stringtranslate.com

Seguridad de la información

La seguridad de la información , a veces abreviada como infosec , [1] es la práctica de proteger la información mitigando los riesgos de la información. Es parte de la gestión de riesgos de la información . [2] [3] Por lo general, implica prevenir o reducir la probabilidad de acceso no autorizado o inapropiado a los datos o el uso, divulgación , interrupción, eliminación, corrupción , modificación, inspección, registro o devaluación ilegales de la información. [4] También implica acciones destinadas a reducir los impactos adversos de tales incidentes. La información protegida puede tomar cualquier forma, por ejemplo, electrónica o física, tangible (por ejemplo, papeleo ) o intangible (por ejemplo, conocimiento ). [5] [6] El enfoque principal de la seguridad de la información es la protección equilibrada de la confidencialidad , integridad y disponibilidad de los datos (también conocida como la tríada "CIA") mientras se mantiene un enfoque en la implementación eficiente de políticas , todo ello sin obstaculizar la productividad de la organización . [7] Esto se logra en gran medida a través de un proceso de gestión de riesgos estructurado que implica:

Para estandarizar esta disciplina, académicos y profesionales colaboran para ofrecer orientación, políticas y estándares de la industria sobre contraseñas , software antivirus , firewalls , software de cifrado , responsabilidad legal , concientización y capacitación en seguridad, etc. [9] Esta estandarización puede ser impulsada además por una amplia variedad de leyes y regulaciones que afectan cómo se accede, procesa, almacena, transfiere y destruye los datos. [10] Sin embargo, la implementación de cualquier estándar y orientación dentro de una entidad puede tener un efecto limitado si no se adopta una cultura de mejora continua . [11]

Definición

versión vectorial
Atributos de Seguridad de la Información : o cualidades, es decir, Confidencialidad , Integridad y Disponibilidad (CIA). Los Sistemas de Información están compuestos por tres partes principales, hardware, software y comunicaciones con el propósito de ayudar a identificar y aplicar estándares de la industria de seguridad de la información, como mecanismos de protección y prevención, en tres niveles o capas: física , personal y organizacional. Esencialmente, se implementan procedimientos o políticas para indicar a los administradores, usuarios y operadores cómo utilizar los productos para garantizar la seguridad de la información dentro de las organizaciones. [12]

A continuación se sugieren varias definiciones de seguridad de la información, resumidas de diferentes fuentes:

  1. “Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota: Además, también pueden estar implicadas otras propiedades, como la autenticidad, la rendición de cuentas, la no repudio y la fiabilidad.” (ISO/IEC 27000:2018) [13]
  2. “La protección de la información y de los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados, con el fin de garantizar la confidencialidad, integridad y disponibilidad.” (CNSS, 2010) [14]
  3. “Garantiza que sólo los usuarios autorizados (confidencialidad) tengan acceso a información precisa y completa (integridad) cuando sea necesario (disponibilidad)”. ( ISACA , 2008) [15]
  4. “La seguridad de la información es el proceso de proteger la propiedad intelectual de una organización” (Pipkin, 2000) [16]
  5. “…la seguridad de la información es una disciplina de gestión de riesgos, cuyo trabajo es gestionar el costo del riesgo de la información para el negocio.” (McDermott y Geer, 2001) [17]
  6. “Una sensación de seguridad bien informada de que los riesgos y controles de la información están en equilibrio”. (Anderson, J., 2003) [18]
  7. “La seguridad de la información es la protección de la información y minimiza el riesgo de exponerla a terceros no autorizados” (Venter y Eloff, 2003) [19]
  8. "La seguridad de la información es un área multidisciplinaria de estudio y actividad profesional que se ocupa del desarrollo e implementación de mecanismos de seguridad de todos los tipos disponibles (técnicos, organizacionales, humanos y legales) para mantener la información en todas sus ubicaciones (dentro y fuera del perímetro de la organización) y, en consecuencia, los sistemas de información, donde la información se crea, procesa, almacena, transmite y destruye, libres de amenazas. [20] Las amenazas a la información y a los sistemas de información pueden categorizarse y puede definirse un objetivo de seguridad correspondiente para cada categoría de amenazas. [21] Un conjunto de objetivos de seguridad, identificados como resultado de un análisis de amenazas, debe revisarse periódicamente para garantizar su adecuación y conformidad con el entorno en evolución. [22] El conjunto de objetivos de seguridad actualmente relevantes puede incluir: confidencialidad, integridad, disponibilidad, privacidad, autenticidad y confiabilidad, no repudio, rendición de cuentas y auditabilidad. " (Cherdantseva y Hilton, 2013) [12]
  9. La seguridad de la información y de los recursos de información mediante sistemas o dispositivos de telecomunicaciones significa proteger la información, los sistemas de información o los libros contra el acceso no autorizado, los daños, el robo o la destrucción (Kurose y Ross, 2010). [23]

Descripción general

En el centro de la seguridad de la información se encuentra la garantía de la información, el acto de mantener la confidencialidad, integridad y disponibilidad (CIA) de la información, asegurando que la información no se vea comprometida de ninguna manera cuando surjan problemas críticos. [24] Estos problemas incluyen, entre otros, desastres naturales, mal funcionamiento de computadoras/servidores y robo físico. Si bien las operaciones comerciales basadas en papel aún prevalecen, lo que requiere su propio conjunto de prácticas de seguridad de la información, las iniciativas digitales empresariales están recibiendo cada vez más énfasis, [25] [26] y la garantía de la información ahora generalmente está a cargo de especialistas en seguridad de tecnología de la información (TI). Estos especialistas aplican la seguridad de la información a la tecnología (la mayoría de las veces, alguna forma de sistema informático). Vale la pena señalar que una computadora no necesariamente significa una computadora de escritorio doméstica. [27] Una computadora es cualquier dispositivo con un procesador y algo de memoria. Dichos dispositivos pueden variar desde dispositivos independientes sin red tan simples como calculadoras, hasta dispositivos informáticos móviles en red como teléfonos inteligentes y tabletas. [28] Casi siempre se encuentran especialistas en seguridad de TI en cualquier empresa/establecimiento importante debido a la naturaleza y el valor de los datos dentro de las empresas más grandes. [29] Son responsables de mantener toda la tecnología dentro de la empresa segura de ataques cibernéticos maliciosos que a menudo intentan adquirir información privada crítica o ganar el control de los sistemas internos. [30] [31]

El campo de la seguridad de la información ha crecido y evolucionado significativamente en los últimos años. [32] Ofrece muchas áreas de especialización, incluyendo la protección de redes e infraestructuras aliadas , la protección de aplicaciones y bases de datos , las pruebas de seguridad , la auditoría de sistemas de información , la planificación de la continuidad empresarial , el descubrimiento de registros electrónicos y la investigación forense digital . [33] Los profesionales de la seguridad de la información son muy estables en su empleo. [34] A partir de 2013, más del 80 por ciento de los profesionales no habían cambiado de empleador o empleo durante un período de un año, y se proyecta que el número de profesionales crezca continuamente más del 11 por ciento anualmente desde 2014 hasta 2019. [35]

Amenazas

Las amenazas a la seguridad de la información se presentan de muchas formas diferentes. [36] [37] Algunas de las amenazas más comunes hoy en día son los ataques de software, el robo de propiedad intelectual, el robo de identidad, el robo de equipos o información, el sabotaje y la extorsión de información. [38] [39] Los virus , [40] gusanos , ataques de phishing y caballos de Troya son algunos ejemplos comunes de ataques de software. El robo de propiedad intelectual también ha sido un problema extenso para muchas empresas en el campo de la tecnología de la información ( TI ). [41] El robo de identidad es el intento de actuar como otra persona generalmente para obtener la información personal de esa persona o aprovechar su acceso a información vital a través de la ingeniería social . [42] [43] El robo de equipos o información es cada vez más frecuente hoy en día debido al hecho de que la mayoría de los dispositivos actuales son móviles, [44] son ​​propensos al robo y también se han vuelto mucho más deseables a medida que aumenta la cantidad de capacidad de datos. El sabotaje consiste generalmente en la destrucción del sitio web de una organización en un intento de causar la pérdida de confianza por parte de sus clientes. [45] La extorsión de información consiste en el robo de la propiedad o información de una empresa como un intento de recibir un pago a cambio de devolver la información o propiedad a su propietario, como ocurre con el ransomware . [46] Hay muchas formas de ayudar a protegerse de algunos de estos ataques, pero una de las precauciones más funcionales es realizar una concienciación periódica de los usuarios. [47] La ​​amenaza número uno para cualquier organización son los usuarios o empleados internos, también se les llama amenazas internas. [48]

Los gobiernos , los militares , las corporaciones , las instituciones financieras , los hospitales , las organizaciones sin fines de lucro y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigaciones y estado financiero. [49] Si la información confidencial sobre los clientes o las finanzas de una empresa o una nueva línea de productos cae en manos de un competidor o un hacker de sombrero negro , una empresa y sus clientes podrían sufrir pérdidas financieras generalizadas e irreparables, así como daños a la reputación de la empresa. [50] Desde una perspectiva empresarial, la seguridad de la información debe equilibrarse con el costo; el modelo Gordon-Loeb proporciona un enfoque económico matemático para abordar esta preocupación. [51]

Para el individuo, la seguridad de la información tiene un efecto significativo en la privacidad , que se considera de manera muy diferente en las distintas culturas . [52]

Respuestas a las amenazas

Las posibles respuestas ante una amenaza o riesgo de seguridad son: [53]

Historia

Desde los primeros días de la comunicación, los diplomáticos y comandantes militares entendieron que era necesario proporcionar algún mecanismo para proteger la confidencialidad de la correspondencia y tener algunos medios para detectar manipulaciones . [55] A Julio César se le atribuye la invención del cifrado César c. 50 a. C., que fue creado para evitar que sus mensajes secretos fueran leídos si un mensaje caía en manos equivocadas. [56] Sin embargo, en su mayor parte la protección se logró mediante la aplicación de controles de manejo de procedimientos. [57] [58] La información confidencial se marcó para indicar que debía ser protegida y transportada por personas de confianza, custodiada y almacenada en un entorno seguro o una caja fuerte. [59] A medida que los servicios postales se expandieron, los gobiernos crearon organizaciones oficiales para interceptar, descifrar, leer y volver a sellar cartas (por ejemplo, la Oficina Secreta del Reino Unido, fundada en 1653 [60] ).

A mediados del siglo XIX se desarrollaron sistemas de clasificación más complejos para permitir a los gobiernos gestionar su información según el grado de sensibilidad. [61] Por ejemplo, el gobierno británico codificó esto, hasta cierto punto, con la publicación de la Ley de Secretos Oficiales en 1889. [62] La Sección 1 de la ley se refería al espionaje y las divulgaciones ilegales de información, mientras que la Sección 2 se ocupaba de las violaciones de la confianza oficial. [63] Pronto se añadió una defensa del interés público para defender las divulgaciones en interés del Estado. [64] En la India se aprobó una ley similar en 1889, la Ley de Secretos Oficiales de la India, que se asoció con la era colonial británica y se utilizó para tomar medidas enérgicas contra los periódicos que se oponían a las políticas del Raj. [65] En 1923 se aprobó una versión más nueva que se extendía a todos los asuntos de información confidencial o secreta para el gobierno. [66] En la época de la Primera Guerra Mundial , se utilizaban sistemas de clasificación de varios niveles para comunicar información hacia y desde varios frentes, lo que fomentó un mayor uso de secciones de creación y descifrado de códigos en las sedes diplomáticas y militares. [67] La ​​codificación se volvió más sofisticada entre las guerras a medida que se empleaban máquinas para codificar y descifrar información. [68]

El establecimiento de la seguridad informática inauguró la historia de la seguridad de la información. La necesidad de esto apareció durante la Segunda Guerra Mundial . [69] El volumen de información compartida por los países aliados durante la Segunda Guerra Mundial requirió una alineación formal de los sistemas de clasificación y controles de procedimiento. [70] Una gama arcana de marcas evolucionó para indicar quién podía manejar documentos (generalmente oficiales en lugar de tropas alistadas) y dónde debían almacenarse a medida que se desarrollaban cajas fuertes e instalaciones de almacenamiento cada vez más complejas. [71] La máquina Enigma , que fue empleada por los alemanes para cifrar los datos de la guerra y fue descifrada con éxito por Alan Turing , puede considerarse un ejemplo sorprendente de creación y uso de información segura. [72] Los procedimientos evolucionaron para garantizar que los documentos se destruyeran correctamente, y fue el incumplimiento de estos procedimientos lo que llevó a algunos de los mayores golpes de inteligencia de la guerra (por ejemplo, la captura del U-570 [72] ).

Durante la Guerra Fría se conectaron en línea varias computadoras centrales para completar tareas más sofisticadas, en un proceso de comunicación más sencillo que el envío de cintas magnéticas de un lado a otro entre centros de cómputo. Por ello, la Agencia de Proyectos de Investigación Avanzada (ARPA), del Departamento de Defensa de los Estados Unidos , comenzó a investigar la viabilidad de un sistema de comunicación en red para intercambiar información dentro de las Fuerzas Armadas de los Estados Unidos . En 1968, Larry Roberts formuló el proyecto ARPANET , que más tarde evolucionaría hasta convertirse en lo que se conoce como Internet . [73]

En 1973, el pionero de Internet Robert Metcalfe descubrió que algunos elementos importantes de la seguridad de ARPANET tenían muchas fallas, como la "vulnerabilidad de la estructura y los formatos de las contraseñas; la falta de procedimientos de seguridad para las conexiones por acceso telefónico ; y la inexistencia de identificación y autorizaciones de usuarios", además de la falta de controles y salvaguardas para mantener los datos a salvo del acceso no autorizado. Los piratas informáticos tenían fácil acceso a ARPANET, ya que los números de teléfono eran conocidos por el público. [ 74] Debido a estos problemas, junto con la violación constante de la seguridad informática, así como el aumento exponencial en el número de hosts y usuarios del sistema, la "seguridad de la red" a menudo se denominaba "inseguridad de la red". [74]

Cartel del Ministerio de Defensa de Rusia que promueve la seguridad de la información

A finales del siglo XX y principios del siglo XXI se produjeron rápidos avances en las telecomunicaciones , el hardware y el software informáticos y el cifrado de datos . [75] La disponibilidad de equipos informáticos más pequeños, más potentes y menos costosos hizo que el procesamiento electrónico de datos estuviera al alcance de las pequeñas empresas y los usuarios domésticos. [76] El establecimiento del Protocolo de control de transferencia/Protocolo de interconexión de redes (TCP/IP) a principios de la década de 1980 permitió que diferentes tipos de computadoras se comunicaran. [77] Estas computadoras rápidamente se interconectaron a través de Internet . [78]

El rápido crecimiento y el uso generalizado del procesamiento electrónico de datos y el comercio electrónico realizado a través de Internet, junto con numerosos casos de terrorismo internacional , alimentaron la necesidad de mejores métodos para proteger las computadoras y la información que almacenan, procesan y transmiten. [79] Las disciplinas académicas de seguridad informática y seguridad de la información surgieron junto con numerosas organizaciones profesionales, todas compartiendo los objetivos comunes de garantizar la seguridad y confiabilidad de los sistemas de información . [80]

Principios básicos

Conceptos clave

La tríada de la "CIA" de confidencialidad , integridad y disponibilidad es el núcleo de la seguridad de la información. [81] (Los miembros de la tríada clásica de InfoSec -confidencialidad, integridad y disponibilidad- se denominan indistintamente en la literatura atributos de seguridad, propiedades, objetivos de seguridad, aspectos fundamentales, criterios de información, características críticas de la información y bloques básicos de construcción.) [82] Sin embargo, continúa el debate sobre si esta tríada es suficiente o no para abordar la tecnología y los requisitos comerciales que cambian rápidamente, y se recomienda considerar la ampliación de las intersecciones entre la disponibilidad y la confidencialidad, así como la relación entre la seguridad y la privacidad. [24] A veces se han propuesto otros principios como la "rendición de cuentas"; se ha señalado que cuestiones como el no repudio no encajan bien dentro de los tres conceptos básicos. [83]

La tríada parece haber sido mencionada por primera vez en una publicación del NIST en 1977. [84]

En 1992 y revisadas en 2002, las Directrices de la OCDE para la seguridad de los sistemas y redes de información [85] propusieron los nueve principios generalmente aceptados: conciencia , responsabilidad, respuesta, ética, democracia, evaluación de riesgos, diseño e implementación de seguridad, gestión de seguridad y reevaluación. [86] Sobre la base de ellos, en 2004 los Principios de ingeniería para la seguridad de la tecnología de la información del NIST [83] propusieron 33 principios. De cada uno de estos se derivaron directrices y prácticas.

En 1998, Donn Parker propuso un modelo alternativo a la clásica tríada de la "CIA" que denominó los seis elementos atómicos de la información . Los elementos son confidencialidad , posesión , integridad , autenticidad , disponibilidad y utilidad . Los méritos de la hexada de Parker son un tema de debate entre los profesionales de la seguridad. [87]

En 2011, The Open Group publicó el estándar de gestión de seguridad de la información O-ISM3 . [88] Este estándar propuso una definición operativa de los conceptos clave de seguridad, con elementos llamados "objetivos de seguridad", relacionados con el control de acceso (9), la disponibilidad (3), la calidad de los datos (1), el cumplimiento y lo técnico (4). En 2009, la Iniciativa de Protección de Software del Departamento de Defensa Archivado el 25 de septiembre de 2016 en Wayback Machine publicó los Tres principios de la ciberseguridad Archivado el 10 de mayo de 2020 en Wayback Machine que son la susceptibilidad del sistema, el acceso a la falla y la capacidad de explotar la falla. [89] [90] [91] Ninguno de estos modelos es ampliamente adoptado.

Confidencialidad

En materia de seguridad de la información, la confidencialidad "es la propiedad de que la información no se ponga a disposición ni se divulgue a personas, entidades o procesos no autorizados". [92] Si bien son similares a "privacidad", las dos palabras no son intercambiables. Más bien, la confidencialidad es un componente de la privacidad que se implementa para proteger nuestros datos de los espectadores no autorizados. [93] Algunos ejemplos de confidencialidad de datos electrónicos que se ven comprometidos incluyen el robo de computadoras portátiles, el robo de contraseñas o el envío de correos electrónicos confidenciales a personas no autorizadas. [94]

Integridad

En seguridad informática, la integridad de los datos significa mantener y asegurar la precisión y completitud de los datos durante todo su ciclo de vida. [95] Esto significa que los datos no pueden modificarse de manera no autorizada o no detectada. [96] Esto no es lo mismo que la integridad referencial en bases de datos , aunque puede verse como un caso especial de consistencia como se entiende en el modelo ACID clásico de procesamiento de transacciones . [97] Los sistemas de seguridad de la información suelen incorporar controles para garantizar su propia integridad, en particular protegiendo el núcleo o las funciones principales contra amenazas tanto deliberadas como accidentales. [98] Los sistemas informáticos multipropósito y multiusuario tienen como objetivo compartimentar los datos y el procesamiento de tal manera que ningún usuario o proceso pueda afectar negativamente a otro: sin embargo, los controles pueden no tener éxito, como vemos en incidentes como infecciones de malware, hackeos, robo de datos, fraude y violaciones de la privacidad. [99]

En términos más generales, la integridad es un principio de seguridad de la información que involucra la integridad humana/social, de procesos y comercial, así como la integridad de los datos. Como tal, afecta aspectos como la credibilidad, la coherencia, la veracidad, la integridad, la precisión, la puntualidad y la seguridad. [100]

Disponibilidad

Para que cualquier sistema de información cumpla su propósito, la información debe estar disponible cuando se la necesita. [101] Esto significa que los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerla y los canales de comunicación utilizados para acceder a ella deben funcionar correctamente. [102] Los sistemas de alta disponibilidad tienen como objetivo permanecer disponibles en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallas de hardware y actualizaciones del sistema. [103] Garantizar la disponibilidad también implica prevenir ataques de denegación de servicio , como una avalancha de mensajes entrantes al sistema de destino, lo que esencialmente lo obliga a apagarse. [104]

En el ámbito de la seguridad de la información, la disponibilidad puede verse a menudo como una de las partes más importantes de un programa de seguridad de la información exitoso. [ cita requerida ] En última instancia, los usuarios finales deben poder realizar funciones laborales; al garantizar la disponibilidad, una organización puede desempeñarse según los estándares que esperan las partes interesadas de una organización. [105] Esto puede involucrar temas como configuraciones de proxy, acceso web externo, la capacidad de acceder a unidades compartidas y la capacidad de enviar correos electrónicos. [106] Los ejecutivos a menudo no comprenden el lado técnico de la seguridad de la información y ven la disponibilidad como una solución fácil, pero esto a menudo requiere la colaboración de muchos equipos organizacionales diferentes, como operaciones de red, operaciones de desarrollo, respuesta a incidentes y gestión de políticas/cambios. [107] Un equipo de seguridad de la información exitoso involucra muchos roles clave diferentes para combinarse y alinearse para que la tríada "CIA" se proporcione de manera efectiva. [108]

No repudio

En derecho, el no repudio implica la intención de cumplir con las obligaciones que le impone un contrato. También implica que una de las partes de una transacción no puede negar haber recibido una transacción, ni la otra parte puede negar haber enviado una transacción. [109]

Es importante señalar que, si bien la tecnología, como los sistemas criptográficos, pueden ayudar en los esfuerzos de no repudio, el concepto es en esencia un concepto legal que trasciende el ámbito de la tecnología. [110] Por ejemplo, no es suficiente demostrar que el mensaje coincide con una firma digital firmada con la clave privada del remitente, y por lo tanto, solo el remitente podría haber enviado el mensaje, y nadie más podría haberlo alterado en tránsito ( integridad de los datos ). [111] El presunto remitente podría, a cambio, demostrar que el algoritmo de firma digital es vulnerable o defectuoso, o alegar o probar que su clave de firma ha sido comprometida. [112] La culpa de estas violaciones puede o no recaer en el remitente, y tales afirmaciones pueden o no eximir al remitente de responsabilidad, pero la afirmación invalidaría la afirmación de que la firma necesariamente prueba autenticidad e integridad. Como tal, el remitente puede repudiar el mensaje (porque la autenticidad y la integridad son requisitos previos para el no repudio). [113]

Gestión de riesgos

En términos generales, el riesgo es la probabilidad de que ocurra algo malo que cause daño a un activo de información (o la pérdida del activo). [114] Una vulnerabilidad es una debilidad que podría usarse para poner en peligro o causar daño a un activo de información. Una amenaza es cualquier cosa (causada por el hombre o por un acto de la naturaleza ) que tenga el potencial de causar daño. [115] La probabilidad de que una amenaza use una vulnerabilidad para causar daño crea un riesgo. Cuando una amenaza usa una vulnerabilidad para causar daño, tiene un impacto. [116] En el contexto de la seguridad de la información, el impacto es una pérdida de disponibilidad, integridad y confidencialidad, y posiblemente otras pérdidas (pérdida de ingresos, pérdida de vidas, pérdida de bienes inmuebles). [117]

El Manual de Revisión del Auditor Certificado de Sistemas de Información (CISA) de 2006 define la gestión de riesgos como "el proceso de identificar vulnerabilidades y amenazas a los recursos de información utilizados por una organización para alcanzar los objetivos de negocios, y decidir qué contramedidas , [118] si las hay, tomar para reducir el riesgo a un nivel aceptable, en función del valor del recurso de información para la organización". [119]

Hay dos cosas en esta definición que pueden necesitar alguna aclaración. En primer lugar, el proceso de gestión de riesgos es un proceso continuo e iterativo . Debe repetirse indefinidamente. El entorno empresarial cambia constantemente y surgen nuevas amenazas y vulnerabilidades todos los días. [120] En segundo lugar, la elección de contramedidas ( controles ) utilizadas para gestionar los riesgos debe lograr un equilibrio entre la productividad, el costo, la eficacia de la contramedida y el valor del activo de información que se está protegiendo. [121] Además, estos procesos tienen limitaciones ya que las violaciones de seguridad son generalmente raras y surgen en un contexto específico que puede no duplicarse fácilmente. [122] Por lo tanto, cualquier proceso y contramedida debe evaluarse en busca de vulnerabilidades. [123] No es posible identificar todos los riesgos, ni es posible eliminarlos todos. El riesgo restante se denomina "riesgo residual". [124]

La evaluación de riesgos la lleva a cabo un equipo de personas que tienen conocimiento de áreas específicas del negocio. [125] La composición del equipo puede variar con el tiempo a medida que se evalúan diferentes partes del negocio. [126] La evaluación puede utilizar un análisis cualitativo subjetivo basado en una opinión informada o, cuando se dispone de cifras en dólares confiables e información histórica, el análisis puede utilizar un análisis cuantitativo .

Las investigaciones han demostrado que el punto más vulnerable en la mayoría de los sistemas de información es el usuario, operador, diseñador u otro ser humano. [127] El Código de prácticas ISO/IEC 27002:2005 para la gestión de la seguridad de la información recomienda que se examine lo siguiente durante una evaluación de riesgos:

En términos generales, el proceso de gestión de riesgos consiste en: [128] [129]

  1. Identificación de activos y estimación de su valor. Incluye: personas, edificios, hardware, software, datos (electrónicos, impresos, otros), suministros. [130]
  2. Realizar una evaluación de amenazas . Incluya: actos de la naturaleza, actos de guerra, accidentes, actos maliciosos originados dentro o fuera de la organización. [131]
  3. Realizar una evaluación de vulnerabilidades y, para cada una de ellas, calcular la probabilidad de que se explote. Evaluar políticas, procedimientos, estándares, capacitación, seguridad física , control de calidad y seguridad técnica. [132]
  4. Calcular el impacto que cada amenaza tendría sobre cada activo. Utilizar análisis cualitativo o cuantitativo. [133]
  5. Identificar, seleccionar e implementar controles apropiados. Proporcionar una respuesta proporcional. Considerar la productividad, la rentabilidad y el valor del activo. [134]
  6. Evaluar la eficacia de las medidas de control. Asegurarse de que los controles proporcionen la protección necesaria en función de los costos sin una pérdida apreciable de productividad. [135]

En el caso de un riesgo determinado, la dirección puede optar por aceptarlo en función del valor relativamente bajo del activo, la frecuencia relativamente baja de ocurrencia y el impacto relativamente bajo en el negocio. [136] O bien, el liderazgo puede optar por mitigar el riesgo seleccionando e implementando medidas de control adecuadas para reducirlo. En algunos casos, el riesgo puede transferirse a otra empresa mediante la compra de un seguro o la subcontratación a otra empresa. [137] La ​​realidad de algunos riesgos puede ser cuestionada. En tales casos, el liderazgo puede optar por negar el riesgo. [138]

Controles de seguridad

La selección e implementación de controles de seguridad adecuados ayudará inicialmente a una organización a reducir el riesgo a niveles aceptables. [139] La selección de controles debe seguir y basarse en la evaluación de riesgos. [140] Los controles pueden variar en naturaleza, pero fundamentalmente son formas de proteger la confidencialidad, integridad o disponibilidad de la información. La norma ISO/IEC 27001 ha definido controles en diferentes áreas. [141] Las organizaciones pueden implementar controles adicionales según los requisitos de la organización. [142] La norma ISO/IEC 27002 ofrece una guía para los estándares de seguridad de la información organizacional. [143]

Administrativo

Los controles administrativos (también llamados controles de procedimiento) consisten en políticas, procedimientos, estándares y pautas escritas aprobadas. Los controles administrativos forman el marco para dirigir el negocio y gestionar a las personas. [144] Informan a las personas sobre cómo se debe dirigir el negocio y cómo se deben llevar a cabo las operaciones diarias. Las leyes y regulaciones creadas por los organismos gubernamentales también son un tipo de control administrativo porque informan al negocio. [145] Algunos sectores industriales tienen políticas, procedimientos, estándares y pautas que deben seguirse: el Estándar de seguridad de datos de la industria de tarjetas de pago [146] (PCI DSS) requerido por Visa y MasterCard es un ejemplo de ello. Otros ejemplos de controles administrativos incluyen la política de seguridad corporativa, la política de contraseñas , las políticas de contratación y las políticas disciplinarias. [147]

Los controles administrativos constituyen la base para la selección e implementación de controles lógicos y físicos. Los controles lógicos y físicos son manifestaciones de los controles administrativos, que son de suma importancia. [144]

Lógico

Los controles lógicos (también llamados controles técnicos) utilizan software y datos para monitorear y controlar el acceso a la información y a los sistemas informáticos . [ cita requerida ] Las contraseñas, los firewalls de red y basados ​​en host, los sistemas de detección de intrusiones de red , las listas de control de acceso y el cifrado de datos son ejemplos de controles lógicos. [ 148 ]

Un control lógico importante que se pasa por alto con frecuencia es el principio del mínimo privilegio , que requiere que a un individuo, programa o proceso del sistema no se le concedan más privilegios de acceso de los necesarios para realizar la tarea. [149] Un ejemplo flagrante de la falta de adhesión al principio del mínimo privilegio es iniciar sesión en Windows como usuario Administrador para leer el correo electrónico y navegar por la web. Las violaciones de este principio también pueden ocurrir cuando un individuo obtiene privilegios de acceso adicionales con el tiempo. [150] Esto sucede cuando los deberes laborales de los empleados cambian, los empleados son promovidos a un nuevo puesto o los empleados son transferidos a otro departamento. [151] Los privilegios de acceso requeridos por sus nuevas funciones se agregan con frecuencia a sus privilegios de acceso ya existentes, que pueden ya no ser necesarios o apropiados. [152]

Físico

Los controles físicos supervisan y controlan el entorno del lugar de trabajo y las instalaciones informáticas. [153] También supervisan y controlan el acceso a y desde dichas instalaciones e incluyen puertas, cerraduras, calefacción y aire acondicionado, alarmas de humo y fuego, sistemas de extinción de incendios, cámaras, barricadas, vallas, guardias de seguridad, cerraduras de cable, etc. La separación de la red y el lugar de trabajo en áreas funcionales también son controles físicos. [154]

Un control físico importante que a menudo se pasa por alto es la separación de funciones, que garantiza que un individuo no pueda completar una tarea crítica por sí solo. [155] Por ejemplo, un empleado que presenta una solicitud de reembolso no debería poder también autorizar el pago o imprimir el cheque. [156] Un programador de aplicaciones no debería ser también el administrador del servidor o el administrador de la base de datos ; estos roles y responsabilidades deben estar separados entre sí. [157]

Defensa en profundidad

El modelo de cebolla de defensa en profundidad

La seguridad de la información debe proteger la información durante toda su vida útil, desde su creación inicial hasta su eliminación final. [158] La información debe protegerse tanto en movimiento como en reposo. Durante su vida útil, la información puede pasar por muchos sistemas de procesamiento de información diferentes y por muchas partes diferentes de los sistemas de procesamiento de información. [159] Existen muchas formas diferentes en que la información y los sistemas de información pueden verse amenazados. Para proteger completamente la información durante su vida útil, cada componente del sistema de procesamiento de información debe tener sus propios mecanismos de protección. [160] La construcción, superposición y superposición de medidas de seguridad se denomina "defensa en profundidad". [161] A diferencia de una cadena de metal, que es famosa por ser tan fuerte como su eslabón más débil, la estrategia de defensa en profundidad apunta a una estructura en la que, si una medida defensiva falla, otras medidas seguirán brindando protección. [162]

Recordemos la discusión anterior sobre los controles administrativos, los controles lógicos y los controles físicos. Los tres tipos de controles se pueden utilizar para formar la base sobre la cual construir una estrategia de defensa en profundidad. [144] Con este enfoque, la defensa en profundidad se puede conceptualizar como tres capas o planos distintos colocados uno sobre el otro. [163] Se puede obtener una visión adicional de la defensa en profundidad si se piensa que forma las capas de una cebolla, con los datos en el núcleo de la cebolla, las personas en la siguiente capa exterior de la cebolla y la seguridad de la red , la seguridad basada en el host y la seguridad de la aplicación formando las capas más externas de la cebolla. [164] Ambas perspectivas son igualmente válidas y cada una proporciona una valiosa visión de la implementación de una buena estrategia de defensa en profundidad. [165]

Clasificación

Un aspecto importante de la seguridad de la información y la gestión de riesgos es reconocer el valor de la información y definir los procedimientos y requisitos de protección adecuados para la información. [166] No toda la información es igual y, por lo tanto, no toda la información requiere el mismo grado de protección. [167] Esto requiere que se le asigne a la información una clasificación de seguridad . [168] El primer paso en la clasificación de la información es identificar a un miembro de la alta dirección como el propietario de la información particular que se va a clasificar. A continuación, se desarrolla una política de clasificación. [169] La política debe describir las diferentes etiquetas de clasificación, definir los criterios para que la información reciba una etiqueta particular y enumerar los controles de seguridad necesarios para cada clasificación. [170]

Algunos factores que influyen en la clasificación que se debe asignar a la información incluyen el valor que tiene esa información para la organización, la antigüedad de la información y si se ha vuelto obsoleta o no. [171] Las leyes y otros requisitos reglamentarios también son consideraciones importantes al clasificar la información. [172] La Asociación de Auditoría y Control de Sistemas de Información (ISACA) y su Modelo de Negocios para la Seguridad de la Información también sirven como una herramienta para que los profesionales de la seguridad examinen la seguridad desde una perspectiva de sistemas, creando un entorno donde la seguridad se puede gestionar de manera integral, lo que permite abordar los riesgos reales. [173]

El tipo de etiquetas de clasificación de seguridad de la información seleccionadas y utilizadas dependerá de la naturaleza de la organización, siendo algunos ejemplos: [170]

Todos los empleados de la organización, así como los socios comerciales, deben recibir capacitación sobre el esquema de clasificación y comprender los controles de seguridad y los procedimientos de manejo requeridos para cada clasificación. [176] La clasificación de un activo de información en particular que se ha asignado debe revisarse periódicamente para garantizar que la clasificación aún sea apropiada para la información y para garantizar que los controles de seguridad requeridos por la clasificación estén implementados y se sigan en sus procedimientos correctos. [177]

Control de acceso

El acceso a la información protegida debe estar restringido a las personas autorizadas a acceder a la información. [178] Los programas informáticos, y en muchos casos las computadoras que procesan la información, también deben estar autorizados. [179] Esto requiere que existan mecanismos para controlar el acceso a la información protegida. [179] La sofisticación de los mecanismos de control de acceso debe estar a la par con el valor de la información que se está protegiendo; cuanto más sensible o valiosa sea la información, más fuertes deben ser los mecanismos de control. [180] La base sobre la que se construyen los mecanismos de control de acceso comienza con la identificación y la autenticación . [181]

El control de acceso generalmente se considera en tres pasos: identificación, autenticación y autorización . [182] [94]

Identificación

La identificación es una afirmación de quién es alguien o qué es algo. Si una persona dice "Hola, mi nombre es John Doe ", está afirmando quién es. [183] ​​Sin embargo, su afirmación puede ser verdadera o no. Antes de que se le pueda conceder a John Doe acceso a información protegida, será necesario verificar que la persona que afirma ser John Doe realmente lo es. [184] Normalmente, la afirmación se realiza en forma de nombre de usuario. Al introducir ese nombre de usuario, usted está afirmando "Soy la persona a la que pertenece el nombre de usuario". [185]

Autenticación

La autenticación es el acto de verificar una afirmación de identidad. Cuando John Doe va a un banco para hacer un retiro, le dice al cajero que es John Doe, una afirmación de identidad. [186] El cajero del banco le pide ver un documento de identidad con fotografía, por lo que le entrega al cajero su licencia de conducir . [187] El cajero del banco verifica la licencia para asegurarse de que tenga impreso el nombre de John Doe y compara la fotografía de la licencia con la de la persona que dice ser John Doe. [188] Si la foto y el nombre coinciden con la persona, entonces el cajero ha autenticado que John Doe es quien dice ser. De manera similar, al ingresar la contraseña correcta, el usuario proporciona evidencia de que es la persona a la que pertenece el nombre de usuario. [189]

Hay tres tipos diferentes de información que se pueden utilizar para la autenticación: [190] [191]

La autenticación fuerte requiere proporcionar más de un tipo de información de autenticación (autenticación de dos factores). [197] El nombre de usuario es la forma más común de identificación en los sistemas informáticos actuales y la contraseña es la forma más común de autenticación. [198] Los nombres de usuario y las contraseñas han cumplido su propósito, pero son cada vez más inadecuados. [199] Los nombres de usuario y las contraseñas están siendo reemplazados o complementados lentamente con mecanismos de autenticación más sofisticados, como algoritmos de contraseñas de un solo uso basados ​​en el tiempo . [200]

Autorización

Una vez que se ha identificado y autenticado con éxito a una persona, un programa o una computadora, se debe determinar a qué recursos de información se les permite acceder y qué acciones se les permitirá realizar (ejecutar, ver, crear, eliminar o cambiar). [201] Esto se llama autorización . La autorización para acceder a la información y otros servicios informáticos comienza con políticas y procedimientos administrativos. [202] Las políticas prescriben a qué información y servicios informáticos se puede acceder, quién puede acceder a ellos y bajo qué condiciones. Luego, se configuran los mecanismos de control de acceso para hacer cumplir estas políticas. [203] Los diferentes sistemas informáticos están equipados con diferentes tipos de mecanismos de control de acceso. Algunos incluso pueden ofrecer una selección de diferentes mecanismos de control de acceso. [204] El mecanismo de control de acceso que ofrece un sistema se basará en uno de los tres enfoques de control de acceso, o puede derivarse de una combinación de los tres enfoques. [94]

El enfoque no discrecional consolida todo el control de acceso bajo una administración centralizada. [205] El acceso a la información y otros recursos se basa generalmente en la función (rol) de los individuos en la organización o en las tareas que el individuo debe realizar. [206] [207] El enfoque discrecional otorga al creador o propietario del recurso de información la capacidad de controlar el acceso a esos recursos. [205] En el enfoque de control de acceso obligatorio, el acceso se concede o deniega en función de la clasificación de seguridad asignada al recurso de información. [178]

Entre los ejemplos de mecanismos de control de acceso comunes que se utilizan hoy en día se incluyen el control de acceso basado en roles , disponible en muchos sistemas avanzados de gestión de bases de datos; permisos de archivos simples proporcionados en los sistemas operativos UNIX y Windows; [208] objetos de política de grupo proporcionados en los sistemas de red de Windows; y Kerberos , RADIUS , TACACS y las listas de acceso simples utilizadas en muchos firewalls y enrutadores . [209]

Para ser eficaces, las políticas y otros controles de seguridad deben ser ejecutables y respetables. Las políticas eficaces garantizan que las personas rindan cuentas de sus acciones. [210] Las directrices del Departamento del Tesoro de los Estados Unidos para los sistemas que procesan información confidencial o de propiedad exclusiva, por ejemplo, establecen que todos los intentos de autenticación y acceso, tanto fallidos como exitosos, deben registrarse, y que todo acceso a la información debe dejar algún tipo de rastro de auditoría . [211]

Además, el principio de necesidad de saber debe estar en vigor cuando se habla de control de acceso. Este principio otorga derechos de acceso a una persona para realizar sus funciones laborales. [212] Este principio se utiliza en el gobierno cuando se trata de autorizaciones diferentes. [213] Aunque dos empleados de diferentes departamentos tengan una autorización de alto secreto , deben tener una necesidad de saber para poder intercambiar información. Dentro del principio de necesidad de saber, los administradores de red otorgan al empleado la menor cantidad de privilegios para evitar que los empleados accedan a más de lo que se supone que deben. [214] La necesidad de saber ayuda a hacer cumplir la tríada de confidencialidad-integridad-disponibilidad. La necesidad de saber afecta directamente el área confidencial de la tríada. [215]

Criptografía

La seguridad de la información utiliza la criptografía para transformar la información utilizable en una forma que la hace inutilizable para cualquier persona que no sea un usuario autorizado; este proceso se llama cifrado . [216] La información que ha sido cifrada (hecha inutilizable) puede ser transformada de nuevo a su forma utilizable original por un usuario autorizado que posee la clave criptográfica , a través del proceso de descifrado. [217] La ​​criptografía se utiliza en la seguridad de la información para proteger la información de la divulgación no autorizada o accidental mientras la información está en tránsito (ya sea electrónica o físicamente) y mientras la información está almacenada. [94]

La criptografía proporciona seguridad de la información con otras aplicaciones útiles también, incluyendo métodos de autenticación mejorados, resúmenes de mensajes, firmas digitales, no repudio y comunicaciones de red cifradas. [218] Las aplicaciones más antiguas y menos seguras como Telnet y el Protocolo de Transferencia de Archivos (FTP) están siendo reemplazadas lentamente por aplicaciones más seguras como Secure Shell (SSH) que utilizan comunicaciones de red cifradas. [219] Las comunicaciones inalámbricas se pueden cifrar utilizando protocolos como WPA/WPA2 o el más antiguo (y menos seguro) WEP . Las comunicaciones por cable (como ITU-T G.hn ) se protegen utilizando AES para el cifrado y X.1035 para la autenticación y el intercambio de claves. [220] Las aplicaciones de software como GnuPG o PGP se pueden utilizar para cifrar archivos de datos y correo electrónico. [221]

La criptografía puede introducir problemas de seguridad cuando no se implementa correctamente. [222] Las soluciones criptográficas deben implementarse utilizando soluciones aceptadas por la industria que hayan sido sometidas a una rigurosa revisión por pares por parte de expertos independientes en criptografía. [223] La longitud y la fuerza de la clave de cifrado también es una consideración importante. [224] Una clave que sea débil o demasiado corta producirá un cifrado débil . [224] Las claves utilizadas para el cifrado y descifrado deben protegerse con el mismo grado de rigor que cualquier otra información confidencial. [225] Deben protegerse de la divulgación y destrucción no autorizadas, y deben estar disponibles cuando sea necesario. [ cita requerida ] Las soluciones de infraestructura de clave pública (PKI) abordan muchos de los problemas que rodean la gestión de claves . [94]

Proceso

Los términos "persona razonable y prudente", " cuidado debido " y "diligencia debida" se han utilizado en los campos de las finanzas, los valores y el derecho durante muchos años. En los últimos años, estos términos han encontrado su lugar en los campos de la informática y la seguridad de la información. [129] Las Directrices Federales de Sentencias de los Estados Unidos ahora permiten responsabilizar a los ejecutivos corporativos por no ejercer el debido cuidado y la debida diligencia en la gestión de sus sistemas de información. [226]

En el mundo de los negocios, los accionistas, clientes, socios comerciales y gobiernos esperan que los directivos de la empresa dirijan la empresa de acuerdo con las prácticas comerciales aceptadas y en cumplimiento de las leyes y otros requisitos reglamentarios. Esto suele describirse como la regla de la "persona razonable y prudente". Una persona prudente toma las debidas precauciones para garantizar que se haga todo lo necesario para operar la empresa según principios comerciales sólidos y de manera legal y ética. Una persona prudente también es diligente (atenta, constante y consciente) en el debido cuidado de la empresa.

En el campo de la seguridad de la información, Harris [227] ofrece las siguientes definiciones de debido cuidado y debida diligencia:

“El debido cuidado son las medidas que se toman para demostrar que una empresa ha asumido la responsabilidad de las actividades que se llevan a cabo dentro de la corporación y ha tomado las medidas necesarias para ayudar a proteger a la empresa, sus recursos y sus empleados [228] ”. Y, [La debida diligencia son las] “actividades continuas que garantizan que los mecanismos de protección se mantengan y estén en funcionamiento de forma continua”. [229]

En estas definiciones se debe prestar atención a dos puntos importantes. [230] [231] En primer lugar, en la debida diligencia, se toman medidas para demostrar; esto significa que las medidas se pueden verificar, medir o incluso producir artefactos tangibles. [232] [233] En segundo lugar, en la debida diligencia, hay actividades continuas; esto significa que las personas están realmente haciendo cosas para monitorear y mantener los mecanismos de protección, y estas actividades son continuas. [234]

Las organizaciones tienen la responsabilidad de practicar el deber de cuidado al aplicar la seguridad de la información. La Norma de análisis de riesgos del deber de cuidado (DoCRA) [235] proporciona principios y prácticas para evaluar el riesgo. [236] Considera a todas las partes que podrían verse afectadas por esos riesgos. [237] DoCRA ayuda a evaluar las salvaguardas si son adecuadas para proteger a otros de daños y al mismo tiempo presentar una carga razonable. [238] Con el aumento de los litigios por violación de datos, las empresas deben equilibrar los controles de seguridad, el cumplimiento y su misión. [239]

Gobernanza de seguridad

El Instituto de Ingeniería de Software de la Universidad Carnegie Mellon , en una publicación titulada Guía de implementación de la gobernanza para la seguridad empresarial (GES) , define las características de una gobernanza de seguridad eficaz, entre las que se incluyen las siguientes: [240]

Planes de respuesta a incidentes

Un plan de respuesta a incidentes (IRP) es un grupo de políticas que dictan la reacción de una organización ante un ciberataque. Una vez que se ha identificado una violación de seguridad, por ejemplo, mediante un sistema de detección de intrusiones en la red (NIDS) o un sistema de detección de intrusiones basado en host (HIDS) (si está configurado para ello), se inicia el plan. [241] Es importante tener en cuenta que una violación de datos puede tener implicaciones legales. Es fundamental conocer las leyes locales y federales. [242] Cada plan es exclusivo de las necesidades de la organización y puede implicar conjuntos de habilidades que no forman parte de un equipo de TI. [243] Por ejemplo, se puede incluir un abogado en el plan de respuesta para ayudar a abordar las implicaciones legales de una violación de datos. [ cita requerida ]

Como se mencionó anteriormente, cada plan es único, pero la mayoría de los planes incluirán lo siguiente: [244]

Preparación

Una buena preparación incluye el desarrollo de un equipo de respuesta a incidentes (IRT). [245] Las habilidades que debe utilizar este equipo serían pruebas de penetración, informática forense, seguridad de red, etc. [246] Este equipo también debe realizar un seguimiento de las tendencias en ciberseguridad y las estrategias de ataque modernas. [247] Un programa de capacitación para los usuarios finales es importante, ya que la mayoría de las estrategias de ataque modernas se dirigen a los usuarios de la red. [244]

Identificación

Esta parte del plan de respuesta a incidentes identifica si se produjo un evento de seguridad. [248] Cuando un usuario final informa de algo o un administrador advierte irregularidades, se inicia una investigación. Un registro de incidentes es una parte crucial de este paso. [ cita requerida ] Todos los miembros del equipo deben actualizar este registro para garantizar que la información fluya lo más rápido posible. [249] Si se ha identificado que se ha producido una violación de seguridad, se debe activar el siguiente paso. [250]

Contención

En esta fase, el IRT trabaja para aislar las áreas en las que se produjo la infracción para limitar el alcance del evento de seguridad. [251] Durante esta fase es importante preservar la información de manera forense para que pueda analizarse más adelante en el proceso. [252] La contención puede ser tan simple como contener físicamente una sala de servidores o tan compleja como segmentar una red para no permitir la propagación de un virus. [253]

Erradicación

Aquí es donde la amenaza que se identificó se elimina de los sistemas afectados. [254] Esto podría incluir la eliminación de archivos maliciosos, la terminación de cuentas comprometidas o la eliminación de otros componentes. [255] [256] Algunos eventos no requieren este paso, sin embargo, es importante comprender completamente el evento antes de pasar a este paso. [257] Esto ayudará a garantizar que la amenaza se elimine por completo. [253]

Recuperación

En esta etapa se restauran los sistemas a su funcionamiento original. [258] Esta etapa podría incluir la recuperación de datos, el cambio de la información de acceso de los usuarios o la actualización de las reglas o políticas del firewall para evitar una violación en el futuro. [259] [260] Sin ejecutar este paso, el sistema aún podría ser vulnerable a futuras amenazas de seguridad. [253]

Lecciones aprendidas

En este paso, la información que se ha recopilado durante este proceso se utiliza para tomar decisiones futuras sobre seguridad. [261] Este paso es crucial para garantizar que se eviten eventos futuros. El uso de esta información para capacitar a los administradores es fundamental para el proceso. [262] Este paso también se puede utilizar para procesar información que se distribuye desde otras entidades que han experimentado un evento de seguridad. [263]

Gestión del cambio

La gestión de cambios es un proceso formal para dirigir y controlar las modificaciones del entorno de procesamiento de la información. [264] [265] Esto incluye modificaciones en las computadoras de escritorio, la red, los servidores y el software. [266] Los objetivos de la gestión de cambios son reducir los riesgos que plantean los cambios en el entorno de procesamiento de la información y mejorar la estabilidad y la confiabilidad del entorno de procesamiento a medida que se realizan los cambios. [267] El objetivo de la gestión de cambios no es prevenir ni obstaculizar la implementación de los cambios necesarios. [268] [269]

Cualquier cambio en el entorno de procesamiento de información introduce un elemento de riesgo. [270] Incluso cambios aparentemente simples pueden tener efectos inesperados. [271] Una de las muchas responsabilidades de la gerencia es la gestión del riesgo. [272] [273] La gestión del cambio es una herramienta para gestionar los riesgos introducidos por los cambios en el entorno de procesamiento de información. [274] Parte del proceso de gestión del cambio asegura que los cambios no se implementen en momentos inoportunos cuando pueden interrumpir procesos comerciales críticos o interferir con otros cambios que se estén implementando. [275]

No todos los cambios necesitan ser gestionados. [276] [277] Algunos tipos de cambios son parte de la rutina diaria del procesamiento de información y se adhieren a un procedimiento predefinido, lo que reduce el nivel general de riesgo para el entorno de procesamiento. [278] Crear una nueva cuenta de usuario o implementar una nueva computadora de escritorio son ejemplos de cambios que generalmente no requieren gestión de cambios. [279] Sin embargo, reubicar los recursos compartidos de archivos de usuario o actualizar el servidor de correo electrónico plantean un nivel mucho más alto de riesgo para el entorno de procesamiento y no son una actividad diaria normal. [280] Los primeros pasos críticos en la gestión de cambios son (a) definir el cambio (y comunicar esa definición) y (b) definir el alcance del sistema de cambio. [281]

La gestión de cambios suele estar supervisada por un comité de revisión de cambios compuesto por representantes de las áreas clave de la empresa, [282] seguridad, redes, administradores de sistemas, administración de bases de datos, desarrolladores de aplicaciones, soporte de escritorio y el servicio de asistencia. [283] Las tareas del comité de revisión de cambios se pueden facilitar con el uso de una aplicación de flujo de trabajo automatizado. [284] La responsabilidad del comité de revisión de cambios es garantizar que se sigan los procedimientos de gestión de cambios documentados de la organización. [285] El proceso de gestión de cambios es el siguiente: [286]

Los procedimientos de gestión de cambios que son fáciles de seguir y de usar pueden reducir en gran medida los riesgos generales que se crean cuando se realizan cambios en el entorno de procesamiento de información. [318] Los buenos procedimientos de gestión de cambios mejoran la calidad general y el éxito de los cambios a medida que se implementan. [319] Esto se logra mediante la planificación, la revisión por pares, la documentación y la comunicación. [320]

Las normas ISO/IEC 20000 , The Visible OPS Handbook: Implementing ITIL in 4 Practical and Auditable Steps [321] (Resumen completo del libro), [322] e ITIL brindan una valiosa guía para implementar un programa de gestión de cambios de seguridad de la información eficiente y eficaz. [323]

Continuidad del negocio

La gestión de la continuidad del negocio ( BCM ) se refiere a los acuerdos destinados a proteger las funciones críticas de negocio de una organización de interrupciones debido a incidentes, o al menos minimizar los efectos. [324] [325] BCM es esencial para cualquier organización para mantener la tecnología y el negocio en línea con las amenazas actuales a la continuidad del negocio como de costumbre. [326] El BCM debe incluirse en un plan de análisis de riesgos de las organizaciones para garantizar que todas las funciones comerciales necesarias tengan lo que necesitan para seguir funcionando en caso de cualquier tipo de amenaza a cualquier función comercial. [327]

Abarca:

Mientras que el BCM adopta un enfoque amplio para minimizar los riesgos relacionados con los desastres al reducir tanto la probabilidad como la gravedad de los incidentes, un plan de recuperación de desastres (DRP) se centra específicamente en reanudar las operaciones comerciales lo más rápidamente posible después de un desastre. [337] Un plan de recuperación de desastres, invocado poco después de que ocurre un desastre, establece los pasos necesarios para recuperar la infraestructura crítica de tecnología de la información y las comunicaciones (ICT). [338] La planificación de la recuperación de desastres incluye el establecimiento de un grupo de planificación, la realización de una evaluación de riesgos, el establecimiento de prioridades, el desarrollo de estrategias de recuperación, la preparación de inventarios y la documentación del plan, el desarrollo de criterios y procedimientos de verificación y, por último, la implementación del plan. [339]

Leyes y reglamentos

Clasificación de privacidad de Privacy International
2007 Verde: Protecciones y salvaguardas
Rojo: Sociedades de vigilancia endémica

A continuación se presenta una lista parcial de leyes y regulaciones gubernamentales en varias partes del mundo que tienen, tuvieron o tendrán un efecto significativo en el procesamiento de datos y la seguridad de la información. [340] [341] También se han incluido regulaciones importantes del sector industrial cuando tienen un impacto significativo en la seguridad de la información. [340]

En 2004, el Departamento de Defensa de los Estados Unidos (DoD) emitió la Directiva DoD 8570, complementada por la Directiva DoD 8140, que exige que todos los empleados del DoD y todo el personal contratado del DoD que participe en funciones y actividades de garantía de la información obtengan y mantengan diversas certificaciones de tecnología de la información (TI) en un esfuerzo por garantizar que todo el personal del DoD involucrado en la defensa de la infraestructura de la red tenga niveles mínimos de conocimientos, habilidades y capacidades (KSA) reconocidos por la industria de TI. Andersson y Reimers (2019) informan que estas certificaciones van desde A+ y Security+ de CompTIA hasta CISSP de ICS2.org, etc. [376]

Cultura

La cultura de seguridad de la información no solo describe la conciencia de seguridad de los empleados, sino que también incluye las ideas, costumbres y comportamientos sociales de una organización que afectan la seguridad de la información de manera positiva y negativa. [377] Los conceptos culturales pueden ayudar a que los diferentes segmentos de la organización trabajen de manera eficaz o en contra de la eficacia en materia de seguridad de la información dentro de una organización. La forma en que los empleados piensan y sienten sobre la seguridad y las acciones que toman pueden tener un gran impacto en la seguridad de la información en las organizaciones. Roer y Petric (2017) identifican siete dimensiones fundamentales de la cultura de seguridad de la información en las organizaciones: [378]

Andersson y Reimers (2014) descubrieron que los empleados a menudo no se ven a sí mismos como parte del "esfuerzo" de seguridad de la información de la organización y a menudo toman medidas que ignoran los mejores intereses de seguridad de la información de la organización. [380] La investigación muestra que la cultura de seguridad de la información debe mejorarse continuamente. En Information Security Culture from Analysis to Change , los autores comentaron: "Es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento". Para gestionar la cultura de seguridad de la información, se deben seguir cinco pasos: preevaluación, planificación estratégica, planificación operativa, implementación y postevaluación. [381]

Fuentes de normas

La Organización Internacional de Normalización (ISO) es una organización de normalización internacional organizada como un consorcio de instituciones nacionales de normalización de 167 países, coordinadas a través de una secretaría en Ginebra, Suiza. ISO es el mayor desarrollador de normas internacionales del mundo. La Comisión Electrotécnica Internacional (IEC) es una organización de normalización internacional que se ocupa de la electrotecnología y coopera estrechamente con ISO. ISO/IEC 15443: "Tecnología de la información - Técnicas de seguridad - Un marco para el aseguramiento de la seguridad de TI", ISO/IEC 27002 : "Tecnología de la información - Técnicas de seguridad - Código de práctica para la gestión de la seguridad de la información", ISO/IEC 20000 : "Tecnología de la información - Gestión de servicios", e ISO/IEC 27001 : "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos" son de particular interés para los profesionales de la seguridad de la información.

El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) es una agencia federal no regulatoria dentro del Departamento de Comercio de los Estados Unidos . La División de Seguridad Informática del NIST desarrolla estándares, métricas, pruebas y programas de validación, así como también publica estándares y pautas para aumentar la planificación, implementación, gestión y operación segura de TI. El NIST también es el custodio de las publicaciones del Estándar Federal de Procesamiento de Información (FIPS) de los Estados Unidos.

Internet Society es una sociedad de miembros profesionales con más de 100 organizaciones y más de 20.000 miembros individuales en más de 180 países. Proporciona liderazgo para abordar cuestiones que afectan al futuro de Internet y es la sede organizativa de los grupos responsables de los estándares de infraestructura de Internet, incluidos el Grupo de trabajo de ingeniería de Internet (IETF) y el Consejo de arquitectura de Internet (IAB). La ISOC alberga las solicitudes de comentarios (RFC), que incluyen los estándares oficiales del protocolo de Internet y el Manual de seguridad de sitios RFC-2196 .

El Foro de Seguridad de la Información (ISF) es una organización mundial sin fines de lucro integrada por varios cientos de organizaciones líderes en los sectores de servicios financieros, manufactura, telecomunicaciones, bienes de consumo, gobierno y otras áreas. Realiza investigaciones sobre prácticas de seguridad de la información y ofrece asesoramiento en su Estándar de Buenas Prácticas para la Seguridad de la Información , que se publica cada dos años , y en avisos más detallados para los miembros.

El Instituto de Profesionales de Seguridad de la Información (IISP) es un organismo independiente, sin fines de lucro, dirigido por sus miembros, cuyo principal objetivo es promover la profesionalidad de los profesionales de la seguridad de la información y, por ende, la profesionalidad de la industria en su conjunto. El instituto desarrolló el Marco de habilidades del IISP. Este marco describe la gama de competencias que se esperan de los profesionales de la seguridad de la información y la garantía de la información en el desempeño eficaz de sus funciones. Fue desarrollado mediante la colaboración entre organizaciones del sector público y privado, académicos de renombre mundial y líderes en seguridad. [382]

Las normas BSI 100-1 a 100-4 de la Oficina Federal Alemana de Seguridad de la Información ( Bundesamt für Sicherheit in der Informationstechnik (BSI) ) son un conjunto de recomendaciones que incluyen "métodos, procesos, procedimientos, enfoques y medidas relacionados con la seguridad de la información". [383] La norma BSI 100-2, Metodología IT-Grundschutz, describe cómo se puede implementar y operar la gestión de la seguridad de la información. La norma incluye una guía muy específica, los Catálogos de Protección de Línea Base de TI (también conocidos como Catálogos IT-Grundschutz). Antes de 2005, los catálogos se conocían anteriormente como " Manual de Protección de Línea Base de TI ". Los Catálogos son una colección de documentos útiles para detectar y combatir los puntos débiles relevantes para la seguridad en el entorno de TI (clúster de TI). La colección abarca a septiembre de 2013 más de 4.400 páginas con la introducción y los catálogos. El enfoque de IT-Grundschutz está alineado con la familia ISO/IEC 2700x.

El Instituto Europeo de Normas de Telecomunicaciones estandarizó un catálogo de indicadores de seguridad de la información , encabezado por el Grupo de Especificación Industrial (ISG) ISI.

Véase también

Referencias

  1. ^ Curry, Michael; Marshall, Byron; Crossler, Robert E.; Correia, John (25 de abril de 2018). "InfoSec Process Action Model (IPAM): abordaje sistemático del comportamiento de seguridad individual". Base de datos ACM SIGMIS: la BASE DE DATOS para los avances en sistemas de información . 49 (SI): 49–66. doi :10.1145/3210530.3210535. ISSN  0095-0033. S2CID  14003960.
  2. ^ Joshi, Chanchala; Singh, Umesh Kumar (agosto de 2017). "Marco de gestión de riesgos de seguridad de la información: un paso hacia la mitigación de los riesgos de seguridad en la red universitaria". Revista de seguridad de la información y aplicaciones . 35 : 128–137. doi :10.1016/j.jisa.2017.06.006. ISSN  2214-2126.
  3. ^ Fletcher, Martin (14 de diciembre de 2016). «Una introducción al riesgo de la información». Archivos Nacionales . Consultado el 23 de febrero de 2022 .
  4. ^ Joshi, Chanchala; Singh, Umesh Kumar (agosto de 2017). "Marco de gestión de riesgos de seguridad de la información: un paso hacia la mitigación de los riesgos de seguridad en la red universitaria". Revista de seguridad de la información y aplicaciones . 35 : 128–137. doi :10.1016/j.jisa.2017.06.006.
  5. ^ Daniel, Kent; Titman, Sheridan (agosto de 2006). "Reacciones del mercado a la información tangible e intangible". The Journal of Finance . 61 (4): 1605–1643. doi :10.1111/j.1540-6261.2006.00884.x. SSRN  414701.
  6. ^ Fink, Kerstin (2004). Medición del potencial de conocimiento e incertidumbre . Deutscher Universitätsverlag. ISBN 978-3-322-81240-7.OCLC 851734708  .
  7. ^ Keyser, Tobias (19 de abril de 2018), "Política de seguridad", The Information Governance Toolkit , CRC Press, págs. 57-62, doi :10.1201/9781315385488-13, ISBN 978-1-315-38548-8, consultado el 28 de mayo de 2021
  8. ^ Danzig, Richard; Instituto de Estudios Estratégicos Nacionales de la Universidad de Defensa Nacional de Washington DC (1995). "Los tres grandes: Nuestros mayores riesgos de seguridad y cómo abordarlos". DTIC ADA421883.
  9. ^ Lyu, MR; Lau, LKY (2000). "Seguridad de firewall: políticas, pruebas y evaluación del rendimiento". Actas de la 24.ª Conferencia anual internacional sobre software y aplicaciones informáticas. COMPSAC2000 . IEEE Comput. Soc. págs. 116–121. doi :10.1109/cmpsac.2000.884700. ISBN 0-7695-0792-1.S2CID11202223  .​
  10. ^ "Cómo la falta de estandarización de datos impide una atención sanitaria basada en datos", Data-Driven Healthcare , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., pág. 29, 17 de octubre de 2015, doi : 10.1002/9781119205012.ch3, ISBN 978-1-119-20501-2, consultado el 28 de mayo de 2021
  11. ^ Lent, Tom; Walsh, Bill (2009), "Replanteamiento de los estándares de construcción ecológica para una mejora continua integral", Common Ground, creación de consenso y mejora continua: estándares internacionales y construcción sostenible , West Conshohocken, PA: ASTM International, págs. 1–1–10, doi :10.1520/stp47516s, ISBN 978-0-8031-4507-8, consultado el 28 de mayo de 2021
  12. ^ ab Cherdantseva Y. y Hilton J.: "Seguridad de la información y garantía de la información. El debate sobre el significado, el alcance y los objetivos". En: Dimensiones organizativas, legales y tecnológicas del administrador de sistemas de información . Almeida F., Portela, I. (eds.). IGI Global Publishing. (2013)
  13. ^ ISO/IEC 27000:2018 (E). (2018). Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Descripción general y vocabulario. ISO/IEC.
  14. ^ Comité de Sistemas de Seguridad Nacional : Glosario de garantía de la información nacional, Instrucción CNSS nº 4009, 26 de abril de 2010.
  15. ^ ISACA. (2008). Glosario de términos, 2008. Recuperado de http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
  16. ^ Pipkin, D. (2000). Seguridad de la información: protección de la empresa global . Nueva York: Hewlett-Packard Company.
  17. ^ B., McDermott, E., y Geer, D. (2001). La seguridad de la información es la gestión de riesgos de la información. En Actas del Taller de 2001 sobre Nuevos Paradigmas de Seguridad NSPW '01, (pp. 97 – 104). ACM. doi :10.1145/508171.508187
  18. ^ Anderson, JM (2003). "Por qué necesitamos una nueva definición de seguridad de la información". Computers & Security . 22 (4): 308–313. doi :10.1016/S0167-4048(03)00407-3.
  19. ^ Venter, HS; Eloff, JHP (2003). "Una taxonomía para las tecnologías de seguridad de la información". Computers & Security . 22 (4): 299–307. doi :10.1016/S0167-4048(03)00406-1.
  20. ^ Gold, S (diciembre de 2004). "Amenazas que se ciernen más allá del perímetro". Informe técnico sobre seguridad de la información . 9 (4): 12–14. doi :10.1016/s1363-4127(04)00047-0 (inactivo el 12 de agosto de 2024). ISSN  1363-4127.{{cite journal}}: CS1 maint: DOI inactivo a partir de agosto de 2024 ( enlace )
  21. ^ Parker, Donn B. (enero de 1993). "Una lista completa de amenazas a la información". Seguridad de los sistemas de información . 2 (2): 10–14. doi :10.1080/19393559308551348. ISSN  1065-898X. S2CID  30661431.
  22. ^ Sullivant, John (2016), "El entorno de amenazas en evolución", Building a Corporate Culture of Security , Elsevier, págs. 33-50, doi :10.1016/b978-0-12-802019-7.00004-3, ISBN 978-0-12-802019-7, consultado el 28 de mayo de 2021
  23. ^ Бучик, С. С.; Юдін, О. К.; Нетребко, Р. В. (21 de diciembre de 2016). "El análisis de los métodos de determinación de los tipos funcionales de seguridad del sistema de información y telecomunicaciones contra el acceso no autorizado". Problemas de informatización y gestión . 4 (56). doi : 10.18372/2073-4751.4.13135 . ISSN  2073-4751.
  24. ^ ab Samonas, S.; Coss, D. (2014). «La CIA contraataca: redefiniendo la confidencialidad, la integridad y la disponibilidad en seguridad». Journal of Information System Security . 10 (3): 21–45. Archivado desde el original el 22 de septiembre de 2018 . Consultado el 25 de enero de 2018 .
  25. ^ "Gartner afirma que los disruptores digitales están afectando a todas las industrias; los KPI digitales son cruciales para medir el éxito". Gartner. 2 de octubre de 2017. Consultado el 25 de enero de 2018 .
  26. ^ "Encuesta de Gartner muestra que el 42 por ciento de los directores ejecutivos han comenzado la transformación digital de sus negocios". Gartner. 24 de abril de 2017. Consultado el 25 de enero de 2018 .
  27. ^ Forte, Dario; Power, Richard (diciembre de 2007). "Controles básicos en algunas áreas vitales pero a menudo pasadas por alto de su programa de protección de la información". Fraude informático y seguridad . 2007 (12): 17–20. doi :10.1016/s1361-3723(07)70170-7. ISSN  1361-3723.
  28. ^ Aparatos de conmutación y control de baja tensión. Perfiles de dispositivos para dispositivos industriales en red, Normas británicas BSI, doi :10.3403/bsen61915 , consultado el 28 de mayo de 2021
  29. ^ Fetzer, James; Highfill, Tina; Hossiso, Kassu; Howells, Thomas; Strassner, Erich; Young, Jeffrey (noviembre de 2018). "Contabilización de la heterogeneidad de las empresas en las industrias estadounidenses: tablas de oferta y uso ampliadas y comercio en valor agregado utilizando datos a nivel de empresa y establecimiento". Serie de documentos de trabajo. Oficina Nacional de Investigación Económica . doi :10.3386/w25249. S2CID  169324096.
  30. ^ "Estimación segura sujeta a ataques ciberestocásticos", Cloud Control Systems , Metodologías emergentes y aplicaciones en modelado, Elsevier: 373–404, 2020, doi : 10.1016/b978-0-12-818701-2.00021-4, ISBN 978-0-12-818701-2, S2CID  240746156 , consultado el 28 de mayo de 2021
  31. ^ Nijmeijer, H. (2003). Sincronización de sistemas mecánicos . World Scientific. ISBN 978-981-279-497-0.OCLC 262846185  .
  32. ^ "Cómo ha evolucionado en los últimos años el uso de ordenadores por parte de los estudiantes". Estudiantes, ordenadores y aprendizaje . PISA. OCDE . 8 de septiembre de 2015. pp. 31–48. doi :10.1787/9789264239555-4-en. ISBN 978-92-64-23954-8. Recuperado el 30 de noviembre de 2023 .
  33. ^ "9 tipos de especializaciones en ciberseguridad".
  34. ^ Tecnología de la información. Técnicas de seguridad. Requisitos de competencia para profesionales de sistemas de gestión de seguridad de la información, BSI British Standards, doi :10.3403/30342674 , consultado el 29 de mayo de 2021
  35. ^ "Hoja informativa sobre las cualificaciones en materia de seguridad de la información" (PDF) . Gobernanza de TI . Archivado desde el original (PDF) el 16 de marzo de 2018 . Consultado el 16 de marzo de 2018 .
  36. ^ Ma, Ruiqing Ray (marzo de 2016). "Las pantallas flexibles vienen en muchas formas". Pantalla de información . 32 (2): 4–49. doi : 10.1002/j.2637-496x.2016.tb00883.x . ISSN  0362-0972.
  37. ^ Rahim, Noor H. (marzo de 2006). Derechos humanos y seguridad interna en Malasia: retórica y realidad . Centro de Información Técnica de Defensa. OCLC  74288358.
  38. ^ Kramer, David (14 de septiembre de 2018). "Las amenazas de robo y sabotaje nuclear siguen siendo altas, advierte un informe". Physics Today (9): 30951. Bibcode :2018PhT..2018i0951K. doi :10.1063/pt.6.2.20180914a. ISSN  1945-0699. S2CID  240223415.
  39. ^ Wilding, Edward (2 de marzo de 2017). Riesgos y seguridad de la información: prevención e investigación de delitos informáticos en el lugar de trabajo . Routledge. ISBN 978-1-351-92755-0.OCLC 1052118207  .
  40. ^ Stewart, James (2012). Guía de estudio del CISSP . Canadá: John Wiley & Sons. págs. 255–257. ISBN 978-1-118-31417-3.
  41. ^ "¿Por qué ha disminuido el crecimiento de la productividad?". Estudios económicos de la OCDE: Dinamarca 2009. OCDE . 2009. pp. 65–96. doi :10.1787/eco_surveys-dnk-2009-4-en. ISBN 9789264076556. Recuperado el 30 de noviembre de 2023 .
  42. ^ "Robo de identidad: el nuevo ataque digital que la industria debe tomar en serio". Problemas en los sistemas de información . 2007. doi : 10.48009/2_iis_2007_297-302 . ISSN  1529-7314.
  43. ^ Wendel-Persson, Anna; Ronnhed, Fredrik (2017). IT-säkerhet och människan: De har världens starkaste mur men porten star alltid på glänt . Universidad de Umeå, instituciones de informática. OCLC  1233659973.
  44. ^ Enge, Eric (5 de abril de 2017). «Templo de piedra». Archivado desde el original el 27 de abril de 2018. Consultado el 17 de noviembre de 2017 . Teléfonos celulares
  45. ^ Shao, Ruodan; Skarlicki, Daniel P. (2014). "Escala de sabotaje hacia clientes que maltrataron a empleados". Conjunto de datos PsycTESTS . doi :10.1037/t31653-000 . Consultado el 28 de mayo de 2021 .
  46. ^ Kitchen, Julie (junio de 2008). "7side – Información de empresas, constitución de empresas y búsqueda de propiedades". Gestión de información legal . 8 (2): 146. doi :10.1017/s1472669608000364. ISSN  1472-6696. S2CID  144325193.
  47. ^ Young, Courtenay (8 de mayo de 2018), "Trabajar con ataques de pánico", Help Yourself Towards Mental Health , Routledge, págs. 209-214, doi :10.4324/9780429475474-32, ISBN 978-0-429-47547-4, consultado el 28 de mayo de 2021
  48. ^ "Introducción: Dentro de la amenaza interna", Insider Threats , Cornell University Press, págs. 1–9, 31 de diciembre de 2017, doi :10.7591/9781501705946-003, ISBN 978-1-5017-0594-6, consultado el 28 de mayo de 2021
  49. ^ Lequiller, F.; Blades, D. (2014). Cuadro 7.7 Francia: Comparación de las participaciones en los beneficios de las sociedades no financieras y de las sociedades no financieras más las empresas no constituidas en sociedad (PDF) . OCDE . p. 217. doi :10.1787/9789264214637-en. ISBN 978-92-64-21462-0. Recuperado el 1 de diciembre de 2023 .
  50. ^ "¿Cómo surgió todo esto?", El negocio del cumplimiento normativo y sus clientes , Basingstoke: Palgrave Macmillan, 2012, doi : 10.1057/9781137271150.0007, ISBN 978-1-137-27115-0
  51. ^ Gordon, Lawrence A. ; Loeb, Martin P. (noviembre de 2002). "La economía de la inversión en seguridad de la información". ACM Transactions on Information and System Security . 5 (4): 438–457. doi :10.1145/581271.581274. S2CID  1500788.
  52. ^ Cho Kim, Byung; Khansa, Lara; James, Tabitha (julio de 2011). "Confianza individual y percepción del riesgo del consumidor". Revista de privacidad y seguridad de la información . 7 (3): 3–22. doi :10.1080/15536548.2011.10855915. ISSN  1553-6548. S2CID  144643691.
  53. ^ Stewart, James (2012). Guía de estudio para profesionales de seguridad de sistemas de información certificados por CISSP, sexta edición . Canadá: John Wiley & Sons, Inc., págs. 255-257. ISBN 978-1-118-31417-3.
  54. ^ Gillett, John (marzo de 1994). "El coste-beneficio de la subcontratación: evaluación del coste real de su estrategia de subcontratación". Revista Europea de Gestión de Compras y Suministros . 1 (1): 45–47. doi :10.1016/0969-7012(94)90042-6. ISSN  0969-7012.
  55. ^ Larsen, Daniel (31 de octubre de 2019). "Creación de una cultura estadounidense del secreto: criptografía en la diplomacia de la era Wilson". Historia diplomática . doi :10.1093/dh/dhz046. ISSN  0145-2096.
  56. ^ "Introducción: César ha muerto. ¡Viva César!", La imagen autocreada de Julio César y su dramática vida después de la muerte , Bloomsbury Academic, 2018, doi :10.5040/9781474245784.0005, ISBN 978-1-4742-4578-4, consultado el 29 de mayo de 2021
  57. ^ Suetonio Tranquillo, Cayo (2008). Vidas de los Césares (Oxford World's Classics) . Nueva York: Oxford University Press. p. 28. ISBN. 978-0-19-953756-3.
  58. ^ Singh, Simon (2000). El libro de códigos . Anchor. Págs. 289-290. ISBN. 978-0-385-49532-5.
  59. ^ Tan, Heng Chuan (2017). Hacia comunicaciones seguras y confiables en un entorno vehicular (Tesis). Universidad Tecnológica de Nanyang. doi :10.32657/10356/72758.
  60. ^ Johnson, John (1997). La evolución del sigint británico: 1653-1939 . Her Majesty's Stationery Office. ASIN  B00GYX1GX2.
  61. ^ Willison, M. (21 de septiembre de 2018). "¿Eran especiales los bancos? Puntos de vista contrastantes en la Gran Bretaña de mediados del siglo XIX". Monetary Economics: International Financial Flows . doi :10.2139/ssrn.3249510 . Consultado el 1 de diciembre de 2023 .
  62. ^ Ruppert, K. (2011). "Ley de secretos oficiales (1889; nueva 1911; modificada en 1920, 1939, 1989)". En Hastedt, GP (ed.). Espías, escuchas telefónicas y operaciones secretas: una enciclopedia del espionaje estadounidense . Vol. 2. ABC-CLIO. págs. 589–590. ISBN 9781851098088.
  63. ^ "2. La Ley Clayton: Una consideración de la sección 2, que define la discriminación ilegal de precios". La Ley Federal Antimonopolio . Columbia University Press. 31 de diciembre de 1930. págs. 18-28. doi :10.7312/dunn93452-003. ISBN 978-0-231-89377-0. Recuperado el 29 de mayo de 2021 .
  64. ^ Maer, Lucinda; Gay (30 de diciembre de 2008). "Secreto oficial" (PDF) . Federación de Científicos Estadounidenses .
  65. ^ "La Ley de Secretos Oficiales de 1989 que reemplazó la sección 2 de la Ley de 1911", Espionaje y Secreto (Routledge Revivals) , Routledge, págs. 267-282, 10 de junio de 2016, doi :10.4324/9781315542515-21 (inactivo el 11 de septiembre de 2024), ISBN 978-1-315-54251-5{{citation}}: CS1 maint: DOI inactivo a partir de septiembre de 2024 ( enlace )
  66. ^ "Ley de Secretos Oficiales: qué cubre; cuándo se ha utilizado, se ha cuestionado". The Indian Express . 8 de marzo de 2019 . Consultado el 7 de agosto de 2020 .
  67. ^ Singh, Gajendra (noviembre de 2015). ""Rompiendo las cadenas con las que nos ataban": la cámara de interrogatorios, el ejército nacional indio y la negación de las identidades militares, 1941-1947". Biblioteca digital de Brill sobre la Primera Guerra Mundial . doi :10.1163/2352-3786_dlws1_b9789004211452_019 . Consultado el 28 de mayo de 2021 .
  68. ^ Duncanson, Dennis (junio de 1982). "La lucha por desentrañar la Indochina francesa". Asuntos asiáticos . 13 (2): 161–170. doi :10.1080/03068378208730070. ISSN  0306-8374.
  69. ^ Whitman y otros. 2017, págs. 3.
  70. ^ "Allied Power. Movilización de la energía hidroeléctrica durante la Segunda Guerra Mundial en Canadá", Allied Power , University of Toronto Press, págs. 1-2, 31 de diciembre de 2015, doi :10.3138/9781442617117-003, ISBN 978-1-4426-1711-7, consultado el 29 de mayo de 2021
  71. ^ Glatthaar, Joseph T. (15 de junio de 2011), "Oficiales y soldados", Soldados en el ejército del norte de Virginia , University of North Carolina Press, págs. 83-96, doi :10.5149/9780807877869_glatthaar.11, ISBN 978-0-8078-3492-3, consultado el 28 de mayo de 2021
  72. ^ ab Sebag–Montefiore, H. (2011). Enigma: La batalla por el código . Orión. pág. 576. ISBN 9781780221236.
  73. ^ Whitman et al. 2017, págs. 4-5.
  74. ^ ab Whitman et al. 2017, pág. 5.
  75. ^ Dekar, Paul R. (26 de abril de 2012). Thomas Merton: Sabiduría del siglo XX para la vida del siglo XXI. The Lutterworth Press. págs. 160–184. doi :10.2307/j.ctt1cg4k28.13. ISBN 978-0-7188-4069-3. Recuperado el 29 de mayo de 2021 .
  76. ^ Murphy, Richard C. (1 de septiembre de 2009). Building more powerful less cost supercomputers using Processing-In-Memory (PIM) LDRD final report (Informe). doi :10.2172/993898.
  77. ^ "Una breve historia de Internet". www.usg.edu . Consultado el 7 de agosto de 2020 .
  78. ^ "Paseando por la vista de Delft - en Internet". Computers & Graphics . 25 (5): 927. Octubre 2001. doi :10.1016/s0097-8493(01)00149-2. ISSN  0097-8493.
  79. ^ DeNardis, L. (2007). "Capítulo 24: Una historia de la seguridad en Internet". En de Leeuw, KMM; Bergstra, J. (eds.). La historia de la seguridad de la información: un manual completo . Elsevier. págs. 681–704. ISBN 9780080550589.
  80. ^ Parrish, Allen; Impagliazzo, John; Raj, Rajendra K.; Santos, Henrique; Asghar, Muhammad Rizwan; Jøsang, Audun; Pereira, Teresa; Stavrou, Eliana (2 de julio de 2018). "Perspectivas globales sobre la educación en ciberseguridad para 2030: un caso para una metadisciplina". Actas complementarias de la 23.ª Conferencia anual de la ACM sobre innovación y tecnología en la educación en ciencias de la computación . ACM. págs. 36–54. doi :10.1145/3293881.3295778. hdl :1822/71620. ISBN . 978-1-4503-6223-8.S2CID 58004425  .
  81. ^ Perrin, Chad (30 de junio de 2008). "The CIA Triad" (La tríada de la CIA) . Consultado el 31 de mayo de 2012 .
  82. ^ Sandhu, Ravi; Jajodia, Sushil (20 de octubre de 2000), "Seguridad de bases de datos relacionales", Manual de gestión de seguridad de la información, conjunto de cuatro volúmenes , Auerbach Publications, doi : 10.1201/9780203325438.ch120, ISBN 978-0-8493-1068-3
  83. ^ ab Stoneburner, G.; Hayden, C.; Feringa, A. (2004). "Principios de ingeniería para la seguridad de la tecnología de la información" (PDF) . csrc.nist.gov. doi :10.6028/NIST.SP.800-27rA. Archivado desde el original (PDF) el 15 de agosto de 2011 . Consultado el 28 de agosto de 2011 .
  84. ^ AJ Neumann, N. Statland y RD Webb (1977). "Herramientas y técnicas de auditoría de posprocesamiento" (PDF) . Departamento de Comercio de los Estados Unidos, Oficina Nacional de Normas. pp. 11-3--11-4.
  85. ^ "oecd.org" (PDF) . Archivado desde el original (PDF) el 16 de mayo de 2011. Consultado el 17 de enero de 2014 .
  86. ^ "GSSP (Principios de seguridad de sistemas generalmente aceptados): un viaje a Abilene". Computers & Security . 15 (5): 417. Enero de 1996. doi :10.1016/0167-4048(96)82630-7. ISSN  0167-4048.
  87. ^ Slade, Rob. "(ICS)2 Blog". Archivado desde el original el 17 de noviembre de 2017 . Consultado el 17 de noviembre de 2017 .
  88. ^ Aceituno, Vicente. «Modelo de madurez de seguridad de la información abierta» . Consultado el 12 de febrero de 2017 .
  89. ^ "George Cybenko – Página personal de George Cybenko" (PDF) . Archivado desde el original (PDF) el 29 de marzo de 2018 . Consultado el 5 de enero de 2018 .
  90. ^ Hughes, Jeff; Cybenko, George (21 de junio de 2018). "Métricas cuantitativas y evaluación de riesgos: el modelo de los tres principios de la ciberseguridad". Technology Innovation Management Review . 3 (8).
  91. ^ Teplow, Lily (julio de 2020). "¿Sus clientes están cayendo en estos mitos de seguridad informática? [GRÁFICO]". continuum.net .
  92. ^ Beckers, K. (2015). Requisitos de seguridad y patrones: Establecimiento de estándares de seguridad basados ​​en la ingeniería. Springer. pág. 100. ISBN 9783319166643.
  93. ^ Fienberg, Stephen E.; Slavković, Aleksandra B. (2011), "Privacidad y confidencialidad de los datos", Enciclopedia internacional de ciencias estadísticas , págs. 342-345, doi :10.1007/978-3-642-04898-2_202, ISBN 978-3-642-04897-5
  94. ^ abcde Andress, J. (2014). Fundamentos de la seguridad de la información: comprensión de los fundamentos de la seguridad de la información en teoría y en la práctica. Syngress. pág. 240. ISBN 9780128008126.
  95. ^ Boritz, J. Efrim (2005). "Opiniones de los profesionales de SI sobre los conceptos básicos de la integridad de la información". Revista internacional de sistemas de información contable . 6 (4). Elsevier: 260–279. doi :10.1016/j.accinf.2005.07.001.
  96. ^ Hryshko, I. (2020). "Ocupación no autorizada de tierras y construcción no autorizada: conceptos y tipos de medios tácticos de investigación". International Humanitarian University Herald. Jurisprudencia (43): 180–184. doi : 10.32841/2307-1745.2020.43.40 . ISSN  2307-1745.
  97. ^ Kim, Bonn-Oh (21 de septiembre de 2000), "Integridad referencial para el diseño de bases de datos", Bases de datos web de alto rendimiento , Auerbach Publications, págs. 427-434, doi :10.1201/9781420031560-34, ISBN 978-0-429-11600-1, consultado el 29 de mayo de 2021
  98. ^ Pevnev, V. (2018). "Modelar amenazas y garantizar la integridad de la información". Sistemas y tecnologías . 2 (56): 80–95. doi : 10.32836/2521-6643-2018.2-56.6 . ISSN  2521-6643.
  99. ^ Fan, Lejun; Wang, Yuanzhuo; Cheng, Xueqi; Li, Jinming; Jin, Shuyuan (26 de febrero de 2013). "Análisis de colaboración multiproceso de malware de robo de privacidad". Seguridad y redes de comunicación . 8 (1): 51–67. doi : 10.1002/sec.705 . ISSN  1939-0114.
  100. ^ "Completitud, consistencia e integridad del modelo de datos". Medición de la calidad de los datos para la mejora continua . Serie MK sobre inteligencia empresarial. Elsevier. 2013. pp. e11–e19. doi :10.1016/b978-0-12-397033-6.00030-4. ISBN 978-0-12-397033-6. Recuperado el 29 de mayo de 2021 .
  101. ^ Vídeo de SPIE - la Sociedad Internacional de Óptica y Fotónica. doi :10.1117/12.2266326.5459349132001 . Consultado el 29 de mayo de 2021 .
  102. ^ "Habilidades de comunicación utilizadas por los graduados en sistemas de información". Problemas en sistemas de información . 2005. doi : 10.48009/1_iis_2005_311-317 . ISSN  1529-7314.
  103. ^ Interrupciones del suministro eléctrico como consecuencia de fallos en los cables del sistema de la Boston Edison Company (Informe). 1 de julio de 1980. doi :10.2172/5083196. OSTI  5083196. Consultado el 18 de enero de 2022 .
  104. ^ Loukas, G.; Oke, G. (septiembre de 2010) [agosto de 2009]. "Protection Against Denial of Service Attacks: A Survey" (PDF) . Comput. J. 53 (7): 1020–1037. doi :10.1093/comjnl/bxp078. Archivado desde el original (PDF) el 24 de marzo de 2012 . Consultado el 28 de agosto de 2015 .
  105. ^ "Ser capaz de realizar una actividad clínica", Definiciones , Qeios, 2 de febrero de 2020, doi :10.32388/dine5x, S2CID  241238722 , consultado el 29 de mayo de 2021
  106. ^ Ohta, Mai; Fujii, Takeo (mayo de 2011). "Detección cooperativa iterativa en espectro primario compartido para mejorar la capacidad de detección". Simposio internacional IEEE de 2011 sobre redes de acceso dinámico al espectro (DySPAN) . IEEE. págs. 623–627. doi :10.1109/dyspan.2011.5936257. ISBN . 978-1-4577-0177-1.S2CID15119653  .​
  107. ^ Tecnología de la información. Gestión de incidentes de seguridad de la información, BSI British Standards, doi :10.3403/30387743 , consultado el 29 de mayo de 2021
  108. ^ Blum, Dan (2020), "Identificar y alinear los roles relacionados con la seguridad", Rational Cybersecurity for Business , Berkeley, CA: Apress, págs. 31-60, doi :10.1007/978-1-4842-5952-8_2, ISBN 978-1-4842-5951-1, S2CID  226626983 , consultado el 29 de mayo de 2021
  109. ^ McCarthy, C. (2006). "Bibliotecas digitales: consideraciones de seguridad y preservación". En Bidgoli, H. (ed.). Manual de seguridad de la información, amenazas, vulnerabilidades, prevención, detección y gestión . Vol. 3. John Wiley & Sons. págs. 49–76. ISBN 9780470051214.
  110. ^ Tecnología de la información. Interconexión de sistemas abiertos. Marcos de seguridad para sistemas abiertos, BSI British Standards, doi :10.3403/01110206u , consultado el 29 de mayo de 2021
  111. ^ Christofori, Ralf (1 de enero de 2014), "Así pudo haber sido", Julio Rondo - Ok, Meta Memory , Wilhelm Fink Verlag, doi :10.30965/9783846757673_003 (inactivo el 12 de agosto de 2024), ISBN 978-3-7705-5767-7{{citation}}: CS1 maint: DOI inactivo a partir de agosto de 2024 ( enlace )
  112. ^ Atkins, D. (mayo de 2021). "Uso del algoritmo de firma digital Walnut con firma y cifrado de objetos CBOR (COSE)". Editor de RFC . doi : 10.17487/rfc9021 . S2CID 182252627 . Consultado el 18 de enero de 2022 . 
  113. ^ Le May, I. (2003), "Integridad estructural en la industria petroquímica", Comprehensive Structural Integrity , Elsevier, págs. 125-149, doi :10.1016/b0-08-043749-4/01001-6, ISBN 978-0-08-043749-1, consultado el 29 de mayo de 2021
  114. ^ Sodjahin, Amos; Champagne, Claudia; Coggins, Frank; Gillet, Roland (11 de enero de 2017). "¿Indicadores adelantados o rezagados de riesgo? El contenido informativo de las puntuaciones de rendimiento extrafinanciero". Journal of Asset Management . 18 (5): 347–370. doi :10.1057/s41260-016-0039-y. ISSN  1470-8272. S2CID  157485290.
  115. ^ Reynolds, EH (22 de julio de 1995). "El folato tiene potencial para causar daño". BMJ . 311 (6999): 257. doi :10.1136/bmj.311.6999.257. ISSN  0959-8138. PMC 2550299 . PMID  7503870. 
  116. ^ Randall, Alan (2011), "Daño, riesgo y amenaza", Riesgo y precaución , Cambridge: Cambridge University Press, págs. 31-42, doi :10.1017/cbo9780511974557.003, ISBN 978-0-511-97455-7, consultado el 29 de mayo de 2021
  117. ^ Grama, JL (2014). Cuestiones jurídicas en materia de seguridad de la información. Jones & Bartlett Learning. pág. 550. ISBN 9781284151046.
  118. ^ Cannon, David L. (4 de marzo de 2016). "Audit Process". CISA: Guía de estudio para auditores de sistemas de información certificados (cuarta edición). págs. 139-214. doi :10.1002/9781119419211.ch3. ISBN 9781119056249.
  119. ^ Manual de revisión de CISA 2006. Asociación de auditoría y control de sistemas de información. 2006. pág. 85. ISBN 978-1-933284-15-6.
  120. ^ Kadlec, Jaroslav (2 de noviembre de 2012). "Modelado de procesos bidimensionales (2DPM)". Business Process Management Journal . 18 (6): 849–875. doi :10.1108/14637151211283320. ISSN  1463-7154.
  121. ^ "Todas las contramedidas tienen algún valor, pero ninguna es perfecta", Beyond Fear , Nueva York: Springer-Verlag, pp. 207-232, 2003, doi :10.1007/0-387-21712-6_14, ISBN 0-387-02620-7, consultado el 29 de mayo de 2021
  122. ^ "Fallos de datos: Deloitte sufre un duro golpe mientras surgen más detalles sobre Equifax y Yahoo". Fraude informático y seguridad . 2017 (10): 1–3. Octubre de 2017. doi :10.1016/s1361-3723(17)30086-6. ISSN  1361-3723.
  123. ^ Spagnoletti, Paolo; Resca A. (2008). "La dualidad de la gestión de la seguridad de la información: lucha contra amenazas predecibles e impredecibles". Revista de seguridad de sistemas de información . 4 (3): 46–62.
  124. ^ Yusoff, Nor Hashim; Yusof, Mohd Radzuan (4 de agosto de 2009). "Gestión del riesgo de HSE en entornos hostiles". Todos los días . SPE. doi :10.2118/122545-ms.
  125. ^ Baxter, Wesley (2010). Agotado: cómo las áreas de mejora empresarial del centro de Ottawa han asegurado y valorizado el espacio urbano (Tesis). Universidad de Carleton. doi :10.22215/etd/2010-09016.
  126. ^ de Souza, André; Lynch, Anthony (junio de 2012). "¿Varía el rendimiento de los fondos mutuos a lo largo del ciclo económico?". Cambridge, MA. doi :10.3386/w18137. S2CID  262620435.
  127. ^ Kiountouzis, EA; Kokolakis, SA (31 de mayo de 1996). Seguridad de los sistemas de información: frente a la sociedad de la información del siglo XXI . Londres: Chapman & Hall, Ltd. ISBN 978-0-412-78120-9.
  128. ^ Newsome, B. (2013). Introducción práctica a la seguridad y la gestión de riesgos . SAGE Publications. pág. 208. ISBN 9781483324852.
  129. ^ ab Whitman, ME; Mattord, HJ (2016). Gestión de la seguridad de la información (5.ª ed.). Cengage Learning. pág. 592. ISBN 9781305501256.
  130. ^ "Hardware, telas, adhesivos y otros suministros teatrales", Illustrated Theatre Production Guide , Routledge, págs. 203-232, 20 de marzo de 2013, doi :10.4324/9780080958392-20, ISBN 978-0-08-095839-2, consultado el 29 de mayo de 2021
  131. ^ Reason, James (2 de marzo de 2017), "Percepciones de actos inseguros", The Human Contribution , CRC Press, págs. 69-103, doi :10.1201/9781315239125-7, ISBN 978-1-315-23912-5, consultado el 29 de mayo de 2021
  132. ^ "Procedimientos y estándares de seguridad de la información", Políticas, procedimientos y estándares de seguridad de la información , Boca Raton, FL: Auerbach Publications, págs. 81-92, 27 de marzo de 2017, doi :10.1201/9781315372785-5, ISBN 978-1-315-37278-5, consultado el 29 de mayo de 2021
  133. ^ Zhuang, Haifeng; Chen, Yu; Sheng, Xianfu; Hong, Lili; Gao, Ruilan; Zhuang, Xiaofen (25 de junio de 2020). "Figura S1: Análisis del impacto pronóstico de cada gen característico". PeerJ . 8 : e9437. doi : 10.7717/peerj.9437/supp-1 .
  134. ^ Standaert, B.; Ethgen, O.; Emerson, RA (junio de 2012). "Análisis de costo-efectividad del CO4: ¿apropiado para todas las situaciones?". Value in Health . 15 (4): A2. doi : 10.1016/j.jval.2012.03.015 . ISSN  1098-3015.
  135. ^ "Las marquesinas de GRP proporcionan una protección rentable para las puertas". Reinforced Plastics . 40 (11): 8. Noviembre 1996. doi :10.1016/s0034-3617(96)91328-4. ISSN  0034-3617.
  136. ^ "Figura 2.3. Riesgo relativo de tener un bajo rendimiento según las circunstancias personales (2012)". doi :10.1787/888933171410 . Consultado el 29 de mayo de 2021 .
  137. ^ Stoneburner, Gary; Goguen, Alice; Feringa, Alexis (2002). "Guía de gestión de riesgos NIST SP 800-30 para sistemas de tecnología de la información". doi :10.6028/NIST.SP.800-30 . Consultado el 18 de enero de 2022 .
  138. ^ "¿Puedo elegir? ¿Puedo elegir? Opresión y elección", Una teoría de la libertad , Palgrave Macmillan, 2012, doi :10.1057/9781137295026.0007, ISBN 978-1-137-29502-6
  139. ^ Parker, Donn B. (enero de 1994). "Una guía para seleccionar e implementar controles de seguridad". Seguridad de sistemas de información . 3 (2): 75–86. doi :10.1080/10658989409342459. ISSN  1065-898X.
  140. ^ Zoccali, Carmine; Mallamaci, Francesca; Tripepi, Giovanni (25 de septiembre de 2007). "Editor invitado: Rajiv Agarwal: La evaluación del perfil de riesgo cardiovascular y el control de la medicación deben ser lo primero". Seminarios en diálisis . 20 (5): 405–408. doi :10.1111/j.1525-139x.2007.00317.x. ISSN  0894-0959. PMID  17897245. S2CID  33256127.
  141. ^ Guía para la implementación y auditoría de controles de SGSI basados ​​en la norma ISO/IEC 27001. Londres: BSI British Standards. 1 de noviembre de 2013. doi :10.3403/9780580829109. ISBN 978-0-580-82910-9.
  142. ^ Johnson, L. (2015). Manual de evaluación, prueba y valoración de controles de seguridad. Syngress. pág. 678. ISBN 9780128025642.
  143. ^ Tecnología de la información. Técnicas de seguridad. Mapeo de las ediciones revisadas de ISO/IEC 27001 e ISO/IEC 27002, BSI British Standards, doi :10.3403/30310928 , consultado el 29 de mayo de 2021
  144. ^ abc "Controles administrativos", Ergonomía ocupacional , CRC Press, págs. 443–666, 26 de marzo de 2003, doi :10.1201/9780203507933-6, ISBN 978-0-429-21155-3, consultado el 29 de mayo de 2021
  145. ^ Chen, J.; Demers, EA; Lev, B. (junio de 2013). "Cómo afecta la hora del día a las conversaciones de negocios". doi :10.13007/141. Archivado desde el original el 18 de diciembre de 2022. Consultado el 18 de enero de 2022 .
  146. ^ Título 44 del Código de los Estados Unidos  § 3542(b)(1)
  147. ^ "Apéndice D", Desarrollo de políticas de seguridad de la información para el cumplimiento , Auerbach Publications, págs. 117-136, 22 de marzo de 2013, doi :10.1201/b13922-12, ISBN 978-1-4665-8058-9
  148. ^ "Firewalls, sistemas de detección de intrusiones y evaluación de vulnerabilidades: ¿una combinación superior?". Seguridad de redes . 2002 (9): 8–11. Septiembre de 2002. doi :10.1016/s1353-4858(02)09009-8. ISSN  1353-4858.
  149. ^ Ransome, J.; Misra, A. (2013). Seguridad del software básico: seguridad en la fuente. CRC Press. págs. 40–41. ISBN 9781466560956.
  150. ^ Weik, Martin H. (2000), "principio del mínimo privilegio", Diccionario de informática y comunicaciones , pág. 883, doi :10.1007/1-4020-0613-6_10052, ISBN 978-0-7923-8425-0
  151. ^ Emir, Astra (septiembre de 2018). "19. Deberes de los ex empleados". Law Trove . doi :10.1093/he/9780198814849.003.0019. ISBN 978-0-19-185251-0.
  152. ^ Guía para los privilegios de acceso a la información sobre salud, ASTM International, doi :10.1520/e1986-09 , consultado el 29 de mayo de 2021
  153. ^ Drury, Bill (1 de enero de 2009), "Entorno físico", Manual de técnicas de control, accionamientos y controles , Institución de Ingeniería y Tecnología, págs. 355-381, doi :10.1049/pbpo057e_chb3, ISBN 978-1-84919-013-8, consultado el 29 de mayo de 2021
  154. ^ Sistemas de detección y alarmas contra incendios, Normas británicas BSI, doi :10.3403/30266863 , consultado el 29 de mayo de 2021
  155. ^ Silverman, Arnold B. (noviembre de 2001). "Entrevistas de salida de empleados: un procedimiento importante pero frecuentemente pasado por alto". JOM . 53 (11): 48. Bibcode :2001JOM....53k..48S. doi :10.1007/s11837-001-0195-4. ISSN  1047-4838. S2CID  137528079.
  156. ^ "Muchos farmacéuticos empleados deberían poder beneficiarse". The Pharmaceutical Journal . 2013. doi :10.1211/pj.2013.11124182. ISSN  2053-6186.
  157. ^ "Matriz de control de segregación de funciones". ISACA. 2008. Archivado desde el original el 3 de julio de 2011. Consultado el 30 de septiembre de 2008 .
  158. ^ "Los residentes deben proteger su información privada". JAMA . 279 (17): 1410B. 6 de mayo de 1998. doi : 10.1001/jama.279.17.1410 . ISSN  0098-7484.
  159. ^ "Sistemas de apoyo a la sabiduría grupal: agregación de los conocimientos de muchos a través de la tecnología de la información". Problemas en sistemas de información . 2008. doi : 10.48009/2_iis_2008_343-350 . ISSN  1529-7314.
  160. ^ "INTERDEPENDENCIAS DE LOS SISTEMAS DE INFORMACIÓN", Lecciones aprendidas: protección de la infraestructura crítica de información , IT Governance Publishing, págs. 34-37, 2018, doi : 10.2307/j.ctt1xhr7hq.13, ISBN 978-1-84928-958-0, consultado el 29 de mayo de 2021
  161. ^ "Administración de la seguridad de la red", Seguridad del perímetro de la red , Auerbach Publications, págs. 17-66, 27 de octubre de 2003, doi :10.1201/9780203508046-3, ISBN 978-0-429-21157-7, consultado el 29 de mayo de 2021
  162. ^ Kakareka, A. (2013). "Capítulo 31: ¿Qué es la evaluación de vulnerabilidades?". En Vacca, JR (ed.). Manual de seguridad informática y de la información (2.ª ed.). Elsevier. págs. 541–552. ISBN 9780123946126.
  163. ^ Duke, PA; Howard, IP (17 de agosto de 2012). "Procesamiento de disparidades de tamaño vertical en distintos planos de profundidad". Journal of Vision . 12 (8): 10. doi :10.1167/12.8.10. ISSN  1534-7362. PMID  22904355.
  164. ^ "Scripts de control de Security Onion". Monitoreo de seguridad de red aplicada . Elsevier. 2014. págs. 451–456. doi :10.1016/b978-0-12-417208-1.09986-4. ISBN 978-0-12-417208-1. Recuperado el 29 de mayo de 2021 .
  165. ^ Saia, Sergio; Fragasso, Mariagiovanna; Vita, Pasquale De; Beleggia, Romina. "La metabolómica proporciona información valiosa para el estudio del trigo duro: una revisión". Revista de química agrícola y alimentaria . doi :10.1021/acs.jafc.8b07097.s001 . Consultado el 29 de mayo de 2021 .
  166. ^ "Descripción general", Políticas, procedimientos y estándares de seguridad de la información , Auerbach Publications, 20 de diciembre de 2001, doi :10.1201/9780849390326.ch1, ISBN 978-0-8493-1137-6
  167. ^ Relés de protección eléctrica. Información y requisitos para todos los relés de protección, Normas británicas BSI, doi :10.3403/bs142-1 , consultado el 29 de mayo de 2021
  168. ^ Dibattista, Joseph D.; Reimer, James D.; Estadísticas, Michael; Masucci, Giovanni D.; Biondi, Piera; Brauwer, Maarten De; Bunce, Michael (6 de febrero de 2019). "Información complementaria 4: Lista de todas las familias combinadas en orden alfabético asignadas en MEGAN versiones 5.11.3". PeerJ . 7 : e6379. doi : 10.7717/peerj.6379/supp-4 .
  169. ^ Kim, Sung-Won (31 de marzo de 2006). "Un análisis cuantitativo de las clases de clasificación y los recursos de información clasificada de directorios". Revista de gestión de la información . 37 (1): 83–103. doi : 10.1633/jim.2006.37.1.083 . ISSN  0254-3621.
  170. ^ ab Bayuk, J. (2009). "Capítulo 4: Clasificación de la información". En Axelrod, CW; Bayuk, JL; Schutzer, D. (eds.). Seguridad y privacidad de la información empresarial . Artech House. págs. 59–70. ISBN 9781596931916.
  171. ^ "Bienvenidos a la era de la información", Overload!, Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 43-65, 11 de septiembre de 2015, doi : 10.1002/9781119200642.ch5, ISBN 978-1-119-20064-2, consultado el 29 de mayo de 2021
  172. ^ Crooks, S. (2006). "102. Estudio de caso: cuando los esfuerzos de control de la exposición prevalecen sobre otras consideraciones de diseño importantes". AIHce 2006 . AIHA. doi :10.3320/1.2759009 (inactivo el 11 de septiembre de 2024).{{cite book}}: CS1 maint: DOI inactivo a partir de septiembre de 2024 ( enlace )
  173. ^ "Modelo de negocio para la seguridad de la información (BMIS)". ISACA. Archivado desde el original el 26 de enero de 2018. Consultado el 25 de enero de 2018 .
  174. ^ McAuliffe, Leo (enero de 1987). "Alto secreto/secreto comercial: acceso y protección de la información restringida". Government Information Quarterly . 4 (1): 123–124. doi :10.1016/0740-624x(87)90068-2. ISSN  0740-624X.
  175. ^ Iqbal, Javaid; Soroya, Saira Hanif; Mahmood, Khalid (5 de enero de 2023). "Comportamiento de seguridad de la información financiera en la banca en línea". Desarrollo de la información : 026666692211493. doi :10.1177/02666669221149346. ISSN  0266-6669. S2CID  255742685.
  176. ^ Khairuddin, Ismail Mohd; Sidek, Shahrul Naim; Abdul Majeed, Anwar PP; Razman, Mohd Azraai Mohd; Puzi, Asmarani Ahmad; Yusof, Hazlina Md (25 de febrero de 2021). "Figura 7: Precisión de clasificación de cada modelo para todas las funciones". PeerJ Ciencias de la Computación . 7 : e379. doi : 10.7717/peerj-cs.379/fig-7 .
  177. ^ "Clasificación de activos", Fundamentos de seguridad de la información , Auerbach Publications, págs. 327–356, 16 de octubre de 2013, doi :10.1201/b15573-18, ISBN 978-0-429-13028-1, consultado el 1 de junio de 2021
  178. ^ ab Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). "¡Autorizado! ¡Acceso denegado, no autorizado! ¡Acceso concedido!". Actas de la 6.ª Conferencia internacional sobre seguridad de la información y las redes . Sin '13. Nueva York, Nueva York, EE. UU.: ACM Press. págs. 363–367. doi :10.1145/2523514.2523612. ISBN . 978-1-4503-2498-4.S2CID17260474  .​
  179. ^ ab Peiss, Kathy (2020), "El país de la mente también debe atacar", Information Hunters , Oxford University Press, págs. 16-39, doi :10.1093/oso/9780190944612.003.0003, ISBN 978-0-19-094461-2, consultado el 1 de junio de 2021
  180. ^ Fugini, MG; Martella, G. (enero de 1988). "Un modelo de red de Petri de mecanismos de control de acceso". Sistemas de información . 13 (1): 53–63. doi :10.1016/0306-4379(88)90026-9. ISSN  0306-4379.
  181. ^ Tecnología de la información. Identificación personal. Permiso de conducir conforme a la norma ISO, BSI British Standards, doi :10.3403/30170670u , consultado el 1 de junio de 2021
  182. ^ Santos, Omar (2015). Guía oficial de certificación CCNA Security 210-260 . Cisco Press. ISBN 978-1-58720-566-8.OCLC 951897116  .
  183. ^ "¿Qué es la aserción?", ASSERTION TRAINING , Abingdon, Reino Unido: Taylor & Francis, págs. 1–7, 1991, doi :10.4324/9780203169186_chapter_one, ISBN 978-0-203-28556-5, consultado el 1 de junio de 2021
  184. ^ Doe, John (1960). "La temporada de cultivo en Illinois comienza el 2 de mayo". Soil Horizons . 1 (2): 10. doi :10.2136/sh1960.2.0010. ISSN  2163-2812.
  185. ^ Leech, M. (marzo de 1996). "Autenticación de nombre de usuario y contraseña para SOCKS V5". doi :10.17487/rfc1929 . Consultado el 18 de enero de 2022 .
  186. ^ Kirk, John; Wall, Christine (2011), "Cajero, vendedor, activista sindical: formación de clase e identidades cambiantes de los trabajadores bancarios", Trabajo e identidad , Londres: Palgrave Macmillan UK, pp. 124–148, doi :10.1057/9780230305625_6, ISBN 978-1-349-36871-6, consultado el 1 de junio de 2021
  187. ^ Dewi, Mila Nurmala (23 de diciembre de 2020). "Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri". Nisbah: Jurnal Perbankan Syariah . 6 (2): 75. doi :10.30997/jn.v6i2.1932. ISSN  2528-6633. S2CID  234420571.
  188. ^ Vile, John (2013), "Control de licencias", Enciclopedia de la Cuarta Enmienda , Washington DC: CQ Press, doi :10.4135/9781452234243.n462, ISBN 978-1-60426-589-7, consultado el 1 de junio de 2021
  189. ^ "Él dijo/Ella dijo", Mi fantasma tiene un nombre , University of South Carolina Press, págs. 17-32, doi :10.2307/j.ctv6wgjjv.6, ISBN 978-1-61117-827-2, consultado el 29 de mayo de 2021
  190. ^ Bacigalupo, Sonny A.; Dixon, Linda K.; Gubbins, Simon; Kucharski, Adam J.; Drewe, Julian A. (26 de octubre de 2020). "Información complementaria 8: Métodos utilizados para monitorear diferentes tipos de contacto". PeerJ . 8 : e10221. doi : 10.7717/peerj.10221/supp-8 .
  191. ^ Igelnik, Boris M.; Zurada, Jacek (2013). Métodos de eficiencia y escalabilidad para la inteligencia computacional . Referencia de Ciencias de la Información. ISBN 978-1-4666-3942-3.OCLC 833130899  .
  192. ^ "La factura de seguros debe tener su nombre como proveedor", Before You See Your First Client (Antes de ver a su primer cliente) , Routledge, págs. 37-38, 1 de enero de 2005, doi : 10.4324/9780203020289-11, ISBN 978-0-203-02028-9, consultado el 1 de junio de 2021
  193. ^ Kissell, Joe. Tome el control de sus contraseñas . ISBN 978-1-4920-6638-5.OCLC 1029606129  .
  194. ^ "Se anuncia una nueva licencia de conducir inteligente en Queensland". Card Technology Today . 21 (7): 5. Julio 2009. doi :10.1016/s0965-2590(09)70126-4. ISSN  0965-2590.
  195. ^ Laboratorio Nacional Lawrence Livermore. Estados Unidos. Departamento de Energía. Oficina de Información Científica y Técnica (1995). Una evaluación ergonómica e ingeniería humana de la interfaz del panel de acceso de seguridad . Estados Unidos. Departamento de Energía. OCLC  727181384.
  196. ^ Lee, Paul (abril de 2017). "Huellas encantadoras: cómo las huellas dactilares están abriendo camino en la biometría convencional". Tecnología biométrica hoy . 2017 (4): 8–11. doi :10.1016/s0969-4765(17)30074-7. ISSN  0969-4765.
  197. ^ Landrock, Peter (2005). "Autenticación de dos factores". Enciclopedia de criptografía y seguridad . pág. 638. doi :10.1007/0-387-23483-7_443. ISBN 978-0-387-23473-1.
  198. ^ "Figura 1.5. El matrimonio sigue siendo la forma de unión más común entre las parejas, 2000-07". doi :10.1787/888932392533 . Consultado el 1 de junio de 2021 .
  199. ^ Akpeninor, James Ohwofasa (2013). Conceptos modernos de seguridad. Bloomington, IN: AuthorHouse. pág. 135. ISBN 978-1-4817-8232-6. Recuperado el 18 de enero de 2018 .
  200. ^ Richards, G. (abril de 2012). "Preautenticación con contraseña de un solo uso (OTP)". doi :10.17487/rfc6560.
  201. ^ Schumacher, Dietmar (3 de abril de 2016). "Exploración geoquímica de superficie después de 85 años: qué se ha logrado y qué más se debe hacer". Conferencia y exposición internacional, Barcelona, ​​España, 3-6 de abril de 2016. Resúmenes de la reunión global de la SEG. Sociedad de geofísicos de exploración y Asociación estadounidense de geólogos del petróleo. pág. 100. doi :10.1190/ice2016-6522983.1.
  202. ^ "Programa de autorización y aprobación", Políticas y procedimientos de control interno , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 69-72, 23 de octubre de 2015, doi : 10.1002/9781119203964.ch10, ISBN 978-1-119-20396-4, consultado el 1 de junio de 2021
  203. ^ "¿Qué respuestas en qué condiciones?", Políticas locales y Fondo Social Europeo , Policy Press, pp. 81–102, 2 de octubre de 2019, doi :10.2307/j.ctvqc6hn1.12, ISBN 978-1-4473-4652-4, S2CID  241438707 , consultado el 1 de junio de 2021
  204. ^ Cheng, Liang; Zhang, Yang; Han, Zhihui (junio de 2013). "Medición cuantitativa de los mecanismos de control de acceso en diferentes sistemas operativos". 2013 IEEE 7th International Conference on Software Security and Reliability . IEEE. págs. 50–59. doi :10.1109/sere.2013.12. ISBN 978-1-4799-0406-8. Número de identificación del sujeto  13261344.
  205. ^ ab Weik, Martin H. (2000), "control de acceso discrecional", Diccionario de Ciencias de la Computación y Comunicaciones , pág. 426, doi :10.1007/1-4020-0613-6_5225, ISBN 978-0-7923-8425-0
  206. ^ Grewer, C.; Balani, P.; Weidenfeller, C.; Bartusel, T.; Zhen Tao; Rauen, T. (10 de agosto de 2005). "Las subunidades individuales del homotrímero EAAC1 del transportador de glutamato funcionan independientemente unas de otras". Bioquímica . 44 (35): 11913–11923. doi :10.1021/bi050987n. PMC 2459315 . PMID  16128593. 
  207. ^ Ellis Ormrod, Jeanne (2012). Fundamentos de psicología educativa: grandes ideas para orientar una enseñanza eficaz . Pearson. ISBN 978-0-13-136727-2.OCLC 663953375  .
  208. ^ Belim, SV; Bogachenko, NF; Kabanov, AN (noviembre de 2018). "Nivel de severidad de los permisos en el control de acceso basado en roles". 2018 Dinámica de sistemas, mecanismos y máquinas (Dinámica) . IEEE. págs. 1–5. arXiv : 1812.11404 . doi :10.1109/dynamics.2018.8601460. ISBN. 978-1-5386-5941-0.S2CID57189531  .​
  209. ^ "Configuración de TACACS y TACACS extendido", Protección y control de enrutadores Cisco , Auerbach Publications, 15 de mayo de 2002, doi :10.1201/9781420031454.ch11, ISBN 978-0-8493-1290-8
  210. ^ "Desarrollo de políticas de seguridad eficaces", Análisis de riesgos y selección de contramedidas de seguridad , CRC Press, págs. 261-274, 18 de diciembre de 2009, doi :10.1201/9781420078718-18, ISBN 978-0-429-24979-2, consultado el 1 de junio de 2021
  211. ^ "El uso de registros de auditoría para monitorear redes y sistemas clave debería seguir siendo parte de la debilidad material de la seguridad informática". www.treasury.gov . Consultado el 6 de octubre de 2017 .
  212. ^ "Cómo solucionar el régimen de acceso a los medicamentos en Canadá: lo que hay que saber sobre el proyecto de ley C398". Documentos de derechos humanos en línea . doi :10.1163/2210-7975_hrd-9902-0152 . Consultado el 1 de junio de 2021 .
  213. ^ Salazar, Mary K. (enero de 2006). "Cómo afrontar riesgos inciertos: cuándo aplicar el principio de precaución". AAOHN Journal . 54 (1): 11–13. doi :10.1177/216507990605400102. ISSN  0891-0162. S2CID  87769508.
  214. ^ "Necesitamos saber más sobre cómo el gobierno censura a sus empleados". Documentos de derechos humanos en línea . doi :10.1163/2210-7975_hrd-9970-2016117 . Consultado el 1 de junio de 2021 .
  215. ^ Pournelle, Jerry (22 de abril de 2004), "1001 palabras de computadora que necesita saber", 1001 palabras de computadora que necesita saber: la guía definitiva para el lenguaje de las computadoras , Oxford Scholarship Online, Oxford University Press, doi : 10.1093/oso/9780195167757.003.0007, ISBN 978-0-19-516775-7, consultado el 30 de julio de 2021
  216. ^ Easttom, William (2021), "Criptografía de curva elíptica", Criptografía moderna , Cham: Springer International Publishing, págs. 245-256, doi :10.1007/978-3-030-63115-4_11, ISBN 978-3-030-63114-7, S2CID  234106555 , consultado el 1 de junio de 2021
  217. ^ Follman, Rebecca (1 de marzo de 2014). De alguien que ha estado allí: búsqueda de información en la tutoría. Actas de la iConference 2014 (tesis). iSchools. doi :10.9776/14322. hdl :1903/14292. ISBN 978-0-9884900-1-7.
  218. ^ Weiss, Jason (2004), "Resúmenes de mensajes, códigos de autenticación de mensajes y firmas digitales", Java Cryptography Extensions , Elsevier, págs. 101-118, doi :10.1016/b978-012742751-5/50012-8, ISBN 978-0-12-742751-5, consultado el 5 de junio de 2021
  219. ^ Bider, D. (marzo de 2018). "Uso de claves RSA con SHA-256 y SHA-512 en el protocolo Secure Shell (SSH)" (PDF) . Serie RFC. doi :10.17487/RFC8332 . Consultado el 30 de noviembre de 2023 .
  220. ^ Noh, Jaewon; Kim, Jeehyeong; Kwon, Giwon; Cho, Sunghyun (octubre de 2016). "Esquema de intercambio de claves seguro para WPA/WPA2-PSK utilizando criptografía de clave pública". Conferencia internacional IEEE de 2016 sobre electrónica de consumo en Asia (ICCE-Asia) . IEEE. págs. 1–4. doi :10.1109/icce-asia.2016.7804782. ISBN . 978-1-5090-2743-9.S2CID10595698  .​
  221. ^ Van Buren, Roy F. (mayo de 1990). "Cómo se puede utilizar el estándar de cifrado de datos para cifrar los archivos y bases de datos". ACM SIGSAC Review . 8 (2): 33–39. doi :10.1145/101126.101130. ISSN  0277-920X.
  222. ^ Bonneau, Joseph (2016), "¿Por qué comprar cuando se puede alquilar?", Criptografía financiera y seguridad de datos , Lecture Notes in Computer Science, vol. 9604, Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 19-26, doi :10.1007/978-3-662-53357-4_2, ISBN 978-3-662-53356-7, S2CID  18122687 , consultado el 5 de junio de 2021
  223. ^ Coleman, Heather; Andron, Jeff (1 de agosto de 2015), "Lo que los expertos en SIG y los profesionales de políticas deben saber sobre el uso de Marxan en procesos de planificación multiobjetivo", Ocean Solutions, Earth Solutions , Esri Press, doi : 10.17128/9781589483651_2, ISBN 978-1-58948-365-1, consultado el 5 de junio de 2021
  224. ^ ab Landrock, Peter (2005), "Clave de cifrado de clave", Enciclopedia de criptografía y seguridad , págs. 326-327, doi :10.1007/0-387-23483-7_220, ISBN 978-0-387-23473-1
  225. ^ Giri, Debasis; Barua, Prithayan; Srivastava, PD; Jana, Biswapati (2010), "Un criptosistema para el cifrado y descifrado de mensajes confidenciales largos", Seguridad y garantía de la información, Comunicaciones en informática y ciencias de la información, vol. 76, Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 86–96, Bibcode :2010isa..conf...86G, doi :10.1007/978-3-642-13365-7_9, ISBN 978-3-642-13364-0, consultado el 5 de junio de 2021
  226. ^ Vallabhaneni, SR (2008). Mejores prácticas en gestión, gobernanza y ética corporativa. John Wiley & Sons. pág. 288. ISBN 9780470255803.
  227. ^ Shon Harris (2003). Guía integral para el examen de certificación CISSP (2.ª edición). Emeryville, California : McGraw-Hill /Osborne. ISBN 978-0-07-222966-0.
  228. ^ Boncardo, Robert (20 de septiembre de 2018). "Mallarmé de Jean-Claude Milner: nada ha sucedido". Edinburgh University Press . 1 . doi :10.3366/edinburgh/9781474429528.003.0005. S2CID  172045429.
  229. ^ "La importancia de la debida diligencia operativa", Hedge Fund Operational Due Diligence , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 49-67, 16 de octubre de 2015, doi : 10.1002/9781119197485.ch2, ISBN 978-1-119-19748-5, consultado el 5 de junio de 2021
  230. ^ Hall, Gaylord C. (marzo de 1917). "Algunos puntos de diagnóstico importantes que el médico general [sic] debe conocer sobre la nariz". Southern Medical Journal . 10 (3): 211. doi :10.1097/00007611-191703000-00007. ISSN  0038-4348.
  231. ^ Renés, J. (1999). Landschappen van Maas en Peel: un pasado histórico-geografisch onderzoek en el streekplangebied Noord- en Midden-Limburg . Eisma. ISBN 90-74252-84-2.OCLC 782897414  .
  232. ^ Thomas, Brook (22 de junio de 2017). "Tener en cuenta los pasos previos dados". Oxford Scholarship Online . doi :10.1093/acprof:oso/9780190456368.003.0002. ISBN 978-0-19-045639-9.
  233. ^ Lundgren, Regina E. (2018). Comunicación de riesgos: un manual para comunicar riesgos ambientales, de seguridad y de salud . Wiley. ISBN 978-1-119-45613-1.OCLC 1043389392  .
  234. ^ Jensen, Eric Talbot (3 de diciembre de 2020), "Due Diligence in Cyber ​​Activities", Due Diligence in the International Legal Order , Oxford University Press, págs. 252-270, doi :10.1093/oso/9780198869900.003.0015, ISBN 978-0-19-886990-0, consultado el 5 de junio de 2021
  235. ^ "El estándar de análisis de riesgo del deber de cuidado". DoCRA . Archivado desde el original el 14 de agosto de 2018 . Consultado el 15 de agosto de 2018 .
  236. ^ Sutton, Adam; Cherney, Adrian; White, Rob (2008), "Evaluación de la prevención del delito", Prevención del delito , Cambridge: Cambridge University Press, págs. 70-90, doi :10.1017/cbo9780511804601.006, ISBN 978-0-511-80460-1, consultado el 5 de junio de 2021
  237. ^ Check, Erika (15 de septiembre de 2004). "La FDA considera los riesgos de los antidepresivos para los niños". Nature . doi :10.1038/news040913-15. ISSN  0028-0836.
  238. ^ Auckland, Cressida (16 de agosto de 2017). "Protegiéndome de mi directiva: garantizar las salvaguardas adecuadas para las directivas anticipadas en la demencia". Medical Law Review . 26 (1): 73–97. doi :10.1093/medlaw/fwx037. ISSN  0967-0742. PMID  28981694.
  239. ^ Takach, George S. (2016), "Preparación para litigios por violación de datos", Preparación y respuesta ante violaciones de datos , Elsevier, págs. 217-230, doi :10.1016/b978-0-12-803451-4.00009-5, ISBN 978-0-12-803451-4, consultado el 5 de junio de 2021
  240. ^ Westby, JR; Allen, JH (agosto de 2007). "Guía de implementación de Governing for Enterprise Security (GES)" (PDF) . Instituto de Ingeniería de Software . Consultado el 25 de enero de 2018 .
  241. ^ Fowler, Kevvie (2016), "Desarrollo de un plan de respuesta a incidentes de seguridad informática", Preparación y respuesta ante violaciones de datos , Elsevier, págs. 49-77, doi :10.1016/b978-0-12-803451-4.00003-4, ISBN 978-0-12-803451-4, consultado el 5 de junio de 2021
  242. ^ Bisogni, Fabio (2016). "Demostración de los límites de las leyes estatales de notificación de violaciones de datos: ¿es una ley federal la solución más adecuada?". Journal of Information Policy . 6 : 154–205. doi :10.5325/jinfopoli.6.2016.0154. JSTOR  10.5325/jinfopoli.6.2016.0154.
  243. ^ "Entender el plan para cada parte", Turbo Flow , Productivity Press, págs. 21-30, 27 de julio de 2017, doi :10.1201/b10336-5, ISBN 978-0-429-24603-6, consultado el 5 de junio de 2021
  244. ^ ab Wills, Leonard (27 de febrero de 2019). "Una breve guía para manejar un incidente cibernético". Asociación Estadounidense de Abogados .
  245. ^ Johnson, Leighton R. (2014), "Parte 1. Equipo de respuesta a incidentes", Gestión de equipos de respuesta a incidentes informáticos y análisis forense , Elsevier, págs. 17-19, doi :10.1016/b978-1-59749-996-5.00038-8, ISBN 978-1-59749-996-5, consultado el 5 de junio de 2021
  246. ^ "Respuesta a incidentes informáticos y gestión de equipos forenses". Seguridad en redes . 2014 (2): 4. Febrero de 2014. doi :10.1016/s1353-4858(14)70018-2. ISSN  1353-4858.
  247. ^ "Panorama de amenazas de ciberseguridad y tendencias futuras", Cybersecurity , Routledge, págs. 304-343, 16 de abril de 2015, doi :10.1201/b18335-12, ISBN 978-0-429-25639-4, consultado el 5 de junio de 2021
  248. ^ Tecnología de la información. Técnicas de seguridad. Gestión de incidentes de seguridad de la información, BSI British Standards, doi :10.3403/30268878u , consultado el 5 de junio de 2021
  249. ^ Turner, Tim (7 de septiembre de 2011), "Nuestro comienzo: miembros del equipo que comenzaron la historia de éxito", Un equipo en todos los niveles , Productivity Press, págs. 9-36, doi :10.4324/9781466500020-2, ISBN 978-0-429-25314-0, consultado el 5 de junio de 2021
  250. ^ Erlanger, Leon (2002). Estrategias defensivas . Revista PC. pág. 70.
  251. ^ "de la calle principal de Belgrado. El evento tuvo lugar en absoluto", Radical Street Performance , Routledge, pp. 81–83, 5 de noviembre de 2013, doi :10.4324/9781315005140-28, ISBN 978-1-315-00514-0, consultado el 5 de junio de 2021
  252. ^ "Por qué la elección es tan importante y qué se puede hacer para preservarla". La manipulación de la elección . Palgrave Macmillan. 2013. doi :10.1057/9781137313577.0010. ISBN 978-1-137-31357-7.
  253. ^ abc "Guía de manejo de incidentes de seguridad informática" (PDF) . Nist.gov . 2012.
  254. ^ Borgström, Pernilla; Strengbom, Joachim; Viketoft, Maria; Bommarco, Riccardo (4 de abril de 2016). "Tabla S3: Resultados de modelos lineales mixtos en los que no se han eliminado los parámetros no significativos". PeerJ . 4 : e1867. doi : 10.7717/peerj.1867/supp-3 .
  255. ^ Penfold, David (2000), "Seleccionar, copiar, mover y eliminar archivos y directorios", Módulo 2 del ECDL: Uso de la computadora y administración de archivos , Londres: Springer London, págs. 86-94, doi :10.1007/978-1-4471-0491-9_6, ISBN 978-1-85233-443-7
  256. ^ Gumus, Onur (2018). Fundamentos de ASP. NET Core 2: cree aplicaciones multiplataforma y servicios web dinámicos con este marco de aplicaciones web del lado del servidor . Packt Publishing Ltd. ISBN 978-1-78953-355-2.OCLC 1051139482  .
  257. ^ "¿Entienden los estudiantes lo que están aprendiendo?", Trouble-shooting Your Teaching , Routledge, págs. 36-40, 25 de febrero de 2005, doi :10.4324/9780203416907-8, ISBN 978-0-203-41690-7, consultado el 5 de junio de 2021
  258. ^ "¿Dónde se restauran las películas, de dónde vienen y quién las restaura?", Restauración de películas , Palgrave Macmillan, 2013, doi :10.1057/9781137328724.0006, ISBN 978-1-137-32872-4
  259. ^ Liao, Qi; Li, Zhen; Striegel, Aaron (24 de enero de 2011). "Las reglas de firewall podrían ser públicas: una perspectiva de teoría de juegos". Seguridad y redes de comunicación . 5 (2): 197–210. doi :10.1002/sec.307. ISSN  1939-0114.
  260. ^ Boeckman, Philip; Greenwald, David J.; Von Bismarck, Nilufer (2013). Duodécimo instituto anual sobre regulación de valores en Europa: cómo superar los desafíos de la negociación en los mercados actuales . Practising Law Institute. ISBN 978-1-4024-1932-4.OCLC 825824220  .
  261. ^ "Gráfico 1.8. El gasto en seguridad social ha ido creciendo, mientras que el autofinanciamiento ha ido cayendo". doi :10.1787/888932459242 . Consultado el 5 de junio de 2021 .
  262. ^ "Gobernanza de la información: el primer paso crucial", Safeguarding Critical E-Documents , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 13-24, 19 de septiembre de 2015, doi : 10.1002/9781119204909.ch2, ISBN 978-1-119-20490-9, consultado el 5 de junio de 2021
  263. ^ He, Ying (1 de diciembre de 2017). "Desafíos del aprendizaje de incidentes de seguridad de la información: un estudio de caso industrial en una organización de atención médica china" (PDF) . Informática para la salud y la asistencia social . 42 (4): 394–395. doi :10.1080/17538157.2016.1255629. PMID  28068150. S2CID  20139345.
  264. ^ Kampfner, Roberto R. (1985). "Especificación formal de los requisitos de los sistemas de información". Procesamiento y gestión de la información . 21 (5): 401–414. doi :10.1016/0306-4573(85)90086-x. ISSN  0306-4573.
  265. ^ Jenner, HA (1995). Evaluación de los riesgos ecotoxicológicos de la lixiviación de elementos de las cenizas de carbón pulverizado . sn] OCLC  905474381.
  266. ^ "Computadoras de escritorio: software". Practical Pathology Informatics . Nueva York: Springer-Verlag. 2006. págs. 51–82. doi :10.1007/0-387-28058-8_3. ISBN 0-387-28057-X. Recuperado el 5 de junio de 2021 .
  267. ^ Wilby, RL; Orr, HG; Hedger, M.; Forrow, D.; Blackmore, M. (diciembre de 2006). "Riesgos que plantea el cambio climático para la consecución de los objetivos de la Directiva Marco del Agua en el Reino Unido". Environment International . 32 (8): 1043–1055. Bibcode :2006EnInt..32.1043W. doi :10.1016/j.envint.2006.06.017. ISSN  0160-4120. PMID  16857260.
  268. ^ Campbell, T. (2016). "Capítulo 14: Desarrollo de sistemas seguros". Gestión práctica de la seguridad de la información: una guía completa para la planificación y la implementación . Apress. p. 218. ISBN 9781484216859.
  269. ^ Koppelman, Kent L. (2011). Comprender las diferencias humanas: educación multicultural para una América diversa . Pearson/Allyn & Bacon. OCLC  1245910610.
  270. ^ "Postprocesamiento". Escena sencilla, toma sensacional . Routledge. 12 de abril de 2013. págs. 128-147. doi :10.4324/9780240821351-9. ISBN 978-0-240-82135-1. Recuperado el 5 de junio de 2021 .
  271. ^ Kumar, Binay; Mahto, Tulsi; Kumari, Vinita; Ravi, Binod Kumar; Deepmala (2016). "Charlatanería: cómo puede resultar fatal incluso en casos aparentemente simples: informe de un caso". Actualización médico-legal . 16 (2): 75. doi :10.5958/0974-1283.2016.00063.3. ISSN  0971-720X.
  272. ^ Priest, Sally (22 de febrero de 2019). "Roles y responsabilidades compartidas en la gestión del riesgo de inundaciones". Journal of Flood Risk Management . 12 (1): e12528. Bibcode :2019JFRM...12E2528P. doi :10.1111/jfr3.12528. ISSN  1753-318X. S2CID  133789858.
  273. ^ Estados Unidos. Departamento de Energía. Oficina del Inspector General. Oficina de Información Científica y Técnica (2009). Informe de auditoría, "Deficiencias en la protección contra incendios en el Laboratorio Nacional de Los Álamos" . Estados Unidos. Departamento de Energía. OCLC  727225166.
  274. ^ Toms, Elaine G. (enero de 1992). "Gestión del cambio en bibliotecas y servicios de información: un enfoque de sistemas". Procesamiento y gestión de la información . 28 (2): 281–282. doi :10.1016/0306-4573(92)90052-2. ISSN  0306-4573.
  275. ^ Abolhassan, Ferri (2003). "El proceso de gestión del cambio implementado en IDS Scheer". Gestión del cambio en los procesos de negocio . Berlín, Heidelberg: Springer Berlin Heidelberg. pp. 15–22. doi :10.1007/978-3-540-24703-6_2. ISBN 978-3-642-05532-4. Recuperado el 5 de junio de 2021 .
  276. ^ Dawson, Chris (1 de julio de 2020). Liderando el cambio cultural. doi :10.1515/9780804774673. ISBN 9780804774673.S2CID242348822  .​
  277. ^ McCormick, Douglas P. (22 de marzo de 2016). Family Inc.: cómo utilizar principios empresariales para maximizar la riqueza de su familia . John Wiley & Sons. ISBN 978-1-119-21976-7. OCLC  945632737.
  278. ^ Schuler, Rainer (agosto de 1995). "Algunas propiedades de conjuntos tratables bajo cualquier distribución computable en tiempo polinomial". Information Processing Letters . 55 (4): 179–184. doi :10.1016/0020-0190(95)00108-o. ISSN  0020-0190.
  279. ^ "Gráfico 12.2. Porcentaje de trabajadores por cuenta propia que generalmente no tienen más de un cliente" (Excel) . doi :10.1787/888933881610 . Consultado el 5 de junio de 2021 .
  280. ^ "Servidor de archivos multiusuario para redes LAN DOS". Comunicaciones informáticas . 10 (3): 153. Junio ​​1987. doi :10.1016/0140-3664(87)90353-7. ISSN  0140-3664.
  281. ^ "Definición del cambio organizacional", Cambio organizacional , Oxford, Reino Unido: Wiley-Blackwell, págs. 21-51, 19 de abril de 2011, doi : 10.1002/9781444340372.ch1, ISBN 978-1-4443-4037-2, consultado el 5 de junio de 2021
  282. ^ Kirchmer, Mathias; Scheer, August-Wilhelm (2003), "Gestión del cambio: clave para la excelencia en los procesos de negocio", Gestión del cambio en los procesos de negocio , Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 1–14, doi :10.1007/978-3-540-24703-6_1, ISBN 978-3-642-05532-4, consultado el 5 de junio de 2021
  283. ^ Más, Josh; Stieber, Anthony J.; Liu, Chris (2016), "Nivel 2: Help Desk avanzado: Supervisor de Help Desk", Breaking Into Information Security , Elsevier, págs. 111-113, doi :10.1016/b978-0-12-800783-9.00029-x, ISBN 978-0-12-800783-9, consultado el 5 de junio de 2021
  284. ^ "Una aplicación de redes bayesianas en la puntuación automatizada de tareas de simulación computarizada", Puntuación automatizada de tareas complejas en pruebas basadas en computadora , Routledge, págs. 212-264, 4 de abril de 2006, doi : 10.4324/9780415963572-10, ISBN 978-0-415-96357-2, consultado el 5 de junio de 2021
  285. ^ Kavanagh, Michael J. (junio de 1994). "Cambio, cambio, cambio". Gestión de grupos y organizaciones . 19 (2): 139–140. doi :10.1177/1059601194192001. ISSN  1059-6011. S2CID  144169263.
  286. ^ Taylor, J. (2008). "Capítulo 10: Comprensión del proceso de cambio del proyecto". Programación de proyectos y control de costos: planificación, seguimiento y control de la línea base . J. Ross Publishing. págs. 187–214. ISBN 9781932159110.
  287. ^ "17. Innovación y cambio: ¿Cualquiera puede hacer esto?", Backstage in a Bureaucracy , University of Hawaii Press, págs. 87-96, 31 de diciembre de 2017, doi :10.1515/9780824860936-019, ISBN 978-0-8248-6093-6, consultado el 5 de junio de 2021
  288. ^ Braun, Adam (3 de febrero de 2015). La promesa de un lápiz: cómo una persona común puede crear un cambio extraordinario . Simon and Schuster. ISBN 978-1-4767-3063-9.OCLC 902912775  .
  289. ^ "Descripción del cambio dentro de la persona a lo largo del tiempo", Análisis longitudinal , Routledge, págs. 235-306, 30 de enero de 2015, doi : 10.4324/9781315744094-14, ISBN 978-1-315-74409-4, consultado el 5 de junio de 2021
  290. ^ Ingraham, Carolyn; Ban, Patricia W. (1984). Legislación del cambio burocrático: la Ley de Reforma del Servicio Civil de 1978. State University of New York Press. ISBN 0-87395-886-1.OCLC 10300171  .
  291. ^ Wei, J. (4 de mayo de 2000). "Solicitud de cambio preliminar para el anillo compatible con SNS 1.3 GeV". OSTI.GOV . doi :10.2172/1157253. OSTI  1157253 . Consultado el 18 de enero de 2022 .
  292. ^ Chen Liang (mayo de 2011). "Gestión de la prioridad de asignación de recursos hídricos agrícolas basada en la teoría del agua virtual". Conferencia internacional de 2011 sobre gestión empresarial e información electrónica . Vol. 1. IEEE. págs. 644–647. doi :10.1109/icbmei.2011.5917018. ISBN. 978-1-61284-108-3. Número de identificación del sujeto  29137725.
  293. ^ "Los riesgos de cambio y las mejores prácticas en la gestión del cambio empresarial El riesgo de cambio no gestionado genera problemas para la gestión del cambio", Leading and Implementing Business Change Management , Routledge, págs. 32-74, 18 de julio de 2013, doi : 10.4324/9780203073957-9 (inactivo el 11 de septiembre de 2024), ISBN 978-0-203-07395-7{{citation}}: CS1 maint: DOI inactivo a partir de septiembre de 2024 ( enlace )
  294. ^ Bragg, Steven M. (2016). Mejores prácticas contables . Wiley. ISBN 978-1-118-41780-5.OCLC 946625204  .
  295. ^ "El cambio exitoso requiere algo más que la gestión del cambio". Human Resource Management International Digest . 16 (7). 17 de octubre de 2008. doi :10.1108/hrmid.2008.04416gad.005. ISSN  0967-0734.
  296. ^ "Planificación de los recursos hídricos en el marco del cambio climático", Planificación espacial y cambio climático , Routledge, págs. 287-313, 13 de septiembre de 2010, doi : 10.4324/9780203846537-20, ISBN 978-0-203-84653-7, consultado el 5 de junio de 2021
  297. ^ Rowan, John (enero de 1967). "Respondiendo a la computadora". Decisión de gestión . 1 (1): 51–54. doi :10.1108/eb000776. ISSN  0025-1747.
  298. ^ Biswas, Margaret R.; Biswas, Asit K. (febrero de 1981). "Cambio climático y producción de alimentos". Agricultura y medio ambiente . 5 (4): 332. doi :10.1016/0304-1131(81)90050-3. ISSN  0304-1131.
  299. ^ Weik, Martin H. (2000), "backout", Diccionario de Ciencias de la Computación y Comunicaciones , pág. 96, doi :10.1007/1-4020-0613-6_1259, ISBN 978-0-7923-8425-0
  300. ^ "Consejo editorial asesor y de revisión", Negocios y sostenibilidad: conceptos, estrategias y cambios , Estudios críticos sobre responsabilidad corporativa, gobernanza y sostenibilidad, vol. 3, Emerald Group Publishing Limited, págs. xv–xvii, 6 de diciembre de 2011, doi :10.1108/s2043-9059(2011)0000003005, ISBN 978-1-78052-438-2, consultado el 5 de junio de 2021
  301. ^ "Donde alguna vez hubo un espejismo, debe haber vida", New and Selected Poems , University of South Carolina Press, pág. 103, 2014, doi :10.2307/j.ctv6sj8d1.65, ISBN 978-1-61117-323-9, consultado el 5 de junio de 2021
  302. ^ Bell, Marvin (1983). "Dos, cuando podrían haber sido tres". The Antioch Review . 41 (2): 209. doi :10.2307/4611230. JSTOR  4611230.
  303. ^ "También podemos generar cambios". Documentos de Derechos Humanos en Línea . doi :10.1163/2210-7975_hrd-0148-2015175 . Consultado el 5 de junio de 2021 .
  304. ^ Mazikana, Anthony Tapiwa (5 de noviembre de 2020). "'El cambio es la ley de la vida. Y aquellos que sólo miran al pasado o al presente seguramente se perderán el futuro. John F. Kennedy. Evaluación de esta declaración con referencias a organizaciones en Zimbabwe que se han visto afectadas por el cambio". SSRN  3725707.
  305. ^ Ramanadham, VV (ed.). Privatización en el Reino Unido . ISBN 978-0-429-19973-8.OCLC 1085890184  .
  306. ^ "Se debe implementar una reología más compleja/realista; se deben realizar pruebas de convergencia numérica". Discusiones sobre el desarrollo de modelos geocientíficos . 22 de septiembre de 2020. doi : 10.5194/gmd-2020-107-rc2 . S2CID  241597573.
  307. ^ Stone, Edward. Colección Edward C. Stone . OCLC  733102101.
  308. ^ Lientz, B (2002). "Desarrolle su plan de implementación de mejoras". Lograr una mejora duradera del proceso . Elsevier. págs. 151–171. doi :10.1016/b978-0-12-449984-3.50011-8. ISBN 978-0-12-449984-3. Recuperado el 5 de junio de 2021 .
  309. ^ Smeets, Peter (2009). Expeditie agroparken: ontwerpend onderzoek naar metropolitane landbouw y duurzame ontwikkeling . sn] ISBN 978-90-8585-515-6.OCLC 441821141  .
  310. ^ "Figura 1.3. Alrededor del 50 por ciento de las recomendaciones de Going for Growth se han implementado o están en proceso de implementación". doi :10.1787/888933323735 . Consultado el 5 de junio de 2021 .
  311. ^ Kekes, John (21 de febrero de 2019), "¿Se debe hacer justicia a cualquier precio?", Hard Questions , Oxford University Press, pp. 98-126, doi :10.1093/oso/9780190919986.003.0005, ISBN 978-0-19-091998-6, consultado el 5 de junio de 2021
  312. ^ Forrester, Kellie (2014). Implicaciones macroeconómicas de los cambios en la composición de la fuerza laboral . Universidad de California, Santa Bárbara. ISBN 978-1-321-34938-2.OCLC 974418780  .
  313. ^ Choudhury, Gagan L.; Rappaport, Stephen S. (octubre de 1981). "Sistemas de acceso múltiple con asignación de demanda que utilizan canales de solicitud de tipo de colisión". ACM SIGCOMM Computer Communication Review . 11 (4): 136–148. doi :10.1145/1013879.802667. ISSN  0146-4833.
  314. ^ Crinson, Mark (2013). ""Ciertas cosas antiguas y hermosas, cuyo significado es abstracto, obsoleto": James Stirling y la nostalgia". Cambio a lo largo del tiempo . 3 (1): 116–135. doi :10.1353/cot.2013.0000. ISSN  2153-0548. S2CID  144451363.
  315. ^ Ahwidy, Mansour; Pemberton, Lyn (2016). "¿Qué cambios se deben realizar en el sistema de salud electrónico para que se implementen con éxito?". Actas de la Conferencia internacional sobre tecnologías de la información y la comunicación para el envejecimiento saludable y la salud electrónica . Scitepress. págs. 71–79. doi :10.5220/0005620400710079. ISBN . 978-989-758-180-9.
  316. ^ Mortimer, John (abril de 2010). El paraíso pospuesto . Penguin Adult. ISBN 978-0-14-104952-6.OCLC 495596392  .
  317. ^ ab Cobey, Sarah; Larremore, Daniel B.; Grad, Yonatan H.; Lipsitch, Marc (2021). "Las preocupaciones sobre la evolución del SARS-CoV-2 no deberían frenar los esfuerzos para ampliar la vacunación". Nature Reviews Immunology . 21 (5): 330–335. doi :10.1038/s41577-021-00544-9. PMC 8014893 . PMID  33795856. 
  318. ^ Frampton, Michael (26 de diciembre de 2014), "Procesamiento de datos con Map Reduce", Big Data Made Easy , Berkeley, CA: Apress, págs. 85-120, doi :10.1007/978-1-4842-0094-0_4, ISBN 978-1-4842-0095-7, consultado el 5 de junio de 2021
  319. ^ "Buen estudio en general, pero es necesario corregir varios procedimientos" (PDF) . Discusiones sobre hidrología y ciencias del sistema terrestre . 23 de febrero de 2016. doi : 10.5194/hess-2015-520-rc2 . Consultado el 18 de enero de 2022 .
  320. ^ Harrison, Kent; Craft, Walter M.; Hiller, Jack; McCluskey, Michael R.; BDM Federal Inc Seaside CA (julio de 1996). "Borrador de coordinación de revisión por pares. Análisis de tareas para la planificación de inteligencia de conducta (función crítica de combate 1): según lo realizado por una fuerza de tarea de batallón". DTIC ADA313949.
  321. ^ itpi.org Archivado el 10 de diciembre de 2013 en Wayback Machine .
  322. ^ "Resumen del libro The Visible Ops Handbook: Implementing ITIL in 4 Practical and Auditable Steps" (El manual de operaciones visibles: implementación de ITIL en cuatro pasos prácticos y auditables). wikisummaries.org . Consultado el 22 de junio de 2016 .
  323. ^ Bigelow, Michelle (23 de septiembre de 2020), "Control de cambios y gestión de cambios", Implementación de la seguridad de la información en la atención médica , HIMSS Publishing, págs. 203-214, doi : 10.4324/9781003126294-17, ISBN 978-1-003-12629-4, S2CID  224866307 , consultado el 5 de junio de 2021
  324. ^ Gestión de la continuidad empresarial. Guía sobre la recuperación de la organización tras incidentes disruptivos, BSI British Standards, doi :10.3403/30194308 , consultado el 5 de junio de 2021
  325. ^ Hoanh, Chu Thai (1996). Desarrollo de una ayuda informática para la planificación integrada del uso de la tierra (cailup) a nivel regional en zonas irrigadas: un estudio de caso para la región de Quan Lo Phung Hiep en el delta del Mekong, Vietnam . ITC. ISBN 90-6164-120-9.OCLC 906763535  .
  326. ^ 1 Hibberd, Gary (11 de septiembre de 2015), "Desarrollo de una estrategia de BCM en línea con la estrategia empresarial", The Definitive Handbook of Business Continuity Management , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 23-30, doi : 10.1002/9781119205883.ch2, ISBN 978-1-119-20588-3, consultado el 5 de junio de 2021
  327. ^ Hotchkiss, Stuart (2010). Gestión de la continuidad del negocio: en la práctica . BCS Learning & Development Limited. ISBN 978-1-906124-72-4.[ página necesaria ]
  328. ^ "Identificación de posibles causas de fallas", Análisis de fallas de sistemas , ASM International, págs. 25-33, 2009, doi :10.31399/asm.tb.sfa.t52780025, ISBN 978-1-62708-268-6, consultado el 5 de junio de 2021
  329. ^ Clemens, Jeffrey. Riesgos para el rendimiento de la innovación médica: el caso de la genética de múltiples factores . OCLC  919958196.
  330. ^ Goatcher, Genevieve (2013), "Interrupción máxima aceptable", Enciclopedia de gestión de crisis , Thousand Oaks, CA: SAGE Publications, Inc., doi :10.4135/9781452275956.n204, ISBN 978-1-4522-2612-5, consultado el 5 de junio de 2021
  331. ^ "Compensaciones en el diseño de segmentos", Software Radio Architecture , Nueva York, EE. UU.: John Wiley & Sons, Inc., págs. 236-243, 17 de enero de 2002, doi : 10.1002/047121664x.ch6, ISBN 978-0-471-21664-3, consultado el 5 de junio de 2021
  332. ^ Blundell, S. (1998). "EN EMERGENCIAS - gestión integrada de incidentes, atención sanitaria de emergencia y vigilancia medioambiental en redes viales". Seminario IEE sobre el uso de ITS en el transporte público y en los servicios de emergencia . Vol. 1998. IEE. pág. 9. doi :10.1049/ic:19981090.
  333. ^ King, Jonathan R. (enero de 1993). "Planes de contingencia y recuperación empresarial". Gestión de sistemas de información . 10 (4): 56–59. doi :10.1080/10580539308906959. ISSN  1058-0530.
  334. ^ Phillips, Brenda D.; Landahl, Mark (2021), "Fortalecimiento y prueba de su plan de continuidad empresarial", Business Continuity Planning , Elsevier, págs. 131–153, doi :10.1016/b978-0-12-813844-1.00001-4, ISBN 978-0-12-813844-1, S2CID  230582246 , consultado el 5 de junio de 2021
  335. ^ Schnurr, Stephanie (2009), "El 'otro' lado del discurso de liderazgo: humor y el desempeño de las actividades de liderazgo relacional", Leadership Discourse at Work , Londres: Palgrave Macmillan UK, págs. 42-60, doi :10.1057/9780230594692_3, ISBN 978-1-349-30001-3, consultado el 5 de junio de 2021
  336. ^ Relés de tiempo especificado para uso industrial, Normas británicas BSI, doi : 10.3403/02011580u , consultado el 5 de junio de 2021
  337. ^ "Plan y procedimiento genérico de muestra: plan de recuperación ante desastres (DRP) para operaciones/centro de datos". Violencia en el lugar de trabajo . Elsevier. 2010. págs. 253–270. doi :10.1016/b978-1-85617-698-9.00025-4. ISBN 978-1-85617-698-9. Recuperado el 5 de junio de 2021 .
  338. ^ "Plan de recuperación ante desastres de tecnología de la información". Planificación ante desastres para bibliotecas . Chandos Information Professional Series. Elsevier. 2015. págs. 187-197. doi :10.1016/b978-1-84334-730-9.00019-3. ISBN 978-1-84334-730-9. Recuperado el 5 de junio de 2021 .
  339. ^ "El plan de recuperación ante desastres". Sans Institute . Consultado el 7 de febrero de 2012 .
  340. ^ ab OCDE (2016). "Gráfico 1.10. Las regulaciones en el sector no manufacturero tienen un impacto significativo en el sector manufacturero". Reformas de política económica 2016: Informe provisional sobre el crecimiento . Reformas de política económica. París: OECD Publishing. doi :10.1787/growth-2016-en. ISBN 9789264250079. Recuperado el 5 de junio de 2021 .
  341. ^ Ahupuaʻa [recurso electrónico] : Congreso Mundial de Medio Ambiente y Recursos Hídricos 2008, 12-16 de mayo de 2008, Honolulu, Hawaiʻi . Sociedad Estadounidense de Ingenieros Civiles. 2008. ISBN 978-0-7844-0976-3.OCLC 233033926  .
  342. ^ Gran Bretaña. Parlamento. Cámara de los Comunes (2007). Protección de datos [HL] Un proyecto de ley [enmendado en el comité permanente d] instituyó una ley para establecer nuevas disposiciones para la regulación del procesamiento de información relacionada con individuos, incluyendo la obtención, tenencia, uso o divulgación de dicha información . Proquest LLC. OCLC  877574826.
  343. ^ "Protección de datos, acceso a la información personal y protección de la privacidad", Gobierno y derechos de información: la ley relativa al acceso, la divulgación y su regulación , Bloomsbury Professional, 2019, doi : 10.5040/9781784518998.chapter-002, ISBN 978-1-78451-896-7, S2CID  239376648 , consultado el 5 de junio de 2021
  344. ^ Lehtonen, Lasse A. (5 de julio de 2017). "Información genética y la Directiva de protección de datos de la Unión Europea". La Directiva de protección de datos y la investigación médica en toda Europa . Routledge. págs. 103-112. doi :10.4324/9781315240350-8. ISBN. 978-1-315-24035-0. Recuperado el 5 de junio de 2021 .
  345. ^ "Ley de Protección de Datos de 1998". Legislation.gov.uk . Archivos Nacionales . Consultado el 25 de enero de 2018 .
  346. ^ "Ley de uso indebido de computadoras de 1990". Leyes de derecho penal 2011-2012 . Routledge. 17 de junio de 2013. págs. 114-118. doi :10.4324/9780203722763-42. ISBN 978-0-203-72276-3. Recuperado el 5 de junio de 2021 .
  347. ^ Dharmapala, Dhammika; Hines, James (diciembre de 2006). "¿Qué países se convierten en paraísos fiscales?". Serie de documentos de trabajo. Cambridge, MA. doi :10.3386/w12802.
  348. ^ "Gráfico 1.14. Las tasas de participación han aumentado, pero el crecimiento de la fuerza laboral se ha desacelerado en varios países". doi :10.1787/888933367391 . Consultado el 5 de junio de 2021 .
  349. ^ "Computer Misuse Act 1990" (Ley de 1990 sobre uso indebido de ordenadores). Legislación.gov.uk . Archivos Nacionales . Consultado el 25 de enero de 2018 .
  350. ^ «Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006». EUR-Lex . Unión Europea. 15 de marzo de 2006 . Consultado el 25 de enero de 2018 .
  351. ^ "Difamación, expedientes estudiantiles y la Ley Federal de Derechos Educativos y Privacidad de la Familia". Derecho de Educación Superior . Routledge. 14 de diciembre de 2010. págs. 361–394. doi :10.4324/9780203846940-22. ISBN 978-0-203-84694-0. Recuperado el 5 de junio de 2021 .
  352. ^ ab "Las escuelas de Alabama reciben una subvención de NCLB para mejorar el rendimiento de los estudiantes". Conjunto de datos PsycEXTRA . 2004. doi :10.1037/e486682006-001 . Consultado el 5 de junio de 2021 .
  353. ^ Turner-Gottschang, Karen (1987). China bound: a guide to academic life and work in the PRC (De camino a China: una guía para la vida y el trabajo académico en la República Popular China): para el Comité de Comunicación Académica con la República Popular China, Academia Nacional de Ciencias, Consejo Estadounidense de Sociedades Científicas, Consejo de Investigación en Ciencias Sociales . National Academy Press. ISBN 0-309-56739-4.OCLC 326709779  .
  354. ^ Codificado en 20 USC  § 1232g, con reglamentos de implementación en el título 34, parte 99 del Código de Reglamentos Federales
  355. ^ "Cuaderno de auditoría". Manual de examen de tecnología de la información . FFIEC . Consultado el 25 de enero de 2018 .
  356. ^ Ray, Amy W. (2004). "Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)". Enciclopedia de gestión de la atención sanitaria . Thousand Oaks, CA: SAGE Publications, Inc. doi :10.4135/9781412950602.n369. ISBN 978-0-7619-2674-0. Recuperado el 5 de junio de 2021 .
  357. ^ "Ley Pública 104-191 - Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996". Oficina de Publicaciones del Gobierno de los Estados Unidos . Consultado el 25 de enero de 2018 .
  358. ^ "Ley Pública 106 - 102 - Ley Gramm–Leach–Bliley de 1999" (PDF) . Oficina de Publicaciones del Gobierno de los Estados Unidos . Consultado el 25 de enero de 2018 .
  359. ^ Alase, Abayomi Oluwatosin (2016). El impacto de la Ley Sarbanes-Oxley (SOX) en las pequeñas empresas que cotizan en bolsa y sus comunidades (Tesis). Biblioteca de la Universidad del Noreste. doi :10.17760/d20204801.
  360. ^ Solis, Lupita (2019). Tendencias educativas y profesionales de los directores financieros (Tesis). Biblioteca de la Universidad Estatal de Portland. doi :10.15760/honors.763.
  361. ^ "Ley Pública 107 - 204 - Ley Sarbanes-Oxley de 2002". Oficina de Publicaciones del Gobierno de los Estados Unidos . Consultado el 25 de enero de 2018 .
  362. ^ "Glosario, abreviaturas y acrónimos de PCI DSS", Manual de estándares de seguridad de datos de la industria de tarjetas de pago , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 185-199, 18 de septiembre de 2015, doi : 10.1002/9781119197218.gloss, ISBN 978-1-119-19721-8, consultado el 5 de junio de 2021
  363. ^ "PCI Breakdown (Control Objectives and Associated Standards)", Manual de estándares de seguridad de datos de la industria de tarjetas de pago , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., pág. 61, 18 de septiembre de 2015, doi : 10.1002/9781119197218.part2, ISBN 978-1-119-19721-8, consultado el 5 de junio de 2021
  364. ^ Ravallion, Martin; Chen, Shaohua (agosto de 2017). "Medidas de pobreza global compatibles con el bienestar". Serie de documentos de trabajo. doi :10.3386/w23739 . Consultado el 18 de enero de 2022 .
  365. ^ "Estándar de seguridad de datos de la industria de tarjetas de pago (PCI): requisitos y procedimientos de evaluación de seguridad - Versión 3.2" (PDF) . Security Standards Council. Abril de 2016 . Consultado el 25 de enero de 2018 .
  366. ^ "Leyes de notificación de violaciones de seguridad". Conferencia Nacional de Legislaturas Estatales. 12 de abril de 2017. Consultado el 25 de enero de 2018 .
  367. ^ Stein, Stuart G.; Schaberg, Richard A.; Biddle, Laura R., eds. (23 de junio de 2015). Libro de respuestas de instituciones financieras, 2015: derecho, gobernanza, cumplimiento . Practising Law Institute. ISBN 978-1-4024-2405-2.OCLC 911952833  .
  368. ^ "Información personal y protección de datos", Protección de la información personal , Hart Publishing, 2019, doi :10.5040/9781509924882.ch-002, ISBN 978-1-5099-2485-1, S2CID  239275871 , consultado el 5 de junio de 2021
  369. ^ Capítulo 5. Ley para apoyar y promover el comercio electrónico mediante la protección de la información personal que se recopila, utiliza o divulga en determinadas circunstancias, al prever el uso de medios electrónicos para comunicar o registrar información o transacciones y al modificar la Ley de pruebas de Canadá, la Ley de instrumentos legales y la Ley de revisión de la ley . Imprenta de la Reina para Canadá. 2000. OCLC  61417862.
  370. ^ "Comentarios". Statute Law Review . 5 (1): 184–188. 1984. doi :10.1093/slr/5.1.184. ISSN  0144-3593.
  371. ^ "Ley de protección de la información personal y de los documentos electrónicos" (PDF) . Ministro de Justicia de Canadá . Consultado el 25 de enero de 2018 .
  372. ^ Werner, Martin (11 de mayo de 2011). "Comunicación protegida por privacidad para servicios basados ​​en la ubicación". Seguridad y redes de comunicación . 9 (2): 130–138. doi :10.1002/sec.330. ISSN  1939-0114.
  373. ^ "Reglamento para la garantía de la confidencialidad en las comunicaciones electrónicas" (PDF) . Boletín Oficial de la República Helénica . Autoridad griega para la seguridad y privacidad de las comunicaciones . 17 de noviembre de 2011. Archivado desde el original (PDF) el 25 de junio de 2013 . Consultado el 25 de enero de 2018 .
  374. ^ de Guise, Preston (29 de abril de 2020), "Consideraciones de seguridad, privacidad, ética y legal", Protección de datos , Auerbach Publications, págs. 91-108, doi :10.1201/9780367463496-9, ISBN 978-0-367-46349-6, S2CID  219013948 , consultado el 5 de junio de 2021
  375. ^ "Αριθμ. απόφ. 205/2013" (PDF) . Boletín Oficial de la República Helénica . Autoridad Helénica para la Seguridad y Privacidad de las Comunicaciones. 15 de julio de 2013. Archivado desde el original (PDF) el 4 de febrero de 2019. Consultado el 25 de enero de 2018 .
  376. ^ Andersson y Reimers, 2019, POLÍTICA LABORAL DE SEGURIDAD CIBERNÉTICA Y DEMANDA EN EL LUGAR DE TRABAJO EN EL GOBIERNO DE ESTADOS UNIDOS, Actas de EDULEARN19, Año de publicación: 2019 Páginas: 7858-7866 https://library.iated.org/view/ANDERSON2019CYB
  377. ^ "Definición de cultura de seguridad". The Security Culture Framework . 9 de abril de 2014. Archivado desde el original el 27 de enero de 2019. Consultado el 27 de enero de 2019 .
  378. ^ Roer, Kai; Petric, Gregor (2017). Informe sobre la cultura de seguridad de 2017: perspectivas detalladas sobre el factor humano . CLTRe North America, Inc., págs. 42-43. ISBN 978-1544933948.
  379. ^ Akhtar, Salman, ed. (21 de marzo de 2018). Buenos sentimientos. Routledge. doi :10.4324/9780429475313. ISBN 9780429475313.
  380. ^ Anderson, D., Reimers, K. y Barretto, C. (marzo de 2014). Seguridad de la red de educación postsecundaria: resultados de abordar el desafío del usuario final. Fecha de publicación: 11 de marzo de 2014 Descripción de la publicación INTED2014 (Conferencia internacional sobre tecnología, educación y desarrollo)
  381. ^ ab Schlienger, Thomas; Teufel, Stephanie (diciembre de 2003). "Cultura de seguridad de la información: del análisis al cambio". Sociedad Sudafricana de Computación (SAICSIT) . 2003 (31): 46–52. hdl :10520/EJC27949.
  382. ^ "Marco de habilidades del IISP". Archivado desde el original el 15 de marzo de 2014 . Consultado el 27 de abril de 2014 .
  383. ^ "BSI-Standards". BSI. Archivado desde el original el 3 de diciembre de 2013. Consultado el 29 de noviembre de 2013 .

Lectura adicional

Bibliografía

Enlaces externos

Wikimedia Commons tiene medios relacionados con Seguridad de la información .