja acceptar-ho, és a dir, no es permet cap tipus d'exposició. Això s'aconsegueix simplement amb no comprometre's a realitzar l'acció que origini el risc. Aquesta tècnica té més desavantatges que avantatges, ja que l'empresa podria abstenir-se d'aprofitar moltes oportunitats. Exemple:
    No instal·lar empreses en zones sísmiques
  • Reduir. Quan el risc no pot evitar-se per tenir diverses dificultats de tipus operacional, l'alternativa pot ser la seva reducció fins al nivell més baix possible. Aquesta opció és la més econòmica i senzilla. S'aconsegueix optimitzant els procediments, la implementació de controls i el seu monitoreig constant. Exemple:
    No fumar a certes àrees, instal·lacions elèctriques anti flama, plans de contingència.
  • Retenir, Assumir o Acceptar el risc. És un dels mètodes més comuns del maneig de riscos, és la decisió d'acceptar les conseqüències de l'ocurrència de l'esdeveniment. Pot ser voluntària o involuntària, la voluntària es caracteritza pel reconeixement de l'existència del risc i l'acord d'assumir les perdudes involucrades, aquesta decisió es dóna per falta d'alternatives. La retenció involuntària es dóna quan el risc és retingut inconscientment. Exemple d'assumir el risc:
    Amb recursos propis es financen les pèrdues.
  • Transferir. És buscar un respatller i compartir el risc amb altres controls o entitats. Aquesta tècnica s'usa ja sigui per eliminar un risc d'un lloc i transferir-ho a un altre, o per minimitzar el mateix, compartint-ho amb altres entitats. Exemple:
    Transferir els costos a la companyia asseguradora

Mitjans de transmissió d'atacs als sistemes de seguretat[modifica | modifica el codi]

El millor en solucions de la seva classe permet una resposta ràpida a les amenaces emergents, tals com:

Aquestes solucions ofereixen un camí a la migració i la integració. Com les amenaces emergents, cada vegada més generalitzada, aquests productes es tornen més integrats en un enfocament de sistemes.

Un enfocament de sistemes de configuració, la política, i el seguiment es reuneix compliment de les normatives en curs i permet als sistemes rendibles de gestió. L'enfocament de sistemes de gestió de la seguretat, disposa:

  • Configuració de la política comuna de tots els productes
  • Amenaça la intel·ligència i la col·laboració d'esdeveniments
  • Reducció de la complexitat de configuració
  • Anàlisi de riscos eficaços i operatius de control

En l'actualitat gràcies a la gran quantitat possibilitats que es té per tenir accés als recursos de manera remota i al gran increment en les connexions a la internet els delictes en l'àmbit de TU s'han vist incrementat, sota aquestes circumstàncies els riscos informàtics són més latents. Els delictes comesos mitjançant l'ús de la computadora han crescut en grandària, forma i varietat. Els principals delictes fets per computadora o per mitjà de computadores són:

  • Fraus
  • Falsificació
  • Venda d'informació

Entre els fets criminals més famosos als Estats Units estan:

  • El cas del Banc Wells Fargo on s'evidencio que la protecció d'arxius era inadequada, l'error de la qual cost USD 21.3 milions.
  • El cas de la NASA on dos alemanys van ingressar en arxius confidencials.
  • El cas d'un noi de 15 anys que entrant a la computadora de la Universitat de Berkeley a Califòrnia va destruir gran quantitat d'arxius.
  • També s'esmenta el cas d'un estudiant d'una escola que ingresso a una xarxa canadenca amb un procediment d'admirable senzillesa, atorgant-se una identificació com un usuari d'alta prioritat, i tom el control d'una embotelladora del Canadà.
  • També el cas de l'empleat que va vendre la llista de clients d'una companyia de venda de llibres, la qual cosa va causar una pèrdua de 3 milions d'USD.
  • També el cas d'estudiants d'Enginyeria electrònica on van accedir al sistema d'una Universitat de Colòmbia i van canviar les notes dels seus companys generant estralls en aquesta Universitat i retardant labors, la qual cosa va deixar grans perdudes econòmiques i de temps.[2]

Els virus, troians, spyware, malware i altre codi anomenat maliciós (per les funcions que realitza i no per tractar-se d'un codi erroni), tenen com a objectiu principal executar accions no sol·licitades per l'usuari, les quals poden ser des de, l'accés a una pàgina no desitjada, el redireccionament d'algunes pàgines d'internet, suplantació d'identitat o fins i tot la destrucció o dany temporal als registres del sistemes, arxius i/o carpetes pròpies. El virus informàtic és un programa elaborat accidental o intencionadament, que s'introdueix i es transmet a través qualsevol mitjà extraïble i transportable o de la mateixa xarxa en la qual es trobi un equip infectat, causant diversos tipus de danys als sistemes.

Històricament els virus informàtics van ser descoberts per la premsa el 12 d'octubre de 1985, amb una publicació del New York Times que parlava d'un virus que va ser es va distribuir des d'un BBS i aparentment era per optimitzar els sistemes IBM basats en targeta gràfica EGA, però en executar-ho sortia la presentació però al mateix temps esborrava tots els arxius del disc dur, amb un missatge en finalitzar que deia "Caigut".

Aquesta dada es considera com el naixement del seu nom, ja que els programes amb codi integrat, dissenyats per fer coses inesperades han existit des que existeixen les pròpies computadores. Les primeres referències de virus amb finalitats intencionals van sorgir en 1983 quan Digital Equipament Corporation (DEC) va emprar una subrutina per protegir el seu famós processador de textos Decmate II, que l'1 d'abril de 1983 en cas de ser còpia il·legal esborrava tots els arxius de la seva unitat de disc.

Actors que amenacen la seguretat[modifica | modifica el codi]

  • Un hacker és qualsevol persona amb amplis coneixements en tecnologia, bé pot ser informàtica, electrònica o comunicacions, manté permanentment actualitzat i coneix a fons tot el relacionat amb programació i sistemes complexos; és un investigador nat que s'inclina abans de res per conèixer el relacionat amb cadenes de dades xifrades i les possibilitats d'accedir a qualsevol tipus de "informació segura". La seva formació i les habilitats que posseeixen els dóna una experticia major que els permet accedir a sistemes d'informació segurs, sense ser descoberts, i també els dóna la possibilitat de difondre els seus coneixements perquè les altres persones s'assabentin de com és que realment funciona la tecnologia i coneguin les debilitats dels seus propis sistemes d'informació.
  • Un cracker, és aquella persona amb comportament compulsiu, que alardea de la seva capacitat per rebentar sistemes electrònics i informàtics. Un cracker és un hàbil coneixedor de programació de Programari i Maquinari; dissenya i fabrica programes de guerra i maquinari per rebentar programari i comunicacions com el telèfon, el correu electrònic o el control d'altres computadors remots.
  • Un lamer És una persona que alardeja de pirata informàtic, cracker o hacker i solament intenta utilitzar programes de fàcil maneig realitzats per autèntics hackers.
  • Un copyhacker és una persona dedicada a falsificar i crackear maquinari, específicament en el sector de targetes intel·ligents. La seva estratègia radica a establir amistat amb els veritables Hackers, per copiar-los els mètodes de ruptura i després vendre'ls els bucaners. Els copyhackers s'interessen per posseir coneixements de tecnologia, són aficionats a les revistes tècniques i a llegir tot el que hi ha a la xarxa. La seva principal motivació és els diners.
  • Un "bucaner" és un comerciant que depèn exclusivament de de la xarxa per a la seva activitat. Els "bucaners" no posseeixen cap tipus de formació a l'àrea dels sistemes, si posseeixen un ampli coneixement en àrea dels negocis.
  • Un phreaker es caracteritzen per posseir vasts coneixements a l'àrea de telefonia terrestre i mòbil, fins i tot més que els propis tècnics de les companyies telefòniques; recentment amb l'auge dels telèfons mòbils, han hagut d'entrar també al món de la informàtica i del processament de dades.
  • Un newbie o "novençà de xarxa" és un individu que sense proposar-li-ho ensopega amb una pàgina de hacking i descobreix que en ella existeixen àrees de descàrrega de bons programes de hackeig, baixa tot el que pugues i comença a treballar amb ells.
  • Un script kiddie o skid kiddie, és un simple usuari d'Internet, sense coneixements sobre hackeig o crackeig que, encara que aficionat a aquests tema, no els coneix en profunditat limitant-se a recopilar informació de la xarxa i a buscar programes que després executa, infectant en alguns casos de virus als seus propis equips.
  • Un ximple o descurat, és un simple usuaris de la informació, amb coneixements sobre hackeig o crackeig, o sense, que accidentalment esborra danya o modifica la informació, ja sigui en un manteniment de rutina o supervisió.

Altres conceptes[modifica | modifica el codi]

Altres conceptes relacionats són:[3]

  • Auditabilitat: Permetre la reconstrucció, revisió i anàlisi de la seqüència d'esdeveniments
  • Identificació: verificació d'una persona o cosa; reconeixement.
  • Autenticació: Proporcionar una prova d'identitat; pot ser alguna cosa que se sap, que s'és, es té o una combinació de totes.
  • Autorització: El que es permet quan s'ha atorgat accés
  • No repudi: no es pot negar un esdeveniment o una transacció.
  • Seguretat en capes: La defensa a profunditat que contingui la inestabilitat
  • Control d'Accés: limitar l'accés autoritzat solament a entitats autenticades
  • Mètriques de Seguretat, Monitoreig: Mesurament d'activitats de seguretat
  • Govern: proporcionar control i direcció a les activitats
  • Estratègia: els passos que es requereixen per aconseguir un objectiu
  • Arquitectura: el disseny de l'estructura i les relacions dels seus elements
  • Gerència: Vigilar les activitats per garantir que s'aconsegueixin els objectius
  • Risc: l'explotació d'una vulnerabilitat per part d'una amenaça
  • Exposicions: Àrees que són vulnerables a un impacte per part d'una amenaça
  • Vulnerabilitats: deficiències que poden ser explotades per amenaces
  • Amenaces: Qualsevol acció o esdeveniment que pot ocasionar conseqüències adverses
  • Risc residual: El risc que roman després que s'han implementat contra mesures i controls
  • Impacte: els resultats i conseqüències que es materialitzi un risc
  • Criticitat: La importància que té un recurs per al negoci
  • Sensibilitat: el nivell d'impacte que tindria una divulgació no autoritzada
  • Anàlisi d'impacte al negoci: avaluar els resultats i les conseqüències de la inestabilitat
  • Controls: Qualsevol acció o procés que s'utilitza per mitigar el risc
  • Contra mesures: Qualsevol acció o procés que redueix la vulnerabilitat
  • Polítiques: declaració d'alt nivell sobre la intenció i l'adreça de la gerència
  • Normes: Establir els límits permissibles d'accions i processos per complir amb les polítiques
  • Atacs: tipus i naturalesa d'inestabilitat en la seguretat
  • Classificació de dades: El procés de determinar la sensibilitat i Criticitat de la informació

Govern de la Seguretat de la Informació[modifica | modifica el codi]

Un terme a prendre en compte a l'àrea de la seguretat de la informació és el seu Govern dins d'alguna organització començant per determinar els riscos que li concerneixen i la seva forma de reduir i/o mitigar impactes adversos a un nivell acceptable mitjançant l'establiment d'un programa ampli i concís en seguretat de la informació i l'ús efectiu de recursos la guia principal dels quals siguin els objectius del negoci, és a dir, un programa que asseguri una adreça estratègica enfocada als objectius d'una organització i la protecció de la seva informació.

Tecnologies[modifica | modifica el codi]

Les principals tecnologies referents a la seguretat de la informació en informàtica són:[4]

  • Tallafocs
  • Administració de comptes d'usuaris
  • Detecció i prevenció d'intrusos
  • Antivirus
  • Infraestructura de clau publica
  • Capes de Socket Segura (SSL)
  • Connexió única "Single Sign on- SSO"
  • Biometria
  • Xifrat
  • Compliment de privadesa
  • Accés remot
  • Signatura digital
  • Intercanvi electrònic de Dades "EDI" i Transferència Electrònica de Fons "EFT"
  • Xarxes Virtuals Privades "VPNs"
  • Transferència Electrònica Segura "SET"
  • Informàtica Forense
  • Recuperació de dades
  • Tecnologies de monitoreig

Estàndards de seguretat de la informació[modifica | modifica el codi]

Altres estàndards relacionats[modifica | modifica el codi]

  • COBIT
  • ITIL
  • ISO/IEC 20000 — Tecnologia de la informació, Gestió del servei. BSI va ser pionera amb el desenvolupament de la BS 15000 en 2002, norma en la qual es va basar l'ISO 20000

Certificacions[modifica | modifica el codi]

Certificacions independents en seguretat de la informació[modifica | modifica el codi]


Vegeu també[modifica | modifica el codi]

Per a més informació[modifica | modifica el codi]

  • Anderson, K., "IT Security Professionals Must Evolve for Changing Market", SC Magazine, October 12, 2006.
  • Aceituno, V., "On Information Security Paradigms", ISSA Journal, September 2005.
  • Dhillon, G., Principles of Information Systems Security: text and cases, John Wiley & Sons, 2007.
  • Easttom, C., Computer Security Fundamentals (2nd Edition) Pearson Press, 2011.
  • Lambo, T., "ISO/IEC 27001: The future of infosec certification", ISSA Journal, November 2006.

Bibliografia[modifica | modifica el codi]

  • Allen, Julia H. The CERT Guide to System and Network Security Practices. Boston, MA: Addison-Wesley, 2001. ISBN 0-201-73723-X. 
  • Krutz, Ronald L.; Russell Dean Vines The CISSP Prep Guide. Gold. Indianapolis, IN: Wiley, 2003. ISBN 0-471-26802-X. 
  • Layton, Timothy P. Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications, 2007. ISBN 978-0-8493-7087-8. 
  • McNab, Chris. Network Security Assessment. Sebastopol, CA: O'Reilly, 2004. ISBN 0-596-00611-X. 
  • Peltier, Thomas R. Information Security Risk Analysis. Boca Raton, FL: Auerbach publications, 2001. ISBN 0-8493-0880-1. 
  • Peltier, Thomas R. Information Security Policies, Procedures, and Standards: guidelines for effective information security management. Boca Raton, FL: Auerbach publications, 2002. ISBN 0-8493-1137-3. 
  • White, Gregory. All-in-one Security+ Certification Exam Guide. Emeryville, CA: McGraw-Hill/Osborne, 2003. ISBN 0-07-222633-1. 
  • Dhillon, Gurpreet. Principles of Information Systems Security: text and cases. NY: John Wiley & Sons, 2007. ISBN 978-0-471-45056-6. 
  • Gómez Vieites, Álvaro (2007). Enciclopedia de la Seguridad Informática.

Referències[modifica | modifica el codi]

Enllaços externs[modifica | modifica el codi]

A Wikimedia Commons hi ha contingut multimèdia relatiu a: Seguretat de la informació Modifica l'enllaç a Wikidata