stringtranslate.com

Seguridad de la información

La seguridad de la información , a veces abreviada como infosec , [1] es la práctica de proteger la información mitigando los riesgos de la información. Es parte de la gestión de riesgos de la información . [2] [3] Por lo general, implica prevenir o reducir la probabilidad de acceso no autorizado o inapropiado a los datos o el uso, divulgación , interrupción, eliminación, corrupción , modificación, inspección, registro o devaluación ilegales de la información. [4] También implica acciones destinadas a reducir los impactos adversos de tales incidentes. La información protegida puede tomar cualquier forma, por ejemplo, electrónica o física, tangible (por ejemplo, papeleo ) o intangible (por ejemplo, conocimiento ). [5] [6] El enfoque principal de la seguridad de la información es la protección equilibrada de la confidencialidad , integridad y disponibilidad de los datos (también conocida como la tríada "CIA") mientras se mantiene un enfoque en la implementación eficiente de políticas , todo ello sin obstaculizar la productividad de la organización . [7] Esto se logra en gran medida a través de un proceso de gestión de riesgos estructurado que implica:

Para estandarizar esta disciplina, académicos y profesionales colaboran para ofrecer orientación, políticas y estándares de la industria sobre contraseñas , software antivirus , firewalls , software de cifrado , responsabilidad legal , concientización y capacitación en seguridad, etc. [9] Esta estandarización puede ser impulsada además por una amplia variedad de leyes y regulaciones que afectan cómo se accede, procesa, almacena, transfiere y destruye los datos. [10] Sin embargo, la implementación de cualquier estándar y orientación dentro de una entidad puede tener un efecto limitado si no se adopta una cultura de mejora continua . [11]

Definición

versión vectorial
Atributos de Seguridad de la Información : o cualidades, es decir, Confidencialidad , Integridad y Disponibilidad (CIA). Los Sistemas de Información están compuestos por tres partes principales, hardware, software y comunicaciones con el propósito de ayudar a identificar y aplicar estándares de la industria de seguridad de la información, como mecanismos de protección y prevención, en tres niveles o capas: física , personal y organizacional. Esencialmente, se implementan procedimientos o políticas para indicar a los administradores, usuarios y operadores cómo utilizar los productos para garantizar la seguridad de la información dentro de las organizaciones. [12]

A continuación se sugieren varias definiciones de seguridad de la información, resumidas de diferentes fuentes:

  1. “Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota: Además, también pueden estar implicadas otras propiedades, como la autenticidad, la rendición de cuentas, la no repudio y la fiabilidad.” (ISO/IEC 27000:2018) [13]
  2. “La protección de la información y de los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados, con el fin de garantizar la confidencialidad, integridad y disponibilidad.” (CNSS, 2010) [14]
  3. “Garantiza que sólo los usuarios autorizados (confidencialidad) tengan acceso a información precisa y completa (integridad) cuando sea necesario (disponibilidad)”. ( ISACA , 2008) [15]
  4. “La seguridad de la información es el proceso de proteger la propiedad intelectual de una organización” (Pipkin, 2000) [16]
  5. “…la seguridad de la información es una disciplina de gestión de riesgos, cuyo trabajo es gestionar el costo del riesgo de la información para el negocio.” (McDermott y Geer, 2001) [17]
  6. “Una sensación de seguridad bien informada de que los riesgos y controles de la información están en equilibrio”. (Anderson, J., 2003) [18]
  7. “La seguridad de la información es la protección de la información y minimiza el riesgo de exponerla a terceros no autorizados” (Venter y Eloff, 2003) [19]
  8. "La seguridad de la información es un área multidisciplinaria de estudio y actividad profesional que se ocupa del desarrollo e implementación de mecanismos de seguridad de todos los tipos disponibles (técnicos, organizacionales, humanos y legales) para mantener la información en todas sus ubicaciones (dentro y fuera del perímetro de la organización) y, en consecuencia, los sistemas de información, donde la información se crea, procesa, almacena, transmite y destruye, libres de amenazas. [20] Las amenazas a la información y a los sistemas de información pueden categorizarse y puede definirse un objetivo de seguridad correspondiente para cada categoría de amenazas. [21] Un conjunto de objetivos de seguridad, identificados como resultado de un análisis de amenazas, debe revisarse periódicamente para garantizar su adecuación y conformidad con el entorno en evolución. [22] El conjunto de objetivos de seguridad actualmente relevantes puede incluir: confidencialidad, integridad, disponibilidad, privacidad, autenticidad y confiabilidad, no repudio, rendición de cuentas y auditabilidad. " (Cherdantseva y Hilton, 2013) [12]
  9. La seguridad de la información y de los recursos de información mediante sistemas o dispositivos de telecomunicaciones significa proteger la información, los sistemas de información o los libros contra el acceso no autorizado, los daños, el robo o la destrucción (Kurose y Ross, 2010). [23]

Descripción general

En el centro de la seguridad de la información se encuentra la garantía de la información, el acto de mantener la confidencialidad, integridad y disponibilidad (CIA) de la información, asegurando que la información no se vea comprometida de ninguna manera cuando surjan problemas críticos. [24] Estos problemas incluyen, entre otros, desastres naturales, mal funcionamiento de computadoras/servidores y robo físico. Si bien las operaciones comerciales basadas en papel aún prevalecen, lo que requiere su propio conjunto de prácticas de seguridad de la información, las iniciativas digitales empresariales están recibiendo cada vez más énfasis, [25] [26] y la garantía de la información ahora generalmente está a cargo de especialistas en seguridad de tecnología de la información (TI). Estos especialistas aplican la seguridad de la información a la tecnología (la mayoría de las veces, alguna forma de sistema informático). Vale la pena señalar que una computadora no necesariamente significa una computadora de escritorio doméstica. [27] Una computadora es cualquier dispositivo con un procesador y algo de memoria. Dichos dispositivos pueden variar desde dispositivos independientes sin red tan simples como calculadoras, hasta dispositivos informáticos móviles en red como teléfonos inteligentes y tabletas. [28] Casi siempre se encuentran especialistas en seguridad de TI en cualquier empresa/establecimiento importante debido a la naturaleza y el valor de los datos dentro de las empresas más grandes. [29] Son responsables de mantener toda la tecnología dentro de la empresa segura de ataques cibernéticos maliciosos que a menudo intentan adquirir información privada crítica o ganar el control de los sistemas internos. [30] [31]

El campo de la seguridad de la información ha crecido y evolucionado significativamente en los últimos años. [32] Ofrece muchas áreas de especialización, incluyendo la protección de redes e infraestructuras aliadas , la protección de aplicaciones y bases de datos , las pruebas de seguridad , la auditoría de sistemas de información , la planificación de la continuidad empresarial , el descubrimiento de registros electrónicos y la investigación forense digital . [33] Los profesionales de la seguridad de la información son muy estables en su empleo. [34] A partir de 2013, más del 80 por ciento de los profesionales no habían cambiado de empleador o empleo durante un período de un año, y se proyecta que el número de profesionales crezca continuamente más del 11 por ciento anualmente desde 2014 hasta 2019. [35]

Amenazas

Las amenazas a la seguridad de la información se presentan de muchas formas diferentes. [36] [37] Algunas de las amenazas más comunes hoy en día son los ataques de software, el robo de propiedad intelectual, el robo de identidad, el robo de equipos o información, el sabotaje y la extorsión de información. [38] [39] Los virus , [40] gusanos , ataques de phishing y caballos de Troya son algunos ejemplos comunes de ataques de software. El robo de propiedad intelectual también ha sido un problema extenso para muchas empresas en el campo de la tecnología de la información ( TI ). [41] El robo de identidad es el intento de actuar como otra persona generalmente para obtener la información personal de esa persona o aprovechar su acceso a información vital a través de la ingeniería social . [42] [43] El robo de equipos o información es cada vez más frecuente hoy en día debido al hecho de que la mayoría de los dispositivos actuales son móviles, [44] son ​​propensos al robo y también se han vuelto mucho más deseables a medida que aumenta la cantidad de capacidad de datos. El sabotaje consiste generalmente en la destrucción del sitio web de una organización en un intento de causar la pérdida de confianza por parte de sus clientes. [45] La extorsión de información consiste en el robo de la propiedad o información de una empresa como un intento de recibir un pago a cambio de devolver la información o propiedad a su propietario, como ocurre con el ransomware . [46] Hay muchas formas de ayudar a protegerse de algunos de estos ataques, pero una de las precauciones más funcionales es realizar una concienciación periódica de los usuarios. [47] La ​​amenaza número uno para cualquier organización son los usuarios o empleados internos, también se les llama amenazas internas. [48]

Los gobiernos , los militares , las corporaciones , las instituciones financieras , los hospitales , las organizaciones sin fines de lucro y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigaciones y estado financiero. [49] Si la información confidencial sobre los clientes o las finanzas de una empresa o una nueva línea de productos cae en manos de un competidor o un hacker de sombrero negro , una empresa y sus clientes podrían sufrir pérdidas financieras generalizadas e irreparables, así como daños a la reputación de la empresa. [50] Desde una perspectiva empresarial, la seguridad de la información debe equilibrarse con el costo; el modelo Gordon-Loeb proporciona un enfoque económico matemático para abordar esta preocupación. [51]

Para el individuo, la seguridad de la información tiene un efecto significativo en la privacidad , que se considera de manera muy diferente en las distintas culturas . [52]

Respuestas a las amenazas

Las posibles respuestas ante una amenaza o riesgo de seguridad son: [53]

Historia

Desde los primeros días de la comunicación, los diplomáticos y comandantes militares entendieron que era necesario proporcionar algún mecanismo para proteger la confidencialidad de la correspondencia y tener algunos medios para detectar manipulaciones . [55] A Julio César se le atribuye la invención del cifrado César c. 50 a. C., que fue creado para evitar que sus mensajes secretos fueran leídos si un mensaje caía en manos equivocadas. [56] Sin embargo, en su mayor parte la protección se logró mediante la aplicación de controles de manejo de procedimientos. [57] [58] La información confidencial se marcó para indicar que debía ser protegida y transportada por personas de confianza, custodiada y almacenada en un entorno seguro o una caja fuerte. [59] A medida que los servicios postales se expandieron, los gobiernos crearon organizaciones oficiales para interceptar, descifrar, leer y volver a sellar cartas (por ejemplo, la Oficina Secreta del Reino Unido, fundada en 1653 [60] ).

A mediados del siglo XIX se desarrollaron sistemas de clasificación más complejos para permitir a los gobiernos gestionar su información según el grado de sensibilidad. [61] Por ejemplo, el gobierno británico codificó esto, hasta cierto punto, con la publicación de la Ley de Secretos Oficiales en 1889. [62] La Sección 1 de la ley se refería al espionaje y las divulgaciones ilegales de información, mientras que la Sección 2 se ocupaba de las violaciones de la confianza oficial. [63] Pronto se añadió una defensa del interés público para defender las divulgaciones en interés del Estado. [64] En la India se aprobó una ley similar en 1889, la Ley de Secretos Oficiales de la India, que se asoció con la era colonial británica y se utilizó para tomar medidas enérgicas contra los periódicos que se oponían a las políticas del Raj. [65] En 1923 se aprobó una versión más nueva que se extendía a todos los asuntos de información confidencial o secreta para el gobierno. [66] En la época de la Primera Guerra Mundial , se utilizaban sistemas de clasificación de varios niveles para comunicar información hacia y desde varios frentes, lo que fomentó un mayor uso de secciones de creación y descifrado de códigos en las sedes diplomáticas y militares. [67] La ​​codificación se volvió más sofisticada entre las guerras a medida que se empleaban máquinas para codificar y descifrar información. [68]

El establecimiento de la seguridad informática inauguró la historia de la seguridad de la información. La necesidad de esto apareció durante la Segunda Guerra Mundial . [69] El volumen de información compartida por los países aliados durante la Segunda Guerra Mundial requirió una alineación formal de los sistemas de clasificación y controles de procedimiento. [70] Una gama arcana de marcas evolucionó para indicar quién podía manejar documentos (generalmente oficiales en lugar de tropas alistadas) y dónde debían almacenarse a medida que se desarrollaban cajas fuertes e instalaciones de almacenamiento cada vez más complejas. [71] La máquina Enigma , que fue empleada por los alemanes para cifrar los datos de la guerra y fue descifrada con éxito por Alan Turing , puede considerarse un ejemplo sorprendente de creación y uso de información segura. [72] Los procedimientos evolucionaron para garantizar que los documentos se destruyeran correctamente, y fue el incumplimiento de estos procedimientos lo que llevó a algunos de los mayores golpes de inteligencia de la guerra (por ejemplo, la captura del U-570 [72] ).

Durante la Guerra Fría se conectaron en línea varias computadoras centrales para completar tareas más sofisticadas, en un proceso de comunicación más sencillo que el envío de cintas magnéticas de un lado a otro entre centros de cómputo. Por ello, la Agencia de Proyectos de Investigación Avanzada (ARPA), del Departamento de Defensa de los Estados Unidos , comenzó a investigar la viabilidad de un sistema de comunicación en red para intercambiar información dentro de las Fuerzas Armadas de los Estados Unidos . En 1968, Larry Roberts formuló el proyecto ARPANET , que más tarde evolucionaría hasta convertirse en lo que se conoce como Internet . [73]

En 1973, el pionero de Internet Robert Metcalfe descubrió que algunos elementos importantes de la seguridad de ARPANET tenían muchas fallas, como la "vulnerabilidad de la estructura y los formatos de las contraseñas; la falta de procedimientos de seguridad para las conexiones por acceso telefónico ; y la inexistencia de identificación y autorizaciones de usuarios", además de la falta de controles y salvaguardas para mantener los datos a salvo del acceso no autorizado. Los piratas informáticos tenían fácil acceso a ARPANET, ya que los números de teléfono eran conocidos por el público. [ 74] Debido a estos problemas, junto con la violación constante de la seguridad informática, así como el aumento exponencial en el número de hosts y usuarios del sistema, la "seguridad de la red" a menudo se denominaba "inseguridad de la red". [74]

Cartel del Ministerio de Defensa de Rusia que promueve la seguridad de la información

A finales del siglo XX y principios del siglo XXI se produjeron rápidos avances en las telecomunicaciones , el hardware y el software informáticos y el cifrado de datos . [75] La disponibilidad de equipos informáticos más pequeños, más potentes y menos costosos hizo que el procesamiento electrónico de datos estuviera al alcance de las pequeñas empresas y los usuarios domésticos. [76] El establecimiento del Protocolo de control de transferencia/Protocolo de interconexión de redes (TCP/IP) a principios de la década de 1980 permitió que diferentes tipos de computadoras se comunicaran. [77] Estas computadoras rápidamente se interconectaron a través de Internet . [78]

El rápido crecimiento y el uso generalizado del procesamiento electrónico de datos y el comercio electrónico realizado a través de Internet, junto con numerosos casos de terrorismo internacional , alimentaron la necesidad de mejores métodos para proteger las computadoras y la información que almacenan, procesan y transmiten. [79] Las disciplinas académicas de seguridad informática y seguridad de la información surgieron junto con numerosas organizaciones profesionales, todas compartiendo los objetivos comunes de garantizar la seguridad y confiabilidad de los sistemas de información . [80]

Principios básicos

Conceptos clave

La tríada de la "CIA" de confidencialidad , integridad y disponibilidad es el núcleo de la seguridad de la información. [81] (Los miembros de la tríada clásica de InfoSec -confidencialidad, integridad y disponibilidad- se denominan indistintamente en la literatura atributos de seguridad, propiedades, objetivos de seguridad, aspectos fundamentales, criterios de información, características críticas de la información y bloques básicos de construcción.) [82] Sin embargo, continúa el debate sobre si esta tríada es suficiente o no para abordar la tecnología y los requisitos comerciales que cambian rápidamente, y se recomienda considerar la ampliación de las intersecciones entre la disponibilidad y la confidencialidad, así como la relación entre la seguridad y la privacidad. [24] A veces se han propuesto otros principios como la "rendición de cuentas"; se ha señalado que cuestiones como el no repudio no encajan bien dentro de los tres conceptos básicos. [83]

La tríada parece haber sido mencionada por primera vez en una publicación del NIST en 1977. [84]

En 1992 y revisadas en 2002, las Directrices de la OCDE para la seguridad de los sistemas y redes de información [85] propusieron los nueve principios generalmente aceptados: conciencia , responsabilidad, respuesta, ética, democracia, evaluación de riesgos, diseño e implementación de seguridad, gestión de seguridad y reevaluación. [86] Sobre la base de ellos, en 2004 los Principios de ingeniería para la seguridad de la tecnología de la información del NIST [83] propusieron 33 principios. De cada uno de estos se derivaron directrices y prácticas.

En 1998, Donn Parker propuso un modelo alternativo a la clásica tríada de la "CIA" que denominó los seis elementos atómicos de la información . Los elementos son confidencialidad , posesión , integridad , autenticidad , disponibilidad y utilidad . Los méritos de la hexada de Parker son un tema de debate entre los profesionales de la seguridad. [87]

En 2011, The Open Group publicó el estándar de gestión de seguridad de la información O-ISM3 . [88] Este estándar propuso una definición operativa de los conceptos clave de seguridad, con elementos llamados "objetivos de seguridad", relacionados con el control de acceso (9), la disponibilidad (3), la calidad de los datos (1), el cumplimiento y lo técnico (4). En 2009, la Iniciativa de Protección de Software del Departamento de Defensa Archivado el 25 de septiembre de 2016 en Wayback Machine publicó los Tres principios de la ciberseguridad Archivado el 10 de mayo de 2020 en Wayback Machine que son la susceptibilidad del sistema, el acceso a la falla y la capacidad de explotar la falla. [89] [90] [91] Ninguno de estos modelos es ampliamente adoptado.

Confidencialidad

En materia de seguridad de la información, la confidencialidad "es la propiedad de que la información no se ponga a disposición ni se divulgue a personas, entidades o procesos no autorizados". [92] Si bien son similares a "privacidad", las dos palabras no son intercambiables. Más bien, la confidencialidad es un componente de la privacidad que se implementa para proteger nuestros datos de los espectadores no autorizados. [93] Algunos ejemplos de confidencialidad de datos electrónicos que se ven comprometidos incluyen el robo de computadoras portátiles, el robo de contraseñas o el envío de correos electrónicos confidenciales a personas no autorizadas. [94]

Integridad

En seguridad informática, la integridad de los datos significa mantener y asegurar la precisión y completitud de los datos durante todo su ciclo de vida. [95] Esto significa que los datos no pueden modificarse de manera no autorizada o no detectada. [96] Esto no es lo mismo que la integridad referencial en bases de datos , aunque puede verse como un caso especial de consistencia como se entiende en el modelo ACID clásico de procesamiento de transacciones . [97] Los sistemas de seguridad de la información generalmente incorporan controles para asegurar su propia integridad, en particular protegiendo el núcleo o las funciones principales contra amenazas tanto deliberadas como accidentales. [98] Los sistemas informáticos multipropósito y multiusuario tienen como objetivo compartimentar los datos y el procesamiento de tal manera que ningún usuario o proceso pueda afectar negativamente a otro: sin embargo, los controles pueden no tener éxito, como vemos en incidentes como infecciones de malware, hackeos, robo de datos, fraude y violaciones de la privacidad. [99]

En términos más generales, la integridad es un principio de seguridad de la información que involucra la integridad humana/social, de procesos y comercial, así como la integridad de los datos. Como tal, afecta aspectos como la credibilidad, la coherencia, la veracidad, la integridad, la precisión, la puntualidad y la seguridad. [100]

Disponibilidad

Para que cualquier sistema de información cumpla su propósito, la información debe estar disponible cuando se la necesita. [101] Esto significa que los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerla y los canales de comunicación utilizados para acceder a ella deben funcionar correctamente. [102] Los sistemas de alta disponibilidad tienen como objetivo permanecer disponibles en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallas de hardware y actualizaciones del sistema. [103] Garantizar la disponibilidad también implica prevenir ataques de denegación de servicio , como una avalancha de mensajes entrantes al sistema de destino, lo que esencialmente lo obliga a apagarse. [104]

En el ámbito de la seguridad de la información, la disponibilidad puede verse a menudo como una de las partes más importantes de un programa de seguridad de la información exitoso. [ cita requerida ] En última instancia, los usuarios finales deben poder realizar funciones laborales; al garantizar la disponibilidad, una organización puede desempeñarse según los estándares que esperan las partes interesadas de una organización. [105] Esto puede involucrar temas como configuraciones de proxy, acceso web externo, la capacidad de acceder a unidades compartidas y la capacidad de enviar correos electrónicos. [106] Los ejecutivos a menudo no comprenden el lado técnico de la seguridad de la información y ven la disponibilidad como una solución fácil, pero esto a menudo requiere la colaboración de muchos equipos organizacionales diferentes, como operaciones de red, operaciones de desarrollo, respuesta a incidentes y gestión de políticas/cambios. [107] Un equipo de seguridad de la información exitoso involucra muchos roles clave diferentes para combinarse y alinearse para que la tríada "CIA" se proporcione de manera efectiva. [108]

No repudio

En derecho, el no repudio implica la intención de cumplir con las obligaciones que le impone un contrato. También implica que una de las partes de una transacción no puede negar haber recibido una transacción, ni la otra parte puede negar haber enviado una transacción. [109]

Es importante señalar que, si bien la tecnología, como los sistemas criptográficos, pueden ayudar en los esfuerzos de no repudio, el concepto es en esencia un concepto legal que trasciende el ámbito de la tecnología. [110] Por ejemplo, no es suficiente demostrar que el mensaje coincide con una firma digital firmada con la clave privada del remitente, y por lo tanto, solo el remitente podría haber enviado el mensaje, y nadie más podría haberlo alterado en tránsito ( integridad de los datos ). [111] El presunto remitente podría, a cambio, demostrar que el algoritmo de firma digital es vulnerable o defectuoso, o alegar o probar que su clave de firma ha sido comprometida. [112] La culpa de estas violaciones puede o no recaer en el remitente, y tales afirmaciones pueden o no eximir al remitente de responsabilidad, pero la afirmación invalidaría la afirmación de que la firma necesariamente prueba autenticidad e integridad. Como tal, el remitente puede repudiar el mensaje (porque la autenticidad y la integridad son requisitos previos para el no repudio). [113]

Gestión de riesgos

En términos generales, el riesgo es la probabilidad de que ocurra algo malo que cause daño a un activo de información (o la pérdida del activo). [114] Una vulnerabilidad es una debilidad que podría usarse para poner en peligro o causar daño a un activo de información. Una amenaza es cualquier cosa (causada por el hombre o por un acto de la naturaleza ) que tenga el potencial de causar daño. [115] La probabilidad de que una amenaza use una vulnerabilidad para causar daño crea un riesgo. Cuando una amenaza usa una vulnerabilidad para causar daño, tiene un impacto. [116] En el contexto de la seguridad de la información, el impacto es una pérdida de disponibilidad, integridad y confidencialidad, y posiblemente otras pérdidas (pérdida de ingresos, pérdida de vidas, pérdida de bienes inmuebles). [117]

El Manual de Revisión del Auditor Certificado de Sistemas de Información (CISA) de 2006 define la gestión de riesgos como "el proceso de identificar vulnerabilidades y amenazas a los recursos de información utilizados por una organización para alcanzar los objetivos de negocios, y decidir qué contramedidas , [118] si las hay, tomar para reducir el riesgo a un nivel aceptable, en función del valor del recurso de información para la organización". [119]

Hay dos cosas en esta definición que pueden necesitar alguna aclaración. En primer lugar, el proceso de gestión de riesgos es un proceso continuo e iterativo . Debe repetirse indefinidamente. El entorno empresarial cambia constantemente y surgen nuevas amenazas y vulnerabilidades todos los días. [120] En segundo lugar, la elección de contramedidas ( controles ) utilizadas para gestionar los riesgos debe lograr un equilibrio entre la productividad, el costo, la eficacia de la contramedida y el valor del activo de información que se está protegiendo. [121] Además, estos procesos tienen limitaciones ya que las violaciones de seguridad son generalmente raras y surgen en un contexto específico que puede no duplicarse fácilmente. [122] Por lo tanto, cualquier proceso y contramedida debe evaluarse en busca de vulnerabilidades. [123] No es posible identificar todos los riesgos, ni es posible eliminarlos todos. El riesgo restante se denomina "riesgo residual". [124]

La evaluación de riesgos la lleva a cabo un equipo de personas que tienen conocimiento de áreas específicas del negocio. [125] La composición del equipo puede variar con el tiempo a medida que se evalúan diferentes partes del negocio. [126] La evaluación puede utilizar un análisis cualitativo subjetivo basado en una opinión informada o, cuando se dispone de cifras en dólares confiables e información histórica, el análisis puede utilizar un análisis cuantitativo .

Las investigaciones han demostrado que el punto más vulnerable en la mayoría de los sistemas de información es el usuario, operador, diseñador u otro ser humano. [127] El Código de prácticas para la gestión de la seguridad de la información ISO/IEC 27002:2005 recomienda que se examine lo siguiente durante una evaluación de riesgos:

En términos generales, el proceso de gestión de riesgos consiste en: [128] [129]

  1. Identificación de activos y estimación de su valor. Incluye: personas, edificios, hardware, software, datos (electrónicos, impresos, otros), suministros. [130]
  2. Realizar una evaluación de amenazas . Incluya: actos de la naturaleza, actos de guerra, accidentes, actos maliciosos originados dentro o fuera de la organización. [131]
  3. Realizar una evaluación de vulnerabilidades y, para cada una de ellas, calcular la probabilidad de que se explote. Evaluar políticas, procedimientos, estándares, capacitación, seguridad física , control de calidad y seguridad técnica. [132]
  4. Calcular el impacto que cada amenaza tendría sobre cada activo. Utilizar análisis cualitativo o cuantitativo. [133]
  5. Identificar, seleccionar e implementar controles apropiados. Proporcionar una respuesta proporcional. Considerar la productividad, la rentabilidad y el valor del activo. [134]
  6. Evaluar la eficacia de las medidas de control. Asegurarse de que los controles proporcionen la protección necesaria en función de los costos sin una pérdida apreciable de productividad. [135]

En el caso de cualquier riesgo, la dirección puede optar por aceptarlo en función del valor relativamente bajo del activo, la frecuencia relativamente baja de ocurrencia y el impacto relativamente bajo en el negocio. [136] O bien, el liderazgo puede optar por mitigar el riesgo seleccionando e implementando medidas de control adecuadas para reducirlo. En algunos casos, el riesgo puede transferirse a otra empresa mediante la compra de un seguro o la subcontratación a otra empresa. [137] La ​​realidad de algunos riesgos puede ser cuestionada. En tales casos, el liderazgo puede optar por negar el riesgo. [138]

Controles de seguridad

La selección e implementación de controles de seguridad adecuados ayudará inicialmente a una organización a reducir el riesgo a niveles aceptables. [139] La selección de controles debe seguir y basarse en la evaluación de riesgos. [140] Los controles pueden variar en naturaleza, pero fundamentalmente son formas de proteger la confidencialidad, integridad o disponibilidad de la información. La norma ISO/IEC 27001 ha definido controles en diferentes áreas. [141] Las organizaciones pueden implementar controles adicionales según los requisitos de la organización. [142] La norma ISO/IEC 27002 ofrece una guía para los estándares de seguridad de la información organizacional. [143]

Administrativo

Los controles administrativos (también llamados controles de procedimiento) consisten en políticas, procedimientos, estándares y pautas escritas aprobadas. Los controles administrativos forman el marco para dirigir el negocio y gestionar a las personas. [144] Informan a las personas sobre cómo se debe dirigir el negocio y cómo se deben llevar a cabo las operaciones diarias. Las leyes y regulaciones creadas por los organismos gubernamentales también son un tipo de control administrativo porque informan al negocio. [145] Algunos sectores industriales tienen políticas, procedimientos, estándares y pautas que deben seguirse: el Estándar de seguridad de datos de la industria de tarjetas de pago [146] (PCI DSS) requerido por Visa y MasterCard es un ejemplo de ello. Otros ejemplos de controles administrativos incluyen la política de seguridad corporativa, la política de contraseñas , las políticas de contratación y las políticas disciplinarias. [147]

Los controles administrativos constituyen la base para la selección e implementación de controles lógicos y físicos. Los controles lógicos y físicos son manifestaciones de los controles administrativos, que son de suma importancia. [144]

Lógico

Los controles lógicos (también llamados controles técnicos) utilizan software y datos para monitorear y controlar el acceso a la información y a los sistemas informáticos . [ cita requerida ] Las contraseñas, los firewalls de red y basados ​​en host, los sistemas de detección de intrusiones de red , las listas de control de acceso y el cifrado de datos son ejemplos de controles lógicos. [ 148 ]

Un control lógico importante que se pasa por alto con frecuencia es el principio del mínimo privilegio , que requiere que a un individuo, programa o proceso del sistema no se le concedan más privilegios de acceso de los necesarios para realizar la tarea. [149] Un ejemplo flagrante de la falta de adhesión al principio del mínimo privilegio es iniciar sesión en Windows como usuario Administrador para leer el correo electrónico y navegar por la web. Las violaciones de este principio también pueden ocurrir cuando un individuo obtiene privilegios de acceso adicionales con el tiempo. [150] Esto sucede cuando los deberes laborales de los empleados cambian, los empleados son promovidos a un nuevo puesto o los empleados son transferidos a otro departamento. [151] Los privilegios de acceso requeridos por sus nuevas funciones se agregan con frecuencia a sus privilegios de acceso ya existentes, que pueden ya no ser necesarios o apropiados. [152]

Físico

Los controles físicos supervisan y controlan el entorno del lugar de trabajo y las instalaciones informáticas. [153] También supervisan y controlan el acceso a y desde dichas instalaciones e incluyen puertas, cerraduras, calefacción y aire acondicionado, alarmas de humo y fuego, sistemas de extinción de incendios, cámaras, barricadas, vallas, guardias de seguridad, cerraduras de cable, etc. La separación de la red y el lugar de trabajo en áreas funcionales también son controles físicos. [154]

Un control físico importante que a menudo se pasa por alto es la separación de funciones, que garantiza que un individuo no pueda completar una tarea crítica por sí solo. [155] Por ejemplo, un empleado que presenta una solicitud de reembolso no debería poder también autorizar el pago o imprimir el cheque. [156] Un programador de aplicaciones no debería ser también el administrador del servidor o el administrador de la base de datos ; estos roles y responsabilidades deben estar separados entre sí. [157]

Defensa en profundidad

El modelo de cebolla de defensa en profundidad

La seguridad de la información debe proteger la información durante toda su vida útil, desde su creación inicial hasta su eliminación final. [158] La información debe protegerse tanto en movimiento como en reposo. Durante su vida útil, la información puede pasar por muchos sistemas de procesamiento de información diferentes y por muchas partes diferentes de los sistemas de procesamiento de información. [159] Existen muchas formas diferentes en que la información y los sistemas de información pueden verse amenazados. Para proteger completamente la información durante su vida útil, cada componente del sistema de procesamiento de información debe tener sus propios mecanismos de protección. [160] La construcción, superposición y superposición de medidas de seguridad se denomina "defensa en profundidad". [161] A diferencia de una cadena de metal, que es famosa por ser tan fuerte como su eslabón más débil, la estrategia de defensa en profundidad apunta a una estructura en la que, si una medida defensiva falla, otras medidas seguirán brindando protección. [162]

Recordemos la discusión anterior sobre los controles administrativos, los controles lógicos y los controles físicos. Los tres tipos de controles se pueden utilizar para formar la base sobre la cual construir una estrategia de defensa en profundidad. [144] Con este enfoque, la defensa en profundidad se puede conceptualizar como tres capas o planos distintos colocados uno sobre el otro. [163] Se puede obtener una visión adicional de la defensa en profundidad si se piensa que forma las capas de una cebolla, con los datos en el núcleo de la cebolla, las personas en la siguiente capa exterior de la cebolla y la seguridad de la red , la seguridad basada en el host y la seguridad de la aplicación formando las capas más externas de la cebolla. [164] Ambas perspectivas son igualmente válidas y cada una proporciona una valiosa visión de la implementación de una buena estrategia de defensa en profundidad. [165]

Clasificación

Un aspecto importante de la seguridad de la información y la gestión de riesgos es reconocer el valor de la información y definir los procedimientos y requisitos de protección adecuados para la información. [166] No toda la información es igual y, por lo tanto, no toda la información requiere el mismo grado de protección. [167] Esto requiere que se le asigne a la información una clasificación de seguridad . [168] El primer paso en la clasificación de la información es identificar a un miembro de la alta dirección como el propietario de la información particular que se va a clasificar. A continuación, se desarrolla una política de clasificación. [169] La política debe describir las diferentes etiquetas de clasificación, definir los criterios para que la información reciba una etiqueta particular y enumerar los controles de seguridad necesarios para cada clasificación. [170]

Algunos factores que influyen en la clasificación que se debe asignar a la información incluyen cuánto valor tiene esa información para la organización, qué tan antigua es la información y si la información se ha vuelto obsoleta o no. [171] Las leyes y otros requisitos regulatorios también son consideraciones importantes al clasificar la información. [172] La Asociación de Auditoría y Control de Sistemas de Información (ISACA) y su Modelo de Negocios para la Seguridad de la Información también sirven como una herramienta para que los profesionales de la seguridad examinen la seguridad desde una perspectiva de sistemas, creando un entorno donde la seguridad se puede gestionar de manera integral, lo que permite abordar los riesgos reales. [173]

El tipo de etiquetas de clasificación de seguridad de la información seleccionadas y utilizadas dependerá de la naturaleza de la organización, siendo algunos ejemplos: [170]

Todos los empleados de la organización, así como los socios comerciales, deben recibir capacitación sobre el esquema de clasificación y comprender los controles de seguridad y los procedimientos de manejo requeridos para cada clasificación. [176] La clasificación de un activo de información en particular que se ha asignado debe revisarse periódicamente para garantizar que la clasificación aún sea apropiada para la información y para garantizar que los controles de seguridad requeridos por la clasificación estén implementados y se sigan en sus procedimientos correctos. [177]

Control de acceso

El acceso a la información protegida debe estar restringido a las personas autorizadas a acceder a la información. [178] Los programas informáticos, y en muchos casos las computadoras que procesan la información, también deben estar autorizados. [179] Esto requiere que existan mecanismos para controlar el acceso a la información protegida. [179] La sofisticación de los mecanismos de control de acceso debe estar a la par con el valor de la información que se está protegiendo; cuanto más sensible o valiosa sea la información, más fuertes deben ser los mecanismos de control. [180] La base sobre la que se construyen los mecanismos de control de acceso comienza con la identificación y la autenticación . [181]

El control de acceso generalmente se considera en tres pasos: identificación, autenticación y autorización . [182] [94]

Identificación

La identificación es una afirmación de quién es alguien o qué es algo. Si una persona dice "Hola, mi nombre es John Doe ", está afirmando quién es. [183] ​​Sin embargo, su afirmación puede ser verdadera o no. Antes de que se le pueda conceder a John Doe acceso a información protegida, será necesario verificar que la persona que afirma ser John Doe realmente lo es. [184] Normalmente, la afirmación se realiza en forma de nombre de usuario. Al introducir ese nombre de usuario, usted está afirmando "Soy la persona a la que pertenece el nombre de usuario". [185]

Autenticación

La autenticación es el acto de verificar una afirmación de identidad. Cuando John Doe va a un banco para hacer un retiro, le dice al cajero que es John Doe, una afirmación de identidad. [186] El cajero del banco le pide ver un documento de identidad con fotografía, por lo que le entrega al cajero su licencia de conducir . [187] El cajero del banco verifica la licencia para asegurarse de que tenga impreso el nombre de John Doe y compara la fotografía de la licencia con la de la persona que dice ser John Doe. [188] Si la foto y el nombre coinciden con la persona, entonces el cajero ha autenticado que John Doe es quien dice ser. De manera similar, al ingresar la contraseña correcta, el usuario proporciona evidencia de que es la persona a la que pertenece el nombre de usuario. [189]

Hay tres tipos diferentes de información que se pueden utilizar para la autenticación: [190] [191]

La autenticación fuerte requiere proporcionar más de un tipo de información de autenticación (autenticación de dos factores). [197] El nombre de usuario es la forma más común de identificación en los sistemas informáticos actuales y la contraseña es la forma más común de autenticación. [198] Los nombres de usuario y las contraseñas han cumplido su propósito, pero son cada vez más inadecuados. [199] Los nombres de usuario y las contraseñas están siendo reemplazados o complementados lentamente con mecanismos de autenticación más sofisticados, como algoritmos de contraseñas de un solo uso basados ​​en el tiempo . [200]

Autorización

Una vez que se ha identificado y autenticado con éxito a una persona, un programa o una computadora, se debe determinar a qué recursos de información se les permite acceder y qué acciones se les permitirá realizar (ejecutar, ver, crear, eliminar o cambiar). [201] Esto se llama autorización . La autorización para acceder a la información y otros servicios informáticos comienza con políticas y procedimientos administrativos. [202] Las políticas prescriben a qué información y servicios informáticos se puede acceder, quién puede acceder a ellos y bajo qué condiciones. Luego, se configuran los mecanismos de control de acceso para hacer cumplir estas políticas. [203] Los diferentes sistemas informáticos están equipados con diferentes tipos de mecanismos de control de acceso. Algunos incluso pueden ofrecer una selección de diferentes mecanismos de control de acceso. [204] El mecanismo de control de acceso que ofrece un sistema se basará en uno de los tres enfoques de control de acceso, o puede derivarse de una combinación de los tres enfoques. [94]

El enfoque no discrecional consolida todo el control de acceso bajo una administración centralizada. [205] El acceso a la información y otros recursos se basa generalmente en la función (rol) de los individuos en la organización o en las tareas que el individuo debe realizar. [206] [207] El enfoque discrecional otorga al creador o propietario del recurso de información la capacidad de controlar el acceso a esos recursos. [205] En el enfoque de control de acceso obligatorio, el acceso se concede o deniega en función de la clasificación de seguridad asignada al recurso de información. [178]

Entre los ejemplos de mecanismos de control de acceso comunes que se utilizan hoy en día se incluyen el control de acceso basado en roles , disponible en muchos sistemas avanzados de gestión de bases de datos; permisos de archivos simples proporcionados en los sistemas operativos UNIX y Windows; [208] objetos de política de grupo proporcionados en los sistemas de red de Windows; y Kerberos , RADIUS , TACACS y las listas de acceso simples utilizadas en muchos firewalls y enrutadores . [209]

Para ser eficaces, las políticas y otros controles de seguridad deben ser ejecutables y respetables. Las políticas eficaces garantizan que las personas rindan cuentas de sus acciones. [210] Las directrices del Departamento del Tesoro de los Estados Unidos para los sistemas que procesan información confidencial o de propiedad exclusiva, por ejemplo, establecen que todos los intentos de autenticación y acceso, tanto fallidos como exitosos, deben registrarse, y que todo acceso a la información debe dejar algún tipo de rastro de auditoría . [211]

Además, el principio de necesidad de saber debe estar en vigor cuando se habla de control de acceso. Este principio otorga derechos de acceso a una persona para realizar sus funciones laborales. [212] Este principio se utiliza en el gobierno cuando se trata de autorizaciones diferentes. [213] Aunque dos empleados en diferentes departamentos tengan una autorización de alto secreto , deben tener una necesidad de saber para poder intercambiar información. Dentro del principio de necesidad de saber, los administradores de red otorgan al empleado la menor cantidad de privilegios para evitar que los empleados accedan a más de lo que se supone que deben. [214] La necesidad de saber ayuda a hacer cumplir la tríada de confidencialidad-integridad-disponibilidad. La necesidad de saber afecta directamente el área confidencial de la tríada. [215]

Criptografía

La seguridad de la información utiliza la criptografía para transformar la información utilizable en una forma que la hace inutilizable para cualquier persona que no sea un usuario autorizado; este proceso se llama cifrado . [216] La información que ha sido cifrada (hecha inutilizable) puede ser transformada de nuevo a su forma utilizable original por un usuario autorizado que posee la clave criptográfica , a través del proceso de descifrado. [217] La ​​criptografía se utiliza en la seguridad de la información para proteger la información de la divulgación no autorizada o accidental mientras la información está en tránsito (ya sea electrónica o físicamente) y mientras la información está almacenada. [94]

La criptografía proporciona seguridad de la información con otras aplicaciones útiles también, incluyendo métodos de autenticación mejorados, resúmenes de mensajes, firmas digitales, no repudio y comunicaciones de red cifradas. [218] Las aplicaciones más antiguas y menos seguras como Telnet y el Protocolo de Transferencia de Archivos (FTP) están siendo reemplazadas lentamente por aplicaciones más seguras como Secure Shell (SSH) que utilizan comunicaciones de red cifradas. [219] Las comunicaciones inalámbricas se pueden cifrar utilizando protocolos como WPA/WPA2 o el más antiguo (y menos seguro) WEP . Las comunicaciones por cable (como ITU-T G.hn ) se protegen utilizando AES para el cifrado y X.1035 para la autenticación y el intercambio de claves. [220] Las aplicaciones de software como GnuPG o PGP se pueden utilizar para cifrar archivos de datos y correo electrónico. [221]

La criptografía puede introducir problemas de seguridad cuando no se implementa correctamente. [222] Las soluciones criptográficas deben implementarse utilizando soluciones aceptadas por la industria que hayan sido sometidas a una rigurosa revisión por pares por parte de expertos independientes en criptografía. [223] La longitud y la fuerza de la clave de cifrado también es una consideración importante. [224] Una clave que sea débil o demasiado corta producirá un cifrado débil . [224] Las claves utilizadas para el cifrado y descifrado deben protegerse con el mismo grado de rigor que cualquier otra información confidencial. [225] Deben protegerse de la divulgación y destrucción no autorizadas, y deben estar disponibles cuando sea necesario. [ cita requerida ] Las soluciones de infraestructura de clave pública (PKI) abordan muchos de los problemas que rodean la gestión de claves . [94]

Proceso

Los términos "persona razonable y prudente", " cuidado debido " y "diligencia debida" se han utilizado en los campos de las finanzas, los valores y el derecho durante muchos años. En los últimos años, estos términos han encontrado su lugar en los campos de la informática y la seguridad de la información. [129] Las Directrices Federales de Sentencias de los Estados Unidos ahora permiten responsabilizar a los ejecutivos corporativos por no ejercer el debido cuidado y la debida diligencia en la gestión de sus sistemas de información. [226]

En el mundo de los negocios, los accionistas, clientes, socios comerciales y gobiernos esperan que los directivos de la empresa dirijan la empresa de acuerdo con las prácticas comerciales aceptadas y en cumplimiento de las leyes y otros requisitos reglamentarios. Esto suele describirse como la regla de la "persona razonable y prudente". Una persona prudente toma las debidas precauciones para garantizar que se haga todo lo necesario para operar la empresa según principios comerciales sólidos y de manera legal y ética. Una persona prudente también es diligente (atenta, constante y consciente) en el debido cuidado de la empresa.

En el campo de la seguridad de la información, Harris [227] ofrece las siguientes definiciones de debido cuidado y debida diligencia:

“El debido cuidado son las medidas que se toman para demostrar que una empresa ha asumido la responsabilidad de las actividades que se llevan a cabo dentro de la corporación y ha tomado las medidas necesarias para ayudar a proteger a la empresa, sus recursos y sus empleados [228] ”. Y, [La debida diligencia son las] “actividades continuas que garantizan que los mecanismos de protección se mantengan y estén en funcionamiento de forma continua”. [229]

En estas definiciones se debe prestar atención a dos puntos importantes. [230] [231] En primer lugar, en la debida diligencia, se toman medidas para demostrar; esto significa que las medidas se pueden verificar, medir o incluso producir artefactos tangibles. [232] [233] En segundo lugar, en la debida diligencia, hay actividades continuas; esto significa que las personas están realmente haciendo cosas para monitorear y mantener los mecanismos de protección, y estas actividades son continuas. [234]

Las organizaciones tienen la responsabilidad de practicar el deber de cuidado al aplicar la seguridad de la información. La Norma de Análisis de Riesgos del Deber de Cuidado (DoCRA) [235] proporciona principios y prácticas para evaluar el riesgo. [236] Considera a todas las partes que podrían verse afectadas por esos riesgos. [237] DoCRA ayuda a evaluar las salvaguardas si son adecuadas para proteger a otros de daños y al mismo tiempo presentar una carga razonable. [238] Con el aumento de los litigios por violación de datos, las empresas deben equilibrar los controles de seguridad, el cumplimiento y su misión. [239]

Gobernanza de seguridad

El Instituto de Ingeniería de Software de la Universidad Carnegie Mellon , en una publicación titulada Guía de implementación de la gobernanza para la seguridad empresarial (GES) , define las características de una gobernanza de seguridad eficaz, entre las que se incluyen las siguientes: [240]

Planes de respuesta a incidentes

Un plan de respuesta a incidentes (IRP) es un grupo de políticas que dictan la reacción de una organización ante un ciberataque. Una vez que se ha identificado una violación de seguridad, por ejemplo, mediante un sistema de detección de intrusiones en la red (NIDS) o un sistema de detección de intrusiones basado en host (HIDS) (si está configurado para ello), se inicia el plan. [241] Es importante tener en cuenta que una violación de datos puede tener implicaciones legales. Es fundamental conocer las leyes locales y federales. [242] Cada plan es exclusivo de las necesidades de la organización y puede implicar conjuntos de habilidades que no forman parte de un equipo de TI. [243] Por ejemplo, se puede incluir un abogado en el plan de respuesta para ayudar a abordar las implicaciones legales de una violación de datos. [ cita requerida ]

Como se mencionó anteriormente, cada plan es único, pero la mayoría de los planes incluirán lo siguiente: [244]

Preparación

Una buena preparación incluye el desarrollo de un equipo de respuesta a incidentes (IRT). [245] Las habilidades que debe utilizar este equipo serían pruebas de penetración, informática forense, seguridad de red, etc. [246] Este equipo también debe realizar un seguimiento de las tendencias en ciberseguridad y las estrategias de ataque modernas. [247] Un programa de capacitación para los usuarios finales es importante, ya que la mayoría de las estrategias de ataque modernas se dirigen a los usuarios de la red. [244]

Identificación

Esta parte del plan de respuesta a incidentes identifica si se produjo un evento de seguridad. [248] Cuando un usuario final informa de algo o un administrador advierte irregularidades, se inicia una investigación. Un registro de incidentes es una parte crucial de este paso. [ cita requerida ] Todos los miembros del equipo deben actualizar este registro para garantizar que la información fluya lo más rápido posible. [249] Si se ha identificado que se ha producido una violación de seguridad, se debe activar el siguiente paso. [250]

Contención

En esta fase, el IRT trabaja para aislar las áreas en las que se produjo la violación para limitar el alcance del evento de seguridad. [251] Durante esta fase es importante preservar la información de manera forense para que pueda analizarse más adelante en el proceso. [252] La contención puede ser tan simple como contener físicamente una sala de servidores o tan compleja como segmentar una red para no permitir la propagación de un virus. [253]

Erradicación

Aquí es donde la amenaza que se identificó se elimina de los sistemas afectados. [254] Esto podría incluir la eliminación de archivos maliciosos, la terminación de cuentas comprometidas o la eliminación de otros componentes. [255] [256] Algunos eventos no requieren este paso, sin embargo, es importante comprender completamente el evento antes de pasar a este paso. [257] Esto ayudará a garantizar que la amenaza se elimine por completo. [253]

Recuperación

En esta etapa se restauran los sistemas a su funcionamiento original. [258] Esta etapa podría incluir la recuperación de datos, el cambio de la información de acceso de los usuarios o la actualización de las reglas o políticas del firewall para evitar una violación en el futuro. [259] [260] Sin ejecutar este paso, el sistema aún podría ser vulnerable a futuras amenazas de seguridad. [253]

Lecciones aprendidas

En este paso, la información que se ha recopilado durante este proceso se utiliza para tomar decisiones futuras sobre seguridad. [261] Este paso es crucial para garantizar que se eviten eventos futuros. El uso de esta información para capacitar a los administradores es fundamental para el proceso. [262] Este paso también se puede utilizar para procesar información que se distribuye desde otras entidades que han experimentado un evento de seguridad. [263]

Gestión del cambio

La gestión de cambios es un proceso formal para dirigir y controlar las modificaciones del entorno de procesamiento de la información. [264] [265] Esto incluye modificaciones en las computadoras de escritorio, la red, los servidores y el software. [266] Los objetivos de la gestión de cambios son reducir los riesgos que plantean los cambios en el entorno de procesamiento de la información y mejorar la estabilidad y la confiabilidad del entorno de procesamiento a medida que se realizan los cambios. [267] El objetivo de la gestión de cambios no es prevenir ni obstaculizar la implementación de los cambios necesarios. [268] [269]

Cualquier cambio en el entorno de procesamiento de información introduce un elemento de riesgo. [270] Incluso cambios aparentemente simples pueden tener efectos inesperados. [271] Una de las muchas responsabilidades de la gerencia es la gestión del riesgo. [272] [273] La gestión del cambio es una herramienta para gestionar los riesgos introducidos por los cambios en el entorno de procesamiento de información. [274] Parte del proceso de gestión del cambio asegura que los cambios no se implementen en momentos inoportunos cuando pueden interrumpir procesos comerciales críticos o interferir con otros cambios que se estén implementando. [275]

No todos los cambios necesitan ser gestionados. [276] [277] Algunos tipos de cambios son parte de la rutina diaria del procesamiento de información y se adhieren a un procedimiento predefinido, lo que reduce el nivel general de riesgo para el entorno de procesamiento. [278] Crear una nueva cuenta de usuario o implementar una nueva computadora de escritorio son ejemplos de cambios que generalmente no requieren gestión de cambios. [279] Sin embargo, reubicar los recursos compartidos de archivos de usuario o actualizar el servidor de correo electrónico plantean un nivel mucho más alto de riesgo para el entorno de procesamiento y no son una actividad diaria normal. [280] Los primeros pasos críticos en la gestión de cambios son (a) definir el cambio (y comunicar esa definición) y (b) definir el alcance del sistema de cambio. [281]

La gestión de cambios suele estar supervisada por un comité de revisión de cambios compuesto por representantes de las áreas clave de la empresa, [282] seguridad, redes, administradores de sistemas, administración de bases de datos, desarrolladores de aplicaciones, soporte de escritorio y el servicio de asistencia. [283] Las tareas del comité de revisión de cambios se pueden facilitar con el uso de una aplicación de flujo de trabajo automatizado. [284] La responsabilidad del comité de revisión de cambios es garantizar que se sigan los procedimientos de gestión de cambios documentados de la organización. [285] El proceso de gestión de cambios es el siguiente: [286]

Los procedimientos de gestión de cambios que son fáciles de seguir y de usar pueden reducir en gran medida los riesgos generales que se crean cuando se realizan cambios en el entorno de procesamiento de información. [318] Los buenos procedimientos de gestión de cambios mejoran la calidad general y el éxito de los cambios a medida que se implementan. [319] Esto se logra mediante la planificación, la revisión por pares, la documentación y la comunicación. [320]

Las normas ISO/IEC 20000 , The Visible OPS Handbook: Implementing ITIL in 4 Practical and Auditable Steps [321] (Resumen completo del libro), [322] e ITIL brindan una valiosa guía para implementar un programa de gestión de cambios de seguridad de la información eficiente y eficaz. [323]

Continuidad del negocio

La gestión de la continuidad del negocio ( BCM ) se refiere a los acuerdos destinados a proteger las funciones críticas de negocio de una organización de interrupciones debido a incidentes, o al menos minimizar los efectos. [324] [325] BCM es esencial para cualquier organización para mantener la tecnología y el negocio en línea con las amenazas actuales a la continuidad del negocio como de costumbre. [326] El BCM debe incluirse en un plan de análisis de riesgos de las organizaciones para garantizar que todas las funciones comerciales necesarias tengan lo que necesitan para seguir funcionando en caso de cualquier tipo de amenaza a cualquier función comercial. [327]

Abarca:

Mientras que el BCM adopta un enfoque amplio para minimizar los riesgos relacionados con los desastres al reducir tanto la probabilidad como la gravedad de los incidentes, un plan de recuperación de desastres (DRP) se centra específicamente en reanudar las operaciones comerciales lo más rápidamente posible después de un desastre. [337] Un plan de recuperación de desastres, invocado poco después de que ocurre un desastre, establece los pasos necesarios para recuperar la infraestructura crítica de tecnología de la información y las comunicaciones (ICT). [338] La planificación de la recuperación de desastres incluye el establecimiento de un grupo de planificación, la realización de una evaluación de riesgos, el establecimiento de prioridades, el desarrollo de estrategias de recuperación, la preparación de inventarios y la documentación del plan, el desarrollo de criterios y procedimientos de verificación y, por último, la implementación del plan. [339]

Leyes y reglamentos

Clasificación de privacidad de Privacy International
2007 Verde: Protecciones y salvaguardas
Rojo: Sociedades de vigilancia endémica

A continuación se presenta una lista parcial de leyes y regulaciones gubernamentales en varias partes del mundo que tienen, tuvieron o tendrán un efecto significativo en el procesamiento de datos y la seguridad de la información. [340] [341] También se han incluido regulaciones importantes del sector industrial cuando tienen un impacto significativo en la seguridad de la información. [340]

En 2004, el Departamento de Defensa de los Estados Unidos (DoD) emitió la Directiva DoD 8570, complementada por la Directiva DoD 8140, que exige que todos los empleados del DoD y todo el personal contratado del DoD que participe en funciones y actividades de garantía de la información obtengan y mantengan diversas certificaciones de tecnología de la información (TI) en un esfuerzo por garantizar que todo el personal del DoD involucrado en la defensa de la infraestructura de la red tenga niveles mínimos de conocimientos, habilidades y capacidades (KSA) reconocidos por la industria de TI. Andersson y Reimers (2019) informan que estas certificaciones van desde A+ y Security+ de CompTIA hasta CISSP de ICS2.org, etc. [376]

Cultura

La cultura de seguridad de la información no solo describe la conciencia de seguridad de los empleados, sino que también incluye las ideas, costumbres y comportamientos sociales de una organización que afectan la seguridad de la información de manera positiva y negativa. [377] Los conceptos culturales pueden ayudar a que los diferentes segmentos de la organización trabajen de manera eficaz o en contra de la eficacia en materia de seguridad de la información dentro de una organización. La forma en que los empleados piensan y sienten sobre la seguridad y las acciones que toman pueden tener un gran impacto en la seguridad de la información en las organizaciones. Roer y Petric (2017) identifican siete dimensiones fundamentales de la cultura de seguridad de la información en las organizaciones: [378]

Andersson y Reimers (2014) descubrieron que los empleados a menudo no se ven a sí mismos como parte del "esfuerzo" de seguridad de la información de la organización y a menudo toman medidas que ignoran los mejores intereses de seguridad de la información de la organización. [380] La investigación muestra que la cultura de seguridad de la información debe mejorarse continuamente. En Information Security Culture from Analysis to Change , los autores comentaron: "Es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento". Para gestionar la cultura de seguridad de la información, se deben seguir cinco pasos: preevaluación, planificación estratégica, planificación operativa, implementación y postevaluación. [381]

Fuentes de normas

La Organización Internacional de Normalización (ISO) es una organización de normalización internacional organizada como un consorcio de instituciones nacionales de normalización de 167 países, coordinadas a través de una secretaría en Ginebra, Suiza. ISO es el mayor desarrollador de normas internacionales del mundo. La Comisión Electrotécnica Internacional (IEC) es una organización de normalización internacional que se ocupa de la electrotecnología y coopera estrechamente con ISO. ISO/IEC 15443: "Tecnología de la información - Técnicas de seguridad - Un marco para el aseguramiento de la seguridad de TI", ISO/IEC 27002 : "Tecnología de la información - Técnicas de seguridad - Código de práctica para la gestión de la seguridad de la información", ISO/IEC 20000 : "Tecnología de la información - Gestión de servicios", e ISO/IEC 27001 : "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos" son de particular interés para los profesionales de la seguridad de la información.

El Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST) es una agencia federal no regulatoria dentro del Departamento de Comercio de los Estados Unidos . La División de Seguridad Informática del NIST desarrolla estándares, métricas, pruebas y programas de validación, así como también publica estándares y pautas para aumentar la planificación, implementación, gestión y operación segura de TI. El NIST también es el custodio de las publicaciones del Estándar Federal de Procesamiento de Información (FIPS) de los Estados Unidos.

Internet Society es una sociedad de miembros profesionales con más de 100 organizaciones y más de 20.000 miembros individuales en más de 180 países. Proporciona liderazgo para abordar cuestiones que afectan al futuro de Internet y es la sede organizativa de los grupos responsables de los estándares de infraestructura de Internet, incluidos el Grupo de trabajo de ingeniería de Internet (IETF) y el Consejo de arquitectura de Internet (IAB). La ISOC alberga las solicitudes de comentarios (RFC), que incluyen los estándares oficiales del protocolo de Internet y el Manual de seguridad de sitios RFC-2196 .

El Foro de Seguridad de la Información (ISF) es una organización mundial sin fines de lucro integrada por varios cientos de organizaciones líderes en los sectores de servicios financieros, manufactura, telecomunicaciones, bienes de consumo, gobierno y otras áreas. Realiza investigaciones sobre prácticas de seguridad de la información y ofrece asesoramiento en su Estándar de Buenas Prácticas para la Seguridad de la Información , que se publica cada dos años , y en avisos más detallados para los miembros.

El Instituto de Profesionales de Seguridad de la Información (IISP) es un organismo independiente, sin fines de lucro, dirigido por sus miembros, cuyo principal objetivo es promover la profesionalidad de los profesionales de la seguridad de la información y, por ende, la profesionalidad de la industria en su conjunto. El instituto desarrolló el Marco de habilidades del IISP. Este marco describe la gama de competencias que se esperan de los profesionales de la seguridad de la información y la garantía de la información en el desempeño eficaz de sus funciones. Fue desarrollado mediante la colaboración entre organizaciones del sector público y privado, académicos de renombre mundial y líderes en seguridad. [382]

The German Federal Office for Information Security (in German Bundesamt für Sicherheit in der Informationstechnik (BSI)) BSI-Standards 100–1 to 100-4 are a set of recommendations including "methods, processes, procedures, approaches and measures relating to information security".[383] The BSI-Standard 100-2 IT-Grundschutz Methodology describes how information security management can be implemented and operated. The standard includes a very specific guide, the IT Baseline Protection Catalogs (also known as IT-Grundschutz Catalogs). Before 2005, the catalogs were formerly known as "IT Baseline Protection Manual". The Catalogs are a collection of documents useful for detecting and combating security-relevant weak points in the IT environment (IT cluster). The collection encompasses as of September 2013 over 4,400 pages with the introduction and catalogs. The IT-Grundschutz approach is aligned with to the ISO/IEC 2700x family.

The European Telecommunications Standards Institute standardized a catalog of information security indicators, headed by the Industrial Specification Group (ISG) ISI.

See also

References

  1. ^ Curry, Michael; Marshall, Byron; Crossler, Robert E.; Correia, John (April 25, 2018). "InfoSec Process Action Model (IPAM): Systematically Addressing Individual Security Behavior". ACM SIGMIS Database: The DATABASE for Advances in Information Systems. 49 (SI): 49–66. doi:10.1145/3210530.3210535. ISSN 0095-0033. S2CID 14003960.
  2. ^ Joshi, Chanchala; Singh, Umesh Kumar (August 2017). "Information security risks management framework – A step towards mitigating security risks in university network". Journal of Information Security and Applications. 35: 128–137. doi:10.1016/j.jisa.2017.06.006. ISSN 2214-2126.
  3. ^ Fletcher, Martin (December 14, 2016). "An introduction to information risk". The National Archives. Retrieved February 23, 2022.
  4. ^ Joshi, Chanchala; Singh, Umesh Kumar (August 2017). "Information security risks management framework – A step towards mitigating security risks in university network". Journal of Information Security and Applications. 35: 128–137. doi:10.1016/j.jisa.2017.06.006.
  5. ^ Daniel, Kent; Titman, Sheridan (August 2006). "Market Reactions to Tangible and Intangible Information". The Journal of Finance. 61 (4): 1605–1643. doi:10.1111/j.1540-6261.2006.00884.x. SSRN 414701.
  6. ^ Fink, Kerstin (2004). Knowledge Potential Measurement and Uncertainty. Deutscher Universitätsverlag. ISBN 978-3-322-81240-7. OCLC 851734708.
  7. ^ Keyser, Tobias (April 19, 2018), "Security policy", The Information Governance Toolkit, CRC Press, pp. 57–62, doi:10.1201/9781315385488-13, ISBN 978-1-315-38548-8, retrieved May 28, 2021
  8. ^ Danzig, Richard; National Defense University Washington DC Inst for National Strategic Studies (1995). "The big three: Our greatest security risks and how to address them". DTIC ADA421883.
  9. ^ Lyu, M.R.; Lau, L.K.Y. (2000). "Firewall security: Policies, testing and performance evaluation". Proceedings 24th Annual International Computer Software and Applications Conference. COMPSAC2000. IEEE Comput. Soc. pp. 116–121. doi:10.1109/cmpsac.2000.884700. ISBN 0-7695-0792-1. S2CID 11202223.
  10. ^ "How the Lack of Data Standardization Impedes Data-Driven Healthcare", Data-Driven Healthcare, Hoboken, NJ, US: John Wiley & Sons, Inc., p. 29, October 17, 2015, doi:10.1002/9781119205012.ch3, ISBN 978-1-119-20501-2, retrieved May 28, 2021
  11. ^ Lent, Tom; Walsh, Bill (2009), "Rethinking Green Building Standards for Comprehensive Continuous Improvement", Common Ground, Consensus Building and Continual Improvement: International Standards and Sustainable Building, West Conshohocken, PA: ASTM International, pp. 1–1–10, doi:10.1520/stp47516s, ISBN 978-0-8031-4507-8, retrieved May 28, 2021
  12. ^ a b Cherdantseva Y. and Hilton J.: "Information Security and Information Assurance. The Discussion about the Meaning, Scope and Goals". In: Organizational, Legal, and Technological Dimensions of Information System Administrator. Almeida F., Portela, I. (eds.). IGI Global Publishing. (2013)
  13. ^ ISO/IEC 27000:2018 (E). (2018). Information technology – Security techniques – Information security management systems – Overview and vocabulary. ISO/IEC.
  14. ^ Committee on National Security Systems: National Information Assurance (IA) Glossary, CNSS Instruction No. 4009, 26 April 2010.
  15. ^ ISACA. (2008). Glossary of terms, 2008. Retrieved from http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
  16. ^ Pipkin, D. (2000). Information security: Protecting the global enterprise. New York: Hewlett-Packard Company.
  17. ^ B., McDermott, E., & Geer, D. (2001). Information security is information risk management. In Proceedings of the 2001 Workshop on New Security Paradigms NSPW ‘01, (pp. 97 – 104). ACM. doi:10.1145/508171.508187
  18. ^ Anderson, J. M. (2003). "Why we need a new definition of information security". Computers & Security. 22 (4): 308–313. doi:10.1016/S0167-4048(03)00407-3.
  19. ^ Venter, H. S.; Eloff, J. H. P. (2003). "A taxonomy for information security technologies". Computers & Security. 22 (4): 299–307. doi:10.1016/S0167-4048(03)00406-1.
  20. ^ Gold, S (December 2004). "Threats looming beyond the perimeter". Information Security Technical Report. 9 (4): 12–14. doi:10.1016/s1363-4127(04)00047-0 (inactive August 12, 2024). ISSN 1363-4127.{{cite journal}}: CS1 maint: DOI inactive as of August 2024 (link)
  21. ^ Parker, Donn B. (January 1993). "A Comprehensive List of Threats To Information". Information Systems Security. 2 (2): 10–14. doi:10.1080/19393559308551348. ISSN 1065-898X. S2CID 30661431.
  22. ^ Sullivant, John (2016), "The Evolving Threat Environment", Building a Corporate Culture of Security, Elsevier, pp. 33–50, doi:10.1016/b978-0-12-802019-7.00004-3, ISBN 978-0-12-802019-7, retrieved May 28, 2021
  23. ^ Бучик, С. С.; Юдін, О. К.; Нетребко, Р. В. (December 21, 2016). "The analysis of methods of determination of functional types of security of the information-telecommunication system from an unauthorized access". Problems of Informatization and Management. 4 (56). doi:10.18372/2073-4751.4.13135. ISSN 2073-4751.
  24. ^ a b Samonas, S.; Coss, D. (2014). "The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security". Journal of Information System Security. 10 (3): 21–45. Archived from the original on September 22, 2018. Retrieved January 25, 2018.
  25. ^ "Gartner Says Digital Disruptors Are Impacting All Industries; Digital KPIs Are Crucial to Measuring Success". Gartner. October 2, 2017. Retrieved January 25, 2018.
  26. ^ "Gartner Survey Shows 42 Percent of CEOs Have Begun Digital Business Transformation". Gartner. April 24, 2017. Retrieved January 25, 2018.
  27. ^ Forte, Dario; Power, Richard (December 2007). "Baseline controls in some vital but often-overlooked areas of your information protection programme". Computer Fraud & Security. 2007 (12): 17–20. doi:10.1016/s1361-3723(07)70170-7. ISSN 1361-3723.
  28. ^ Low-voltage switchgear and controlgear. Device profiles for networked industrial devices, BSI British Standards, doi:10.3403/bsen61915, retrieved May 28, 2021
  29. ^ Fetzer, James; Highfill, Tina; Hossiso, Kassu; Howells, Thomas; Strassner, Erich; Young, Jeffrey (November 2018). "Accounting for Firm Heterogeneity within U.S. Industries: Extended Supply-Use Tables and Trade in Value Added using Enterprise and Establishment Level Data". Working Paper Series. National Bureau of Economic Research. doi:10.3386/w25249. S2CID 169324096.
  30. ^ "Secure estimation subject to cyber stochastic attacks", Cloud Control Systems, Emerging Methodologies and Applications in Modelling, Elsevier: 373–404, 2020, doi:10.1016/b978-0-12-818701-2.00021-4, ISBN 978-0-12-818701-2, S2CID 240746156, retrieved May 28, 2021
  31. ^ Nijmeijer, H. (2003). Synchronization of mechanical systems. World Scientific. ISBN 978-981-279-497-0. OCLC 262846185.
  32. ^ "How Students' Use of Computers has Evolved in Recent Years". Students, Computers and Learning. PISA. OECD. September 8, 2015. pp. 31–48. doi:10.1787/9789264239555-4-en. ISBN 978-92-64-23954-8. Retrieved November 30, 2023.
  33. ^ "9 Types of Cybersecurity Specializations".
  34. ^ Information technology. Security techniques. Competence requirements for information security management systems professionals, BSI British Standards, doi:10.3403/30342674, retrieved May 29, 2021
  35. ^ "Information Security Qualifications Fact Sheet" (PDF). IT Governance. Archived from the original (PDF) on March 16, 2018. Retrieved March 16, 2018.
  36. ^ Ma, Ruiqing Ray (March 2016). "Flexible Displays Come in Many Forms". Information Display. 32 (2): 4–49. doi:10.1002/j.2637-496x.2016.tb00883.x. ISSN 0362-0972.
  37. ^ Rahim, Noor H. (March 2006). Human Rights and Internal Security in Malaysia: Rhetoric and Reality. Defense Technical Information Center. OCLC 74288358.
  38. ^ Kramer, David (September 14, 2018). "Nuclear theft and sabotage threats remain high, report warns". Physics Today (9): 30951. Bibcode:2018PhT..2018i0951K. doi:10.1063/pt.6.2.20180914a. ISSN 1945-0699. S2CID 240223415.
  39. ^ Wilding, Edward (March 2, 2017). Information risk and security : preventing and investigating workplace computer crime. Routledge. ISBN 978-1-351-92755-0. OCLC 1052118207.
  40. ^ Stewart, James (2012). CISSP Study Guide. Canada: John Wiley & Sons. pp. 255–257. ISBN 978-1-118-31417-3.
  41. ^ "Why has productivity growth declined?". OECD Economic Surveys: Denmark 2009. OECD. 2009. pp. 65–96. doi:10.1787/eco_surveys-dnk-2009-4-en. ISBN 9789264076556. Retrieved November 30, 2023.
  42. ^ "Identity Theft: The Newest Digital Attackking Industry Must Take Seriously". Issues in Information Systems. 2007. doi:10.48009/2_iis_2007_297-302. ISSN 1529-7314.
  43. ^ Wendel-Persson, Anna; Ronnhed, Fredrik (2017). IT-säkerhet och människan : De har världens starkaste mur men porten står alltid på glänt. Umeå universitet, Institutionen för informatik. OCLC 1233659973.
  44. ^ Enge, Eric (April 5, 2017). "Stone Temple". Archived from the original on April 27, 2018. Retrieved November 17, 2017. Cell phones
  45. ^ Shao, Ruodan; Skarlicki, Daniel P. (2014). "Sabotage toward the Customers who Mistreated Employees Scale". PsycTESTS Dataset. doi:10.1037/t31653-000. Retrieved May 28, 2021.
  46. ^ Kitchen, Julie (June 2008). "7side – Company Information, Company Formations and Property Searches". Legal Information Management. 8 (2): 146. doi:10.1017/s1472669608000364. ISSN 1472-6696. S2CID 144325193.
  47. ^ Young, Courtenay (May 8, 2018), "Working with panic attacks", Help Yourself Towards Mental Health, Routledge, pp. 209–214, doi:10.4324/9780429475474-32, ISBN 978-0-429-47547-4, retrieved May 28, 2021
  48. ^ "Introduction: Inside the Insider Threat", Insider Threats, Cornell University Press, pp. 1–9, December 31, 2017, doi:10.7591/9781501705946-003, ISBN 978-1-5017-0594-6, retrieved May 28, 2021
  49. ^ Lequiller, F.; Blades, D. (2014). Table 7.7 France: Comparison of the profit shares of non-financial corporations and non-financial corporations plus unincorporated enterprises (PDF). OECD. p. 217. doi:10.1787/9789264214637-en. ISBN 978-92-64-21462-0. Retrieved December 1, 2023.
  50. ^ "How Did it All Come About?", The Compliance Business and Its Customers, Basingstoke: Palgrave Macmillan, 2012, doi:10.1057/9781137271150.0007, ISBN 978-1-137-27115-0
  51. ^ Gordon, Lawrence A.; Loeb, Martin P. (November 2002). "The Economics of Information Security Investment". ACM Transactions on Information and System Security. 5 (4): 438–457. doi:10.1145/581271.581274. S2CID 1500788.
  52. ^ Cho Kim, Byung; Khansa, Lara; James, Tabitha (July 2011). "Individual Trust and Consumer Risk Perception". Journal of Information Privacy and Security. 7 (3): 3–22. doi:10.1080/15536548.2011.10855915. ISSN 1553-6548. S2CID 144643691.
  53. ^ Stewart, James (2012). CISSP Certified Information Systems Security Professional Study Guide Sixth Edition. Canada: John Wiley & Sons, Inc. pp. 255–257. ISBN 978-1-118-31417-3.
  54. ^ Gillett, John (March 1994). "The cost-benefit of outsourcing: assessing the true cost of your outsourcing strategy". European Journal of Purchasing & Supply Management. 1 (1): 45–47. doi:10.1016/0969-7012(94)90042-6. ISSN 0969-7012.
  55. ^ Larsen, Daniel (October 31, 2019). "Creating An American Culture Of Secrecy: Cryptography In Wilson-Era Diplomacy". Diplomatic History. doi:10.1093/dh/dhz046. ISSN 0145-2096.
  56. ^ "Introduction : Caesar Is Dead. Long Live Caesar!", Julius Caesar's Self-Created Image and Its Dramatic Afterlife, Bloomsbury Academic, 2018, doi:10.5040/9781474245784.0005, ISBN 978-1-4742-4578-4, retrieved May 29, 2021
  57. ^ Suetonius Tranquillus, Gaius (2008). Lives of the Caesars (Oxford World's Classics). New York: Oxford University Press. p. 28. ISBN 978-0-19-953756-3.
  58. ^ Singh, Simon (2000). The Code Book. Anchor. pp. 289–290. ISBN 978-0-385-49532-5.
  59. ^ Tan, Heng Chuan (2017). Towards trusted and secure communications in a vehicular environment (Thesis). Nanyang Technological University. doi:10.32657/10356/72758.
  60. ^ Johnson, John (1997). The Evolution of British Sigint: 1653–1939. Her Majesty's Stationery Office. ASIN B00GYX1GX2.
  61. ^ Willison, M. (September 21, 2018). "Were Banks Special? Contrasting Viewpoints in Mid-Nineteenth Century Britain". Monetary Economics: International Financial Flows. doi:10.2139/ssrn.3249510. Retrieved December 1, 2023.
  62. ^ Ruppert, K. (2011). "Official Secrets Act (1889; New 1911; Amended 1920, 1939, 1989)". In Hastedt, G.P. (ed.). Spies, Wiretaps, and Secret Operations: An Encyclopedia of American Espionage. Vol. 2. ABC-CLIO. pp. 589–590. ISBN 9781851098088.
  63. ^ "2. The Clayton Act: A consideration of section 2, defining unlawful price discrimination". The Federal Anti-Trust Law. Columbia University Press. December 31, 1930. pp. 18–28. doi:10.7312/dunn93452-003. ISBN 978-0-231-89377-0. Retrieved May 29, 2021.
  64. ^ Maer, Lucinda; Gay (December 30, 2008). "Official Secrecy" (PDF). Federation of American Scientists.
  65. ^ "The Official Secrets Act 1989 which replaced section 2 of the 1911 Act", Espionage and Secrecy (Routledge Revivals), Routledge, pp. 267–282, June 10, 2016, doi:10.4324/9781315542515-21 (inactive September 11, 2024), ISBN 978-1-315-54251-5{{citation}}: CS1 maint: DOI inactive as of September 2024 (link)
  66. ^ "Official Secrets Act: what it covers; when it has been used, questioned". The Indian Express. March 8, 2019. Retrieved August 7, 2020.
  67. ^ Singh, Gajendra (November 2015). ""Breaking the Chains with Which We were Bound": The Interrogation Chamber, the Indian National Army and the Negation of Military Identities, 1941–1947". Brill's Digital Library of World War I. doi:10.1163/2352-3786_dlws1_b9789004211452_019. Retrieved May 28, 2021.
  68. ^ Duncanson, Dennis (June 1982). "The scramble to unscramble French Indochina". Asian Affairs. 13 (2): 161–170. doi:10.1080/03068378208730070. ISSN 0306-8374.
  69. ^ Whitman et al. 2017, pp. 3.
  70. ^ "Allied Power. Mobilizing Hydro-Electricity During Canada'S Second World War", Allied Power, University of Toronto Press, pp. 1–2, December 31, 2015, doi:10.3138/9781442617117-003, ISBN 978-1-4426-1711-7, retrieved May 29, 2021
  71. ^ Glatthaar, Joseph T. (June 15, 2011), "Officers and Enlisted Men", Soldiering in the Army of Northern Virginia, University of North Carolina Press, pp. 83–96, doi:10.5149/9780807877869_glatthaar.11, ISBN 978-0-8078-3492-3, retrieved May 28, 2021
  72. ^ a b Sebag–Montefiore, H. (2011). Enigma: The Battle for the Code. Orion. p. 576. ISBN 9781780221236.
  73. ^ Whitman et al. 2017, pp. 4–5.
  74. ^ a b Whitman et al. 2017, p. 5.
  75. ^ Dekar, Paul R. (April 26, 2012). Thomas Merton: Twentieth-Century Wisdom for Twenty-First-Century Living. The Lutterworth Press. pp. 160–184. doi:10.2307/j.ctt1cg4k28.13. ISBN 978-0-7188-4069-3. Retrieved May 29, 2021.
  76. ^ Murphy, Richard C. (September 1, 2009). Building more powerful less expensive supercomputers using Processing-In-Memory (PIM) LDRD final report (Report). doi:10.2172/993898.
  77. ^ "A Brief History of the Internet". www.usg.edu. Retrieved August 7, 2020.
  78. ^ "Walking through the view of Delft - on Internet". Computers & Graphics. 25 (5): 927. October 2001. doi:10.1016/s0097-8493(01)00149-2. ISSN 0097-8493.
  79. ^ DeNardis, L. (2007). "Chapter 24: A History of Internet Security". In de Leeuw, K.M.M.; Bergstra, J. (eds.). The History of Information Security: A Comprehensive Handbook. Elsevier. pp. 681–704. ISBN 9780080550589.
  80. ^ Parrish, Allen; Impagliazzo, John; Raj, Rajendra K.; Santos, Henrique; Asghar, Muhammad Rizwan; Jøsang, Audun; Pereira, Teresa; Stavrou, Eliana (July 2, 2018). "Global perspectives on cybersecurity education for 2030: A case for a meta-discipline". Proceedings Companion of the 23rd Annual ACM Conference on Innovation and Technology in Computer Science Education. ACM. pp. 36–54. doi:10.1145/3293881.3295778. hdl:1822/71620. ISBN 978-1-4503-6223-8. S2CID 58004425.
  81. ^ Perrin, Chad (June 30, 2008). "The CIA Triad". Retrieved May 31, 2012.
  82. ^ Sandhu, Ravi; Jajodia, Sushil (October 20, 2000), "Relational Database Security", Information Security Management Handbook, Four Volume Set, Auerbach Publications, doi:10.1201/9780203325438.ch120, ISBN 978-0-8493-1068-3
  83. ^ a b Stoneburner, G.; Hayden, C.; Feringa, A. (2004). "Engineering Principles for Information Technology Security" (PDF). csrc.nist.gov. doi:10.6028/NIST.SP.800-27rA. Archived from the original (PDF) on August 15, 2011. Retrieved August 28, 2011.
  84. ^ A. J. Neumann, N. Statland and R. D. Webb (1977). "Post-processing audit tools and techniques" (PDF). US Department of Commerce, National Bureau of Standards. pp. 11-3--11-4.
  85. ^ "oecd.org" (PDF). Archived from the original (PDF) on May 16, 2011. Retrieved January 17, 2014.
  86. ^ "GSSP (Generally-Accepted system Security Principles): A trip to abilene". Computers & Security. 15 (5): 417. January 1996. doi:10.1016/0167-4048(96)82630-7. ISSN 0167-4048.
  87. ^ Slade, Rob. "(ICS)2 Blog". Archived from the original on November 17, 2017. Retrieved November 17, 2017.
  88. ^ Aceituno, Vicente. "Open Information Security Maturity Model". Retrieved February 12, 2017.
  89. ^ "George Cybenko – George Cybenko's Personal Home Page" (PDF). Archived from the original (PDF) on March 29, 2018. Retrieved January 5, 2018.
  90. ^ Hughes, Jeff; Cybenko, George (June 21, 2018). "Quantitative Metrics and Risk Assessment: The Three Tenets Model of Cybersecurity". Technology Innovation Management Review. 3 (8).
  91. ^ Teplow, Lily (July 2020). "Are Your Clients Falling for These IT Security Myths? [CHART]". continuum.net.
  92. ^ Beckers, K. (2015). Pattern and Security Requirements: Engineering-Based Establishment of Security Standards. Springer. p. 100. ISBN 9783319166643.
  93. ^ Fienberg, Stephen E.; Slavković, Aleksandra B. (2011), "Data Privacy and Confidentiality", International Encyclopedia of Statistical Science, pp. 342–345, doi:10.1007/978-3-642-04898-2_202, ISBN 978-3-642-04897-5
  94. ^ a b c d e Andress, J. (2014). The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. Syngress. p. 240. ISBN 9780128008126.
  95. ^ Boritz, J. Efrim (2005). "IS Practitioners' Views on Core Concepts of Information Integrity". International Journal of Accounting Information Systems. 6 (4). Elsevier: 260–279. doi:10.1016/j.accinf.2005.07.001.
  96. ^ Hryshko, I. (2020). "Unauthorized Occupation of Land and Unauthorized Construction: Concepts and Types of Tactical Means of Investigation". International Humanitarian University Herald. Jurisprudence (43): 180–184. doi:10.32841/2307-1745.2020.43.40. ISSN 2307-1745.
  97. ^ Kim, Bonn-Oh (September 21, 2000), "Referential Integrity for Database Design", High-Performance Web Databases, Auerbach Publications, pp. 427–434, doi:10.1201/9781420031560-34, ISBN 978-0-429-11600-1, retrieved May 29, 2021
  98. ^ Pevnev, V. (2018). "Model Threats and Ensure the Integrity of Information". Systems and Technologies. 2 (56): 80–95. doi:10.32836/2521-6643-2018.2-56.6. ISSN 2521-6643.
  99. ^ Fan, Lejun; Wang, Yuanzhuo; Cheng, Xueqi; Li, Jinming; Jin, Shuyuan (February 26, 2013). "Privacy theft malware multi-process collaboration analysis". Security and Communication Networks. 8 (1): 51–67. doi:10.1002/sec.705. ISSN 1939-0114.
  100. ^ "Completeness, Consistency, and Integrity of the Data Model". Measuring Data Quality for Ongoing Improvement. MK Series on Business Intelligence. Elsevier. 2013. pp. e11–e19. doi:10.1016/b978-0-12-397033-6.00030-4. ISBN 978-0-12-397033-6. Retrieved May 29, 2021.
  101. ^ Video from SPIE - the International Society for Optics and Photonics. doi:10.1117/12.2266326.5459349132001. Retrieved May 29, 2021.
  102. ^ "Communication Skills Used by Information Systems Graduates". Issues in Information Systems. 2005. doi:10.48009/1_iis_2005_311-317. ISSN 1529-7314.
  103. ^ Outages of electric power supply resulting from cable failures Boston Edison Company system (Report). July 1, 1980. doi:10.2172/5083196. OSTI 5083196. Retrieved January 18, 2022.
  104. ^ Loukas, G.; Oke, G. (September 2010) [August 2009]. "Protection Against Denial of Service Attacks: A Survey" (PDF). Comput. J. 53 (7): 1020–1037. doi:10.1093/comjnl/bxp078. Archived from the original (PDF) on March 24, 2012. Retrieved August 28, 2015.
  105. ^ "Be Able To Perform a Clinical Activity", Definitions, Qeios, February 2, 2020, doi:10.32388/dine5x, S2CID 241238722, retrieved May 29, 2021
  106. ^ Ohta, Mai; Fujii, Takeo (May 2011). "Iterative cooperative sensing on shared primary spectrum for improving sensing ability". 2011 IEEE International Symposium on Dynamic Spectrum Access Networks (DySPAN). IEEE. pp. 623–627. doi:10.1109/dyspan.2011.5936257. ISBN 978-1-4577-0177-1. S2CID 15119653.
  107. ^ Information technology. Information security incident management, BSI British Standards, doi:10.3403/30387743, retrieved May 29, 2021
  108. ^ Blum, Dan (2020), "Identify and Align Security-Related Roles", Rational Cybersecurity for Business, Berkeley, CA: Apress, pp. 31–60, doi:10.1007/978-1-4842-5952-8_2, ISBN 978-1-4842-5951-1, S2CID 226626983, retrieved May 29, 2021
  109. ^ McCarthy, C. (2006). "Digital Libraries: Security and Preservation Considerations". In Bidgoli, H. (ed.). Handbook of Information Security, Threats, Vulnerabilities, Prevention, Detection, and Management. Vol. 3. John Wiley & Sons. pp. 49–76. ISBN 9780470051214.
  110. ^ Information technology. Open systems interconnection. Security frameworks for open systems, BSI British Standards, doi:10.3403/01110206u, retrieved May 29, 2021
  111. ^ Christofori, Ralf (January 1, 2014), "Thus could it have been", Julio Rondo - O.k., Meta Memory, Wilhelm Fink Verlag, doi:10.30965/9783846757673_003 (inactive August 12, 2024), ISBN 978-3-7705-5767-7{{citation}}: CS1 maint: DOI inactive as of August 2024 (link)
  112. ^ Atkins, D. (May 2021). "Use of the Walnut Digital Signature Algorithm with CBOR Object Signing and Encryption (COSE)". RFC Editor. doi:10.17487/rfc9021. S2CID 182252627. Retrieved January 18, 2022.
  113. ^ Le May, I. (2003), "Structural Integrity in the Petrochemical Industry", Comprehensive Structural Integrity, Elsevier, pp. 125–149, doi:10.1016/b0-08-043749-4/01001-6, ISBN 978-0-08-043749-1, retrieved May 29, 2021
  114. ^ Sodjahin, Amos; Champagne, Claudia; Coggins, Frank; Gillet, Roland (January 11, 2017). "Leading or lagging indicators of risk? The informational content of extra-financial performance scores". Journal of Asset Management. 18 (5): 347–370. doi:10.1057/s41260-016-0039-y. ISSN 1470-8272. S2CID 157485290.
  115. ^ Reynolds, E H (July 22, 1995). "Folate has potential to cause harm". BMJ. 311 (6999): 257. doi:10.1136/bmj.311.6999.257. ISSN 0959-8138. PMC 2550299. PMID 7503870.
  116. ^ Randall, Alan (2011), "Harm, risk, and threat", Risk and Precaution, Cambridge: Cambridge University Press, pp. 31–42, doi:10.1017/cbo9780511974557.003, ISBN 978-0-511-97455-7, retrieved May 29, 2021
  117. ^ Grama, J.L. (2014). Legal Issues in Information Security. Jones & Bartlett Learning. p. 550. ISBN 9781284151046.
  118. ^ Cannon, David L. (March 4, 2016). "Audit Process". CISA: Certified Information Systems Auditor Study Guide (Fourth ed.). pp. 139–214. doi:10.1002/9781119419211.ch3. ISBN 9781119056249.
  119. ^ CISA Review Manual 2006. Information Systems Audit and Control Association. 2006. p. 85. ISBN 978-1-933284-15-6.
  120. ^ Kadlec, Jaroslav (November 2, 2012). "Two-dimensional process modeling (2DPM)". Business Process Management Journal. 18 (6): 849–875. doi:10.1108/14637151211283320. ISSN 1463-7154.
  121. ^ "All Countermeasures Have Some Value, But No Countermeasure Is Perfect", Beyond Fear, New York: Springer-Verlag, pp. 207–232, 2003, doi:10.1007/0-387-21712-6_14, ISBN 0-387-02620-7, retrieved May 29, 2021
  122. ^ "Data breaches: Deloitte suffers serious hit while more details emerge about Equifax and Yahoo". Computer Fraud & Security. 2017 (10): 1–3. October 2017. doi:10.1016/s1361-3723(17)30086-6. ISSN 1361-3723.
  123. ^ Spagnoletti, Paolo; Resca A. (2008). "The duality of Information Security Management: fighting against predictable and unpredictable threats". Journal of Information System Security. 4 (3): 46–62.
  124. ^ Yusoff, Nor Hashim; Yusof, Mohd Radzuan (August 4, 2009). "Managing HSE Risk in Harsh Environment". All Days. SPE. doi:10.2118/122545-ms.
  125. ^ Baxter, Wesley (2010). Sold out: how Ottawa's downtown business improvement areas have secured and valorized urban space (Thesis). Carleton University. doi:10.22215/etd/2010-09016.
  126. ^ de Souza, André; Lynch, Anthony (June 2012). "Does Mutual Fund Performance Vary over the Business Cycle?". Cambridge, MA. doi:10.3386/w18137. S2CID 262620435.
  127. ^ Kiountouzis, E.A.; Kokolakis, S.A. (May 31, 1996). Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN 978-0-412-78120-9.
  128. ^ Newsome, B. (2013). A Practical Introduction to Security and Risk Management. SAGE Publications. p. 208. ISBN 9781483324852.
  129. ^ a b Whitman, M.E.; Mattord, H.J. (2016). Management of Information Security (5th ed.). Cengage Learning. p. 592. ISBN 9781305501256.
  130. ^ "Hardware, Fabrics, Adhesives, and Other Theatrical Supplies", Illustrated Theatre Production Guide, Routledge, pp. 203–232, March 20, 2013, doi:10.4324/9780080958392-20, ISBN 978-0-08-095839-2, retrieved May 29, 2021
  131. ^ Reason, James (March 2, 2017), "Perceptions of Unsafe Acts", The Human Contribution, CRC Press, pp. 69–103, doi:10.1201/9781315239125-7, ISBN 978-1-315-23912-5, retrieved May 29, 2021
  132. ^ "Information Security Procedures and Standards", Information Security Policies, Procedures, and Standards, Boca Raton, FL: Auerbach Publications, pp. 81–92, March 27, 2017, doi:10.1201/9781315372785-5, ISBN 978-1-315-37278-5, retrieved May 29, 2021
  133. ^ Zhuang, Haifeng; Chen, Yu; Sheng, Xianfu; Hong, Lili; Gao, Ruilan; Zhuang, Xiaofen (June 25, 2020). "Figure S1: Analysis of the prognostic impact of each single signature gene". PeerJ. 8: e9437. doi:10.7717/peerj.9437/supp-1.
  134. ^ Standaert, B.; Ethgen, O.; Emerson, R.A. (June 2012). "CO4 Cost-Effectiveness Analysis - Appropriate for All Situations?". Value in Health. 15 (4): A2. doi:10.1016/j.jval.2012.03.015. ISSN 1098-3015.
  135. ^ "GRP canopies provide cost-effective over-door protection". Reinforced Plastics. 40 (11): 8. November 1996. doi:10.1016/s0034-3617(96)91328-4. ISSN 0034-3617.
  136. ^ "Figure 2.3. Relative risk of being a low performer depending on personal circumstances (2012)". doi:10.1787/888933171410. Retrieved May 29, 2021.
  137. ^ Stoneburner, Gary; Goguen, Alice; Feringa, Alexis (2002). "NIST SP 800-30 Risk Management Guide for Information Technology Systems". doi:10.6028/NIST.SP.800-30. Retrieved January 18, 2022.
  138. ^ "May I Choose? Can I Choose? Oppression and Choice", A Theory of Freedom, Palgrave Macmillan, 2012, doi:10.1057/9781137295026.0007, ISBN 978-1-137-29502-6
  139. ^ Parker, Donn B. (January 1994). "A Guide to Selecting and Implementing Security Controls". Information Systems Security. 3 (2): 75–86. doi:10.1080/10658989409342459. ISSN 1065-898X.
  140. ^ Zoccali, Carmine; Mallamaci, Francesca; Tripepi, Giovanni (September 25, 2007). "Guest Editor: Rajiv Agarwal: Cardiovascular Risk Profile Assessment and Medication Control Should Come First". Seminars in Dialysis. 20 (5): 405–408. doi:10.1111/j.1525-139x.2007.00317.x. ISSN 0894-0959. PMID 17897245. S2CID 33256127.
  141. ^ Guide to the Implementation and Auditing of ISMS Controls based on ISO/IEC 27001. London: BSI British Standards. November 1, 2013. doi:10.3403/9780580829109. ISBN 978-0-580-82910-9.
  142. ^ Johnson, L. (2015). Security Controls Evaluation, Testing, and Assessment Handbook. Syngress. p. 678. ISBN 9780128025642.
  143. ^ Information technology. Security techniques. Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002, BSI British Standards, doi:10.3403/30310928, retrieved May 29, 2021
  144. ^ a b c "Administrative Controls", Occupational Ergonomics, CRC Press, pp. 443–666, March 26, 2003, doi:10.1201/9780203507933-6, ISBN 978-0-429-21155-3, retrieved May 29, 2021
  145. ^ Chen, J.; Demers, E.A.; Lev, B. (June 2013). "How Time of Day Impacts on Business Conversations". doi:10.13007/141. Archived from the original on December 18, 2022. Retrieved January 18, 2022.
  146. ^ 44 U.S.C. § 3542(b)(1)
  147. ^ "Appendix D", Information Security Policy Development for Compliance, Auerbach Publications, pp. 117–136, March 22, 2013, doi:10.1201/b13922-12, ISBN 978-1-4665-8058-9
  148. ^ "Firewalls, Intrusion Detection Systems and Vulnerability Assessment: A Superior Conjunction?". Network Security. 2002 (9): 8–11. September 2002. doi:10.1016/s1353-4858(02)09009-8. ISSN 1353-4858.
  149. ^ Ransome, J.; Misra, A. (2013). Core Software Security: Security at the Source. CRC Press. pp. 40–41. ISBN 9781466560956.
  150. ^ Weik, Martin H. (2000), "least privilege principle", Computer Science and Communications Dictionary, p. 883, doi:10.1007/1-4020-0613-6_10052, ISBN 978-0-7923-8425-0
  151. ^ Emir, Astra (September 2018). "19. Duties of Ex-employees". Law Trove. doi:10.1093/he/9780198814849.003.0019. ISBN 978-0-19-185251-0.
  152. ^ Guide for Information Access Privileges to Health Information, ASTM International, doi:10.1520/e1986-09, retrieved May 29, 2021
  153. ^ Drury, Bill (January 1, 2009), "Physical environment", Control Techniques, Drives and Controls Handbook, Institution of Engineering and Technology, pp. 355–381, doi:10.1049/pbpo057e_chb3, ISBN 978-1-84919-013-8, retrieved May 29, 2021
  154. ^ Fire detection and fire alarms systems, BSI British Standards, doi:10.3403/30266863, retrieved May 29, 2021
  155. ^ Silverman, Arnold B. (November 2001). "Employee exit interviews—An important but frequently overlooked procedure". JOM. 53 (11): 48. Bibcode:2001JOM....53k..48S. doi:10.1007/s11837-001-0195-4. ISSN 1047-4838. S2CID 137528079.
  156. ^ "Many employee pharmacists should be able to benefit". The Pharmaceutical Journal. 2013. doi:10.1211/pj.2013.11124182. ISSN 2053-6186.
  157. ^ "Segregation of Duties Control matrix". ISACA. 2008. Archived from the original on July 3, 2011. Retrieved September 30, 2008.
  158. ^ "Residents Must Protect Their Private Information". JAMA. 279 (17): 1410B. May 6, 1998. doi:10.1001/jama.279.17.1410. ISSN 0098-7484.
  159. ^ "Group Wisdom Support Systems: Aggregating the Insights of Many Through Information Technology". Issues in Information Systems. 2008. doi:10.48009/2_iis_2008_343-350. ISSN 1529-7314.
  160. ^ "INTERDEPENDENCIES OF INFORMATION SYSTEMS", Lessons Learned: Critical Information Infrastructure Protection, IT Governance Publishing, pp. 34–37, 2018, doi:10.2307/j.ctt1xhr7hq.13, ISBN 978-1-84928-958-0, retrieved May 29, 2021
  161. ^ "Managing Network Security", Network Perimeter Security, Auerbach Publications, pp. 17–66, October 27, 2003, doi:10.1201/9780203508046-3, ISBN 978-0-429-21157-7, retrieved May 29, 2021
  162. ^ Kakareka, A. (2013). "Chapter 31: What is Vulnerability Assessment?". In Vacca, J.R. (ed.). Computer and Information Security Handbook (2nd ed.). Elsevier. pp. 541–552. ISBN 9780123946126.
  163. ^ Duke, P. A.; Howard, I. P. (August 17, 2012). "Processing vertical size disparities in distinct depth planes". Journal of Vision. 12 (8): 10. doi:10.1167/12.8.10. ISSN 1534-7362. PMID 22904355.
  164. ^ "Security Onion Control Scripts". Applied Network Security Monitoring. Elsevier. 2014. pp. 451–456. doi:10.1016/b978-0-12-417208-1.09986-4. ISBN 978-0-12-417208-1. Retrieved May 29, 2021.
  165. ^ Saia, Sergio; Fragasso, Mariagiovanna; Vita, Pasquale De; Beleggia, Romina. "Metabolomics Provides Valuable Insight for the Study of Durum Wheat: A Review". Journal of Agricultural and Food Chemistry. doi:10.1021/acs.jafc.8b07097.s001. Retrieved May 29, 2021.
  166. ^ "Overview", Information Security Policies, Procedures, and Standards, Auerbach Publications, December 20, 2001, doi:10.1201/9780849390326.ch1, ISBN 978-0-8493-1137-6
  167. ^ Electrical protection relays. Information and requirements for all protection relays, BSI British Standards, doi:10.3403/bs142-1, retrieved May 29, 2021
  168. ^ Dibattista, Joseph D.; Reimer, James D.; Stat, Michael; Masucci, Giovanni D.; Biondi, Piera; Brauwer, Maarten De; Bunce, Michael (February 6, 2019). "Supplemental Information 4: List of all combined families in alphabetical order assigned in MEGAN vers. 5.11.3". PeerJ. 7: e6379. doi:10.7717/peerj.6379/supp-4.
  169. ^ Kim, Sung-Won (March 31, 2006). "A Quantitative Analysis of Classification Classes and Classified Information Resources of Directory". Journal of Information Management. 37 (1): 83–103. doi:10.1633/jim.2006.37.1.083. ISSN 0254-3621.
  170. ^ a b Bayuk, J. (2009). "Chapter 4: Information Classification". In Axelrod, C.W.; Bayuk, J.L.; Schutzer, D. (eds.). Enterprise Information Security and Privacy. Artech House. pp. 59–70. ISBN 9781596931916.
  171. ^ "Welcome to the Information Age", Overload!, Hoboken, NJ, US: John Wiley & Sons, Inc., pp. 43–65, September 11, 2015, doi:10.1002/9781119200642.ch5, ISBN 978-1-119-20064-2, retrieved May 29, 2021
  172. ^ Crooks, S. (2006). "102. Case Study: When Exposure Control Efforts Override Other Important Design Considerations". AIHce 2006. AIHA. doi:10.3320/1.2759009 (inactive September 11, 2024).{{cite book}}: CS1 maint: DOI inactive as of September 2024 (link)
  173. ^ "Business Model for Information Security (BMIS)". ISACA. Archived from the original on January 26, 2018. Retrieved January 25, 2018.
  174. ^ McAuliffe, Leo (January 1987). "Top secret/trade secret: Accessing and safeguarding restricted information". Government Information Quarterly. 4 (1): 123–124. doi:10.1016/0740-624x(87)90068-2. ISSN 0740-624X.
  175. ^ Iqbal, Javaid; Soroya, Saira Hanif; Mahmood, Khalid (January 5, 2023). "Financial information security behavior in online banking". Information Development. 40 (4): 550–565. doi:10.1177/02666669221149346. ISSN 0266-6669. S2CID 255742685.
  176. ^ Khairuddin, Ismail Mohd; Sidek, Shahrul Naim; Abdul Majeed, Anwar P.P.; Razman, Mohd Azraai Mohd; Puzi, Asmarani Ahmad; Yusof, Hazlina Md (February 25, 2021). "Figure 7: Classification accuracy for each model for all features". PeerJ Computer Science. 7: e379. doi:10.7717/peerj-cs.379/fig-7.
  177. ^ "Asset Classification", Information Security Fundamentals, Auerbach Publications, pp. 327–356, October 16, 2013, doi:10.1201/b15573-18, ISBN 978-0-429-13028-1, retrieved June 1, 2021
  178. ^ a b Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). "Authorized! Access denied, unauthorized! Access granted". Proceedings of the 6th International Conference on Security of Information and Networks. Sin '13. New York, New York, US: ACM Press. pp. 363–367. doi:10.1145/2523514.2523612. ISBN 978-1-4503-2498-4. S2CID 17260474.
  179. ^ a b Peiss, Kathy (2020), "The Country of the Mind Must Also Attack", Information Hunters, Oxford University Press, pp. 16–39, doi:10.1093/oso/9780190944612.003.0003, ISBN 978-0-19-094461-2, retrieved June 1, 2021
  180. ^ Fugini, M.G.; Martella, G. (January 1988). "A petri-net model of access control mechanisms". Information Systems. 13 (1): 53–63. doi:10.1016/0306-4379(88)90026-9. ISSN 0306-4379.
  181. ^ Information technology. Personal identification. ISO-compliant driving licence, BSI British Standards, doi:10.3403/30170670u, retrieved June 1, 2021
  182. ^ Santos, Omar (2015). Ccna security 210-260 official cert guide. Cisco press. ISBN 978-1-58720-566-8. OCLC 951897116.
  183. ^ "What is Assertion?", ASSERTION TRAINING, Abingdon, UK: Taylor & Francis, pp. 1–7, 1991, doi:10.4324/9780203169186_chapter_one, ISBN 978-0-203-28556-5, retrieved June 1, 2021
  184. ^ Doe, John (1960). "Field Season In Illinois Begins May 2". Soil Horizons. 1 (2): 10. doi:10.2136/sh1960.2.0010. ISSN 2163-2812.
  185. ^ Leech, M. (March 1996). "Username/Password Authentication for SOCKS V5". doi:10.17487/rfc1929. Retrieved January 18, 2022.
  186. ^ Kirk, John; Wall, Christine (2011), "Teller, Seller, Union Activist: Class Formation and Changing Bank Worker Identities", Work and Identity, London: Palgrave Macmillan UK, pp. 124–148, doi:10.1057/9780230305625_6, ISBN 978-1-349-36871-6, retrieved June 1, 2021
  187. ^ Dewi, Mila Nurmala (December 23, 2020). "Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri". Nisbah: Jurnal Perbankan Syariah. 6 (2): 75. doi:10.30997/jn.v6i2.1932. ISSN 2528-6633. S2CID 234420571.
  188. ^ Vile, John (2013), "License Checks", Encyclopedia of the Fourth Amendment, Washington DC: CQ Press, doi:10.4135/9781452234243.n462, ISBN 978-1-60426-589-7, retrieved June 1, 2021
  189. ^ "He Said/She Said", My Ghost Has a Name, University of South Carolina Press, pp. 17–32, doi:10.2307/j.ctv6wgjjv.6, ISBN 978-1-61117-827-2, retrieved May 29, 2021
  190. ^ Bacigalupo, Sonny A.; Dixon, Linda K.; Gubbins, Simon; Kucharski, Adam J.; Drewe, Julian A. (October 26, 2020). "Supplemental Information 8: Methods used to monitor different types of contact". PeerJ. 8: e10221. doi:10.7717/peerj.10221/supp-8.
  191. ^ Igelnik, Boris M.; Zurada, Jacek (2013). Efficiency and scalability methods for computational intellect. Information Science Reference. ISBN 978-1-4666-3942-3. OCLC 833130899.
  192. ^ "The Insurance Superbill Must Have Your Name as the Provider", Before You See Your First Client, Routledge, pp. 37–38, January 1, 2005, doi:10.4324/9780203020289-11, ISBN 978-0-203-02028-9, retrieved June 1, 2021
  193. ^ Kissell, Joe. Take Control of Your Passwords. ISBN 978-1-4920-6638-5. OCLC 1029606129.
  194. ^ "New smart Queensland driver license announced". Card Technology Today. 21 (7): 5. July 2009. doi:10.1016/s0965-2590(09)70126-4. ISSN 0965-2590.
  195. ^ Lawrence Livermore National Laboratory. United States. Department of Energy. Office of Scientific and Technical Information (1995). A human engineering and ergonomic evaluation of the security access panel interface. United States. Dept. of Energy. OCLC 727181384.
  196. ^ Lee, Paul (April 2017). "Prints charming: how fingerprints are trailblazing mainstream biometrics". Biometric Technology Today. 2017 (4): 8–11. doi:10.1016/s0969-4765(17)30074-7. ISSN 0969-4765.
  197. ^ Landrock, Peter (2005). "Two-Factor Authentication". Encyclopedia of Cryptography and Security. p. 638. doi:10.1007/0-387-23483-7_443. ISBN 978-0-387-23473-1.
  198. ^ "Figure 1.5. Marriage remains the most common form of partnership among couples, 2000-07". doi:10.1787/888932392533. Retrieved June 1, 2021.
  199. ^ Akpeninor, James Ohwofasa (2013). Modern Concepts of Security. Bloomington, IN: AuthorHouse. p. 135. ISBN 978-1-4817-8232-6. Retrieved January 18, 2018.
  200. ^ Richards, G. (April 2012). "One-Time Password (OTP) Pre-Authentication". doi:10.17487/rfc6560.
  201. ^ Schumacher, Dietmar (April 3, 2016). "Surface geochemical exploration after 85 years: What has been accomplished and what more must be done". International Conference and Exhibition, Barcelona, Spain, 3-6 April 2016. SEG Global Meeting Abstracts. Society of Exploration Geophysicists and American Association of Petroleum Geologists. p. 100. doi:10.1190/ice2016-6522983.1.
  202. ^ "Authorization And Approval Program", Internal Controls Policies and Procedures, Hoboken, NJ, US: John Wiley & Sons, Inc., pp. 69–72, October 23, 2015, doi:10.1002/9781119203964.ch10, ISBN 978-1-119-20396-4, retrieved June 1, 2021
  203. ^ "What responses under what conditions?", Local Policies and the European Social Fund, Policy Press, pp. 81–102, October 2, 2019, doi:10.2307/j.ctvqc6hn1.12, ISBN 978-1-4473-4652-4, S2CID 241438707, retrieved June 1, 2021
  204. ^ Cheng, Liang; Zhang, Yang; Han, Zhihui (June 2013). "Quantitatively Measure Access Control Mechanisms across Different Operating Systems". 2013 IEEE 7th International Conference on Software Security and Reliability. IEEE. pp. 50–59. doi:10.1109/sere.2013.12. ISBN 978-1-4799-0406-8. S2CID 13261344.
  205. ^ a b Weik, Martin H. (2000), "discretionary access control", Computer Science and Communications Dictionary, p. 426, doi:10.1007/1-4020-0613-6_5225, ISBN 978-0-7923-8425-0
  206. ^ Grewer, C.; Balani, P.; Weidenfeller, C.; Bartusel, T.; Zhen Tao; Rauen, T. (August 10, 2005). "Individual Subunits of the Glutamate Transporter EAAC1 Homotrimer Function Independently of Each Other". Biochemistry. 44 (35): 11913–11923. doi:10.1021/bi050987n. PMC 2459315. PMID 16128593.
  207. ^ Ellis Ormrod, Jeanne (2012). Essentials of educational psychology: big ideas to guide effective teaching. Pearson. ISBN 978-0-13-136727-2. OCLC 663953375.
  208. ^ Belim, S. V.; Bogachenko, N. F.; Kabanov, A. N. (November 2018). "Severity Level of Permissions in Role-Based Access Control". 2018 Dynamics of Systems, Mechanisms and Machines (Dynamics). IEEE. pp. 1–5. arXiv:1812.11404. doi:10.1109/dynamics.2018.8601460. ISBN 978-1-5386-5941-0. S2CID 57189531.
  209. ^ "Configuring TACACS and Extended TACACS", Securing and Controlling Cisco Routers, Auerbach Publications, May 15, 2002, doi:10.1201/9781420031454.ch11, ISBN 978-0-8493-1290-8
  210. ^ "Developing Effective Security Policies", Risk Analysis and Security Countermeasure Selection, CRC Press, pp. 261–274, December 18, 2009, doi:10.1201/9781420078718-18, ISBN 978-0-429-24979-2, retrieved June 1, 2021
  211. ^ "The Use of Audit Trails to Monitor Key Networks and Systems Should Remain Part of the Computer Security Material Weakness". www.treasury.gov. Retrieved October 6, 2017.
  212. ^ "fixing-canadas-access-to-medicines-regime-what-you-need-to-know-about-bill-c398". Human Rights Documents online. doi:10.1163/2210-7975_hrd-9902-0152. Retrieved June 1, 2021.
  213. ^ Salazar, Mary K. (January 2006). "Dealing with Uncertain Risks—When to Apply the Precautionary Principle". AAOHN Journal. 54 (1): 11–13. doi:10.1177/216507990605400102. ISSN 0891-0162. S2CID 87769508.
  214. ^ "We Need to Know More About How the Government Censors Its Employees". Human Rights Documents Online. doi:10.1163/2210-7975_hrd-9970-2016117. Retrieved June 1, 2021.
  215. ^ Pournelle, Jerry (April 22, 2004), "1001 Computer Words You Need to Know", 1001 Computer Words You Need to Know: The Ultimate Guide To The Language Of Computers, Oxford Scholarship Online, Oxford University Press, doi:10.1093/oso/9780195167757.003.0007, ISBN 978-0-19-516775-7, retrieved July 30, 2021
  216. ^ Easttom, William (2021), "Elliptic Curve Cryptography", Modern Cryptography, Cham: Springer International Publishing, pp. 245–256, doi:10.1007/978-3-030-63115-4_11, ISBN 978-3-030-63114-7, S2CID 234106555, retrieved June 1, 2021
  217. ^ Follman, Rebecca (March 1, 2014). From Someone Who Has Been There: Information Seeking in Mentoring. IConference 2014 Proceedings (Thesis). iSchools. doi:10.9776/14322. hdl:1903/14292. ISBN 978-0-9884900-1-7.
  218. ^ Weiss, Jason (2004), "Message Digests, Message Authentication Codes, and Digital Signatures", Java Cryptography Extensions, Elsevier, pp. 101–118, doi:10.1016/b978-012742751-5/50012-8, ISBN 978-0-12-742751-5, retrieved June 5, 2021
  219. ^ Bider, D. (March 2018). "Use of RSA Keys with SHA-256 and SHA-512 in the Secure Shell (SSH) Protocol" (PDF). The RFC Series. doi:10.17487/RFC8332. Retrieved November 30, 2023.
  220. ^ Noh, Jaewon; Kim, Jeehyeong; Kwon, Giwon; Cho, Sunghyun (October 2016). "Secure key exchange scheme for WPA/WPA2-PSK using public key cryptography". 2016 IEEE International Conference on Consumer Electronics-Asia (ICCE-Asia). IEEE. pp. 1–4. doi:10.1109/icce-asia.2016.7804782. ISBN 978-1-5090-2743-9. S2CID 10595698.
  221. ^ Van Buren, Roy F. (May 1990). "How you can use the data encryption standard to encrypt your files and data bases". ACM SIGSAC Review. 8 (2): 33–39. doi:10.1145/101126.101130. ISSN 0277-920X.
  222. ^ Bonneau, Joseph (2016), "Why Buy when You Can Rent?", Financial Cryptography and Data Security, Lecture Notes in Computer Science, vol. 9604, Berlin, Heidelberg: Springer Berlin Heidelberg, pp. 19–26, doi:10.1007/978-3-662-53357-4_2, ISBN 978-3-662-53356-7, S2CID 18122687, retrieved June 5, 2021
  223. ^ Coleman, Heather; Andron, Jeff (August 1, 2015), "What GIS Experts and Policy Professionals Need to Know about Using Marxan in Multiobjective Planning Processes", Ocean Solutions, Earth Solutions, Esri Press, doi:10.17128/9781589483651_2, ISBN 978-1-58948-365-1, retrieved June 5, 2021
  224. ^ a b Landrock, Peter (2005), "Key Encryption Key", Encyclopedia of Cryptography and Security, pp. 326–327, doi:10.1007/0-387-23483-7_220, ISBN 978-0-387-23473-1
  225. ^ Giri, Debasis; Barua, Prithayan; Srivastava, P. D.; Jana, Biswapati (2010), "A Cryptosystem for Encryption and Decryption of Long Confidential Messages", Information Security and Assurance, Communications in Computer and Information Science, vol. 76, Berlin, Heidelberg: Springer Berlin Heidelberg, pp. 86–96, Bibcode:2010isa..conf...86G, doi:10.1007/978-3-642-13365-7_9, ISBN 978-3-642-13364-0, retrieved June 5, 2021
  226. ^ Vallabhaneni, S.R. (2008). Corporate Management, Governance, and Ethics Best Practices. John Wiley & Sons. p. 288. ISBN 9780470255803.
  227. ^ Shon Harris (2003). All-in-one CISSP Certification Exam Guide (2nd ed.). Emeryville, California: McGraw-Hill/Osborne. ISBN 978-0-07-222966-0.
  228. ^ Boncardo, Robert (September 20, 2018). "Jean-Claude Milner's Mallarmé: Nothing Has Taken Place". Edinburgh University Press. 1. doi:10.3366/edinburgh/9781474429528.003.0005. S2CID 172045429.
  229. ^ "The Importance of Operational Due Diligence", Hedge Fund Operational Due Diligence, Hoboken, NJ, US: John Wiley & Sons, Inc., pp. 49–67, October 16, 2015, doi:10.1002/9781119197485.ch2, ISBN 978-1-119-19748-5, retrieved June 5, 2021
  230. ^ Hall, Gaylord C. (March 1917). "Some Important Diagnostic Points the General Practioner [sic] Should Know About the Nose". Southern Medical Journal. 10 (3): 211. doi:10.1097/00007611-191703000-00007. ISSN 0038-4348.
  231. ^ Renes, J. (1999). Landschappen van Maas en Peel: een toegepast historisch-geografisch onderzoek in het streekplangebied Noord- en Midden-Limburg. Eisma. ISBN 90-74252-84-2. OCLC 782897414.
  232. ^ Thomas, Brook (June 22, 2017). "Minding Previous Steps Taken". Oxford Scholarship Online. doi:10.1093/acprof:oso/9780190456368.003.0002. ISBN 978-0-19-045639-9.
  233. ^ Lundgren, Regina E. (2018). Risk communication : a handbook for communicating environmental, safety, and health risks. Wiley. ISBN 978-1-119-45613-1. OCLC 1043389392.
  234. ^ Jensen, Eric Talbot (December 3, 2020), "Due Diligence in Cyber Activities", Due Diligence in the International Legal Order, Oxford University Press, pp. 252–270, doi:10.1093/oso/9780198869900.003.0015, ISBN 978-0-19-886990-0, retrieved June 5, 2021
  235. ^ "The Duty of Care Risk Analysis Standard". DoCRA. Archived from the original on August 14, 2018. Retrieved August 15, 2018.
  236. ^ Sutton, Adam; Cherney, Adrian; White, Rob (2008), "Evaluating crime prevention", Crime Prevention, Cambridge: Cambridge University Press, pp. 70–90, doi:10.1017/cbo9780511804601.006, ISBN 978-0-511-80460-1, retrieved June 5, 2021
  237. ^ Check, Erika (September 15, 2004). "FDA considers antidepressant risks for kids". Nature. doi:10.1038/news040913-15. ISSN 0028-0836.
  238. ^ Auckland, Cressida (August 16, 2017). "Protecting me from my Directive: Ensuring Appropriate Safeguards for Advance Directives in Dementia". Medical Law Review. 26 (1): 73–97. doi:10.1093/medlaw/fwx037. ISSN 0967-0742. PMID 28981694.
  239. ^ Takach, George S. (2016), "Preparing for Breach Litigation", Data Breach Preparation and Response, Elsevier, pp. 217–230, doi:10.1016/b978-0-12-803451-4.00009-5, ISBN 978-0-12-803451-4, retrieved June 5, 2021
  240. ^ Westby, J.R.; Allen, J.H. (August 2007). "Governing for Enterprise Security (GES) Implementation Guide" (PDF). Software Engineering Institute. Retrieved January 25, 2018.
  241. ^ Fowler, Kevvie (2016), "Developing a Computer Security Incident Response Plan", Data Breach Preparation and Response, Elsevier, pp. 49–77, doi:10.1016/b978-0-12-803451-4.00003-4, ISBN 978-0-12-803451-4, retrieved June 5, 2021
  242. ^ Bisogni, Fabio (2016). "Proving Limits of State Data Breach Notification Laws: Is a Federal Law the Most Adequate Solution?". Journal of Information Policy. 6: 154–205. doi:10.5325/jinfopoli.6.2016.0154. JSTOR 10.5325/jinfopoli.6.2016.0154.
  243. ^ "Understanding Plan for Every Part", Turbo Flow, Productivity Press, pp. 21–30, July 27, 2017, doi:10.1201/b10336-5, ISBN 978-0-429-24603-6, retrieved June 5, 2021
  244. ^ a b Wills, Leonard (February 27, 2019). "A Brief Guide to Handling a Cyber Incident". American Bar Association.
  245. ^ Johnson, Leighton R. (2014), "Part 1. Incident Response Team", Computer Incident Response and Forensics Team Management, Elsevier, pp. 17–19, doi:10.1016/b978-1-59749-996-5.00038-8, ISBN 978-1-59749-996-5, retrieved June 5, 2021
  246. ^ "Computer Incident Response and Forensics Team Management". Network Security. 2014 (2): 4. February 2014. doi:10.1016/s1353-4858(14)70018-2. ISSN 1353-4858.
  247. ^ "Cybersecurity Threat Landscape and Future Trends", Cybersecurity, Routledge, pp. 304–343, April 16, 2015, doi:10.1201/b18335-12, ISBN 978-0-429-25639-4, retrieved June 5, 2021
  248. ^ Information technology. Security techniques. Information security incident management, BSI British Standards, doi:10.3403/30268878u, retrieved June 5, 2021
  249. ^ Turner, Tim (September 7, 2011), "Our Beginning: Team Members Who Began the Success Story", One Team on All Levels, Productivity Press, pp. 9–36, doi:10.4324/9781466500020-2, ISBN 978-0-429-25314-0, retrieved June 5, 2021
  250. ^ Erlanger, Leon (2002). Defensive Strategies. PC Magazine. p. 70.
  251. ^ "of Belgrade's main street. The event took place in absolute", Radical Street Performance, Routledge, pp. 81–83, November 5, 2013, doi:10.4324/9781315005140-28, ISBN 978-1-315-00514-0, retrieved June 5, 2021
  252. ^ "Why Choice Matters So Much and What Can be Done to Preserve It". The Manipulation of Choice. Palgrave Macmillan. 2013. doi:10.1057/9781137313577.0010. ISBN 978-1-137-31357-7.
  253. ^ a b c "Computer Security Incident Handling Guide" (PDF). Nist.gov. 2012.
  254. ^ Borgström, Pernilla; Strengbom, Joachim; Viketoft, Maria; Bommarco, Riccardo (April 4, 2016). "Table S3: Results from linear-mixed models where non-signficant [sic] parameters have not been removed". PeerJ. 4: e1867. doi:10.7717/peerj.1867/supp-3.
  255. ^ Penfold, David (2000), "Selecting, Copying, Moving and Deleting Files and Directories", ECDL Module 2: Using the Computer and Managing Files, London: Springer London, pp. 86–94, doi:10.1007/978-1-4471-0491-9_6, ISBN 978-1-85233-443-7
  256. ^ Gumus, Onur (2018). ASP. NET Core 2 Fundamentals : Build Cross-Platform Apps and Dynamic Web Services with This Server-side Web Application Framework. Packt Publishing Ltd. ISBN 978-1-78953-355-2. OCLC 1051139482.
  257. ^ "Do the Students Understand What They Are Learning?", Trouble-shooting Your Teaching, Routledge, pp. 36–40, February 25, 2005, doi:10.4324/9780203416907-8, ISBN 978-0-203-41690-7, retrieved June 5, 2021
  258. ^ "Where Are Films Restored, Where Do They Come From and Who Restores Them?", Film Restoration, Palgrave Macmillan, 2013, doi:10.1057/9781137328724.0006, ISBN 978-1-137-32872-4
  259. ^ Liao, Qi; Li, Zhen; Striegel, Aaron (January 24, 2011). "Could firewall rules be public - a game theoretical perspective". Security and Communication Networks. 5 (2): 197–210. doi:10.1002/sec.307. ISSN 1939-0114.
  260. ^ Boeckman, Philip; Greenwald, David J.; Von Bismarck, Nilufer (2013). Twelfth annual institute on securities regulation in Europe : overcoming deal-making challenges in the current markets. Practising Law Institute. ISBN 978-1-4024-1932-4. OCLC 825824220.
  261. ^ "Figure 1.8. Spending of social security has been growing, while self-financing has been falling". doi:10.1787/888932459242. Retrieved June 5, 2021.
  262. ^ "Information Governance: The Crucial First Step", Safeguarding Critical E-Documents, Hoboken, NJ, US: John Wiley & Sons, Inc., pp. 13–24, September 19, 2015, doi:10.1002/9781119204909.ch2, ISBN 978-1-119-20490-9, retrieved June 5, 2021
  263. ^ He, Ying (December 1, 2017). "Challenges of Information Security Incident Learning: An Industrial Case Study in a Chinese Healthcare Organization" (PDF). Informatics for Health and Social Care. 42 (4): 394–395. doi:10.1080/17538157.2016.1255629. PMID 28068150. S2CID 20139345.
  264. ^ Kampfner, Roberto R. (1985). "Formal specification of information systems requirements". Information Processing & Management. 21 (5): 401–414. doi:10.1016/0306-4573(85)90086-x. ISSN 0306-4573.
  265. ^ Jenner, H.A. (1995). Assessment of ecotoxicological risks of element leaching from pulverized coal ashes. s.n.] OCLC 905474381.
  266. ^ "Desktop Computers: Software". Practical Pathology Informatics. New York: Springer-Verlag. 2006. pp. 51–82. doi:10.1007/0-387-28058-8_3. ISBN 0-387-28057-X. Retrieved June 5, 2021.
  267. ^ Wilby, R.L.; Orr, H.G.; Hedger, M.; Forrow, D.; Blackmore, M. (December 2006). "Risks posed by climate change to the delivery of Water Framework Directive objectives in the UK". Environment International. 32 (8): 1043–1055. Bibcode:2006EnInt..32.1043W. doi:10.1016/j.envint.2006.06.017. ISSN 0160-4120. PMID 16857260.
  268. ^ Campbell, T. (2016). "Chapter 14: Secure Systems Development". Practical Information Security Management: A Complete Guide to Planning and Implementation. Apress. p. 218. ISBN 9781484216859.
  269. ^ Koppelman, Kent L. (2011). Understanding human differences : multicultural education for a diverse America. Pearson/Allyn & Bacon. OCLC 1245910610.
  270. ^ "Post-processing". Simple Scene, Sensational Shot. Routledge. April 12, 2013. pp. 128–147. doi:10.4324/9780240821351-9. ISBN 978-0-240-82135-1. Retrieved June 5, 2021.
  271. ^ Kumar, Binay; Mahto, Tulsi; Kumari, Vinita; Ravi, Binod Kumar; Deepmala (2016). "Quackery: How It Can Prove Fatal Even in Apparently Simple Cases-A Case Report". Medico-Legal Update. 16 (2): 75. doi:10.5958/0974-1283.2016.00063.3. ISSN 0971-720X.
  272. ^ Priest, Sally (February 22, 2019). "Shared roles and responsibilities in flood risk management". Journal of Flood Risk Management. 12 (1): e12528. Bibcode:2019JFRM...12E2528P. doi:10.1111/jfr3.12528. ISSN 1753-318X. S2CID 133789858.
  273. ^ United States. Department of Energy. Office of Inspector General. Office of Scientific and Technical Information (2009). Audit Report, "Fire Protection Deficiencies at Los Alamos National Laboratory.". United States. Dept. of Energy. OCLC 727225166.
  274. ^ Toms, Elaine G. (January 1992). "Managing change in libraries and information services; A systems approach". Information Processing & Management. 28 (2): 281–282. doi:10.1016/0306-4573(92)90052-2. ISSN 0306-4573.
  275. ^ Abolhassan, Ferri (2003). "The Change Management Process Implemented at IDS Scheer". Business Process Change Management. Berlin, Heidelberg: Springer Berlin Heidelberg. pp. 15–22. doi:10.1007/978-3-540-24703-6_2. ISBN 978-3-642-05532-4. Retrieved June 5, 2021.
  276. ^ Dawson, Chris (July 1, 2020). Leading Culture Change. doi:10.1515/9780804774673. ISBN 9780804774673. S2CID 242348822.
  277. ^ McCormick, Douglas P. (March 22, 2016). Family Inc. : using business principles to maximize your family's wealth. John Wiley & Sons. ISBN 978-1-119-21976-7. OCLC 945632737.
  278. ^ Schuler, Rainer (August 1995). "Some properties of sets tractable under every polynomial-time computable distribution". Information Processing Letters. 55 (4): 179–184. doi:10.1016/0020-0190(95)00108-o. ISSN 0020-0190.
  279. ^ "Figure 12.2. Share of own-account workers who generally do not have more than one client" (Excel). doi:10.1787/888933881610. Retrieved June 5, 2021.
  280. ^ "Multi-user file server for DOS LANs". Computer Communications. 10 (3): 153. June 1987. doi:10.1016/0140-3664(87)90353-7. ISSN 0140-3664.
  281. ^ "Defining Organizational Change", Organizational Change, Oxford, UK: Wiley-Blackwell, pp. 21–51, April 19, 2011, doi:10.1002/9781444340372.ch1, ISBN 978-1-4443-4037-2, retrieved June 5, 2021
  282. ^ Kirchmer, Mathias; Scheer, August-Wilhelm (2003), "Change Management — Key for Business Process Excellence", Business Process Change Management, Berlin, Heidelberg: Springer Berlin Heidelberg, pp. 1–14, doi:10.1007/978-3-540-24703-6_1, ISBN 978-3-642-05532-4, retrieved June 5, 2021
  283. ^ More, Josh; Stieber, Anthony J.; Liu, Chris (2016), "Tier 2—Advanced Help Desk—Help Desk Supervisor", Breaking Into Information Security, Elsevier, pp. 111–113, doi:10.1016/b978-0-12-800783-9.00029-x, ISBN 978-0-12-800783-9, retrieved June 5, 2021
  284. ^ "An Application of Bayesian Networks in Automated Scoring of Computerized Simulation Tasks", Automated Scoring of Complex Tasks in Computer-Based Testing, Routledge, pp. 212–264, April 4, 2006, doi:10.4324/9780415963572-10, ISBN 978-0-415-96357-2, retrieved June 5, 2021
  285. ^ Kavanagh, Michael J. (June 1994). "Change, Change, Change". Group & Organization Management. 19 (2): 139–140. doi:10.1177/1059601194192001. ISSN 1059-6011. S2CID 144169263.
  286. ^ Taylor, J. (2008). "Chapter 10: Understanding the Project Change Process". Project Scheduling and Cost Control: Planning, Monitoring and Controlling the Baseline. J. Ross Publishing. pp. 187–214. ISBN 9781932159110.
  287. ^ "17. Innovation and Change: Can Anyone Do This?", Backstage in a Bureaucracy, University of Hawaii Press, pp. 87–96, December 31, 2017, doi:10.1515/9780824860936-019, ISBN 978-0-8248-6093-6, retrieved June 5, 2021
  288. ^ Braun, Adam (February 3, 2015). Promise of a pencil : how an ordinary person can create extraordinary change. Simon and Schuster. ISBN 978-1-4767-3063-9. OCLC 902912775.
  289. ^ "Describing Within-Person Change Over Time", Longitudinal Analysis, Routledge, pp. 235–306, January 30, 2015, doi:10.4324/9781315744094-14, ISBN 978-1-315-74409-4, retrieved June 5, 2021
  290. ^ Ingraham, Carolyn; Ban, Patricia W. (1984). Legislating bureaucratic change : the Civil Service Reform Act of 1978. State University of New York Press. ISBN 0-87395-886-1. OCLC 10300171.
  291. ^ Wei, J. (May 4, 2000). "Preliminary Change Request for the SNS 1.3 GeV-Compatible Ring". OSTI.GOV. doi:10.2172/1157253. OSTI 1157253. Retrieved January 18, 2022.
  292. ^ Chen Liang (May 2011). "Allocation priority management of agricultural water resources based on the theory of virtual water". 2011 International Conference on Business Management and Electronic Information. Vol. 1. IEEE. pp. 644–647. doi:10.1109/icbmei.2011.5917018. ISBN 978-1-61284-108-3. S2CID 29137725.
  293. ^ "Change risks and best practices in Business Change Management Unmanaged change risk leads to problems for change management", Leading and Implementing Business Change Management, Routledge, pp. 32–74, July 18, 2013, doi:10.4324/9780203073957-9 (inactive September 11, 2024), ISBN 978-0-203-07395-7{{citation}}: CS1 maint: DOI inactive as of September 2024 (link)
  294. ^ Bragg, Steven M. (2016). Accounting Best Practices. Wiley. ISBN 978-1-118-41780-5. OCLC 946625204.
  295. ^ "Successful change requires more than change management". Human Resource Management International Digest. 16 (7). October 17, 2008. doi:10.1108/hrmid.2008.04416gad.005. ISSN 0967-0734.
  296. ^ "Planning for water resources under climate change", Spatial Planning and Climate Change, Routledge, pp. 287–313, September 13, 2010, doi:10.4324/9780203846537-20, ISBN 978-0-203-84653-7, retrieved June 5, 2021
  297. ^ Rowan, John (January 1967). "Answering the computer back". Management Decision. 1 (1): 51–54. doi:10.1108/eb000776. ISSN 0025-1747.
  298. ^ Biswas, Margaret R.; Biswas, Asit K. (February 1981). "Climatic change and food production". Agriculture and Environment. 5 (4): 332. doi:10.1016/0304-1131(81)90050-3. ISSN 0304-1131.
  299. ^ Weik, Martin H. (2000), "backout", Computer Science and Communications Dictionary, p. 96, doi:10.1007/1-4020-0613-6_1259, ISBN 978-0-7923-8425-0
  300. ^ "Editorial Advisory and Review Board", Business and Sustainability: Concepts, Strategies and Changes, Critical Studies on Corporate Responsibility, Governance and Sustainability, vol. 3, Emerald Group Publishing Limited, pp. xv–xvii, December 6, 2011, doi:10.1108/s2043-9059(2011)0000003005, ISBN 978-1-78052-438-2, retrieved June 5, 2021
  301. ^ "Where a Mirage Has Once Been, Life Must Be", New and Selected Poems, University of South Carolina Press, p. 103, 2014, doi:10.2307/j.ctv6sj8d1.65, ISBN 978-1-61117-323-9, retrieved June 5, 2021
  302. ^ Bell, Marvin (1983). "Two, When There Might Have Been Three". The Antioch Review. 41 (2): 209. doi:10.2307/4611230. JSTOR 4611230.
  303. ^ "We can also make change". Human Rights Documents Online. doi:10.1163/2210-7975_hrd-0148-2015175. Retrieved June 5, 2021.
  304. ^ Mazikana, Anthony Tapiwa (November 5, 2020). "'Change Is the Law of Life. and Those Who Look only to the past or Present Are Certain to Miss the Future- John F. Kennedy' Assessing This Statement with References to Organizations in Zimbabwe Who Have Been Affected by Change". SSRN 3725707.
  305. ^ Ramanadham, V. V. (ed.). Privatisation in the UK. ISBN 978-0-429-19973-8. OCLC 1085890184.
  306. ^ "More complex/realistic rheology must be implemented; Numerical convergence tests must be performed". Geoloscientific Model Development Discussions. September 22, 2020. doi:10.5194/gmd-2020-107-rc2. S2CID 241597573.
  307. ^ Stone, Edward. Edward C. Stone Collection. OCLC 733102101.
  308. ^ Lientz, B (2002). "Develop Your Improvement Implementation Plan". Achieve Lasting Process Improvement. Elsevier. pp. 151–171. doi:10.1016/b978-0-12-449984-3.50011-8. ISBN 978-0-12-449984-3. Retrieved June 5, 2021.
  309. ^ Smeets, Peter (2009). Expeditie agroparken : ontwerpend onderzoek naar metropolitane landbouw en duurzame ontwikkeling. s.n.] ISBN 978-90-8585-515-6. OCLC 441821141.
  310. ^ "Figure 1.3. About 50 percent of the Going for Growth recommendations have been implemented or are in process of implementation". doi:10.1787/888933323735. Retrieved June 5, 2021.
  311. ^ Kekes, John (February 21, 2019), "Must Justice Be Done at All Costs?", Hard Questions, Oxford University Press, pp. 98–126, doi:10.1093/oso/9780190919986.003.0005, ISBN 978-0-19-091998-6, retrieved June 5, 2021
  312. ^ Forrester, Kellie (2014). Macroeconomic implications of changes in the composition of the labor force. University of California, Santa Barbara. ISBN 978-1-321-34938-2. OCLC 974418780.
  313. ^ Choudhury, Gagan L.; Rappaport, Stephen S. (October 1981). "Demand assigned multiple access systems using collision type request channels". ACM SIGCOMM Computer Communication Review. 11 (4): 136–148. doi:10.1145/1013879.802667. ISSN 0146-4833.
  314. ^ Crinson, Mark (2013). ""Certain Old and Lovely Things, Whose Signified Is Abstract, Out of Date": James Stirling and Nostalgia". Change over Time. 3 (1): 116–135. doi:10.1353/cot.2013.0000. ISSN 2153-0548. S2CID 144451363.
  315. ^ Ahwidy, Mansour; Pemberton, Lyn (2016). "What Changes Need to be Made within the LNHS for Ehealth Systems to be Successfully Implemented?". Proceedings of the International Conference on Information and Communication Technologies for Ageing Well and e-Health. Scitepress. pp. 71–79. doi:10.5220/0005620400710079. ISBN 978-989-758-180-9.
  316. ^ Mortimer, John (April 2010). Paradise postponed. Penguin Adult. ISBN 978-0-14-104952-6. OCLC 495596392.
  317. ^ a b Cobey, Sarah; Larremore, Daniel B.; Grad, Yonatan H.; Lipsitch, Marc (2021). "Concerns about SARS-CoV-2 evolution should not hold back efforts to expand vaccination". Nature Reviews Immunology. 21 (5): 330–335. doi:10.1038/s41577-021-00544-9. PMC 8014893. PMID 33795856.
  318. ^ Frampton, Michael (December 26, 2014), "Processing Data with Map Reduce", Big Data Made Easy, Berkeley, CA: Apress, pp. 85–120, doi:10.1007/978-1-4842-0094-0_4, ISBN 978-1-4842-0095-7, retrieved June 5, 2021
  319. ^ "Good study overall, but several procedures need fixing" (PDF). Hydrology and Earth System Sciences Discussions. February 23, 2016. doi:10.5194/hess-2015-520-rc2. Retrieved January 18, 2022.
  320. ^ Harrison, Kent; Craft, Walter M.; Hiller, Jack; McCluskey, Michael R.; BDM Federal Inc Seaside CA (July 1996). "Peer Review Coordinating Draft. Task Analysis for Conduct Intelligence Planning (Critical Combat Function 1): As Accomplished by a Battalion Task Force". DTIC ADA313949.
  321. ^ itpi.org Archived December 10, 2013, at the Wayback Machine
  322. ^ "book summary of The Visible Ops Handbook: Implementing ITIL in 4 Practical and Auditable Steps". wikisummaries.org. Retrieved June 22, 2016.
  323. ^ Bigelow, Michelle (September 23, 2020), "Change Control and Change Management", Implementing Information Security in Healthcare, HIMSS Publishing, pp. 203–214, doi:10.4324/9781003126294-17, ISBN 978-1-003-12629-4, S2CID 224866307, retrieved June 5, 2021
  324. ^ Business continuity management. Guidance on organization recovery following disruptive incidents, BSI British Standards, doi:10.3403/30194308, retrieved June 5, 2021
  325. ^ Hoanh, Chu Thai (1996). Development of a computerized aid to integrated land use planning (cailup) at regional level in irrigated areas : a case study for the Quan Lo Phung Hiep region in the Mekong Delta, Vietnam. ITC. ISBN 90-6164-120-9. OCLC 906763535.
  326. ^ 1Hibberd, Gary (September 11, 2015), "Developing a BCM Strategy in Line with Business Strategy", The Definitive Handbook of Business Continuity Management, Hoboken, NJ, US: John Wiley & Sons, Inc., pp. 23–30, doi:10.1002/9781119205883.ch2, ISBN 978-1-119-20588-3, retrieved June 5, 2021
  327. ^ Hotchkiss, Stuart (2010). Business Continuity Management: In Practice. BCS Learning & Development Limited. ISBN 978-1-906124-72-4.[page needed]
  328. ^ "Identifying Potential Failure Causes", Systems Failure Analysis, ASM International, pp. 25–33, 2009, doi:10.31399/asm.tb.sfa.t52780025, ISBN 978-1-62708-268-6, retrieved June 5, 2021
  329. ^ Clemens, Jeffrey. Risks to the returns to medical innovation : the case of myriad genetics. OCLC 919958196.
  330. ^ Goatcher, Genevieve (2013), "Maximum Acceptable Outage", Encyclopedia of Crisis Management, Thousand Oaks, CA: SAGE Publications, Inc., doi:10.4135/9781452275956.n204, ISBN 978-1-4522-2612-5, retrieved June 5, 2021
  331. ^ "Segment Design Tradeoffs", Software Radio Architecture, New York, US: John Wiley & Sons, Inc., pp. 236–243, January 17, 2002, doi:10.1002/047121664x.ch6, ISBN 978-0-471-21664-3, retrieved June 5, 2021
  332. ^ Blundell, S. (1998). "IN-EMERGENCY - integrated incident management, emergency healthcare and environmental monitoring in road networks". IEE Seminar Using ITS in Public Transport and in Emergency Services. Vol. 1998. IEE. p. 9. doi:10.1049/ic:19981090.
  333. ^ King, Jonathan R. (January 1993). "Contingency Plans and Business Recovery". Information Systems Management. 10 (4): 56–59. doi:10.1080/10580539308906959. ISSN 1058-0530.
  334. ^ Phillips, Brenda D.; Landahl, Mark (2021), "Strengthening and testing your business continuity plan", Business Continuity Planning, Elsevier, pp. 131–153, doi:10.1016/b978-0-12-813844-1.00001-4, ISBN 978-0-12-813844-1, S2CID 230582246, retrieved June 5, 2021
  335. ^ Schnurr, Stephanie (2009), "The 'Other' Side of Leadership Discourse: Humour and the Performance of Relational Leadership Activities", Leadership Discourse at Work, London: Palgrave Macmillan UK, pp. 42–60, doi:10.1057/9780230594692_3, ISBN 978-1-349-30001-3, retrieved June 5, 2021
  336. ^ Specified time relays for industrial use, BSI British Standards, doi:10.3403/02011580u, retrieved June 5, 2021
  337. ^ "Sample Generic Plan and Procedure: Disaster Recovery Plan (DRP) for Operations/Data Center". Workplace Violence. Elsevier. 2010. pp. 253–270. doi:10.1016/b978-1-85617-698-9.00025-4. ISBN 978-1-85617-698-9. Retrieved June 5, 2021.
  338. ^ "Information Technology Disaster Recovery Plan". Disaster Planning for Libraries. Chandos Information Professional Series. Elsevier. 2015. pp. 187–197. doi:10.1016/b978-1-84334-730-9.00019-3. ISBN 978-1-84334-730-9. Retrieved June 5, 2021.
  339. ^ "The Disaster Recovery Plan". Sans Institute. Retrieved February 7, 2012.
  340. ^ a b OECD (2016). "Figure 1.10. Regulations in non-manufacturing sector have significant impact on the manufacturing sector". Economic Policy Reforms 2016: Going for Growth Interim Report. Economic Policy Reforms. Paris: OECD Publishing. doi:10.1787/growth-2016-en. ISBN 9789264250079. Retrieved June 5, 2021.
  341. ^ Ahupuaʻa [electronic resource] : World Environmental and Water Resources Congress 2008, May 12-16, 2008, Honolulu, Hawaiʻi. American Society of Civil Engineers. 2008. ISBN 978-0-7844-0976-3. OCLC 233033926.
  342. ^ Great Britain. Parliament. House of Commons (2007). Data protection [H.L.] A bill [as amended in standing committee d] intituled an act to make new provision for the regulation of the processing of information relating to individuals, including the obtaining, holding, use or disclosure of such information. Proquest LLC. OCLC 877574826.
  343. ^ "Data protection, access to personal information and privacy protection", Government and Information Rights: The Law Relating to Access, Disclosure and their Regulation, Bloomsbury Professional, 2019, doi:10.5040/9781784518998.chapter-002, ISBN 978-1-78451-896-7, S2CID 239376648, retrieved June 5, 2021
  344. ^ Lehtonen, Lasse A. (July 5, 2017). "Genetic Information and the Data Protection Directive of the European Union". The Data Protection Directive and Medical Research Across Europe. Routledge. pp. 103–112. doi:10.4324/9781315240350-8. ISBN 978-1-315-24035-0. Retrieved June 5, 2021.
  345. ^ "Data Protection Act 1998". legislation.gov.uk. The National Archives. Retrieved January 25, 2018.
  346. ^ "Computer Misuse Act 1990". Criminal Law Statutes 2011-2012. Routledge. June 17, 2013. pp. 114–118. doi:10.4324/9780203722763-42. ISBN 978-0-203-72276-3. Retrieved June 5, 2021.
  347. ^ Dharmapala, Dhammika; Hines, James (December 2006). "Which Countries Become Tax Havens?". Working Paper Series. Cambridge, MA. doi:10.3386/w12802.
  348. ^ "Figure 1.14. Participation rates have risen but labour force growth has slowed in several countries". doi:10.1787/888933367391. Retrieved June 5, 2021.
  349. ^ "Computer Misuse Act 1990". legislation.gov.uk. The National Archives. Retrieved January 25, 2018.
  350. ^ "Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006". EUR-Lex. European Union. March 15, 2006. Retrieved January 25, 2018.
  351. ^ "Defamation, Student Records, and the Federal Family Education Rights and Privacy Act". Higher Education Law. Routledge. December 14, 2010. pp. 361–394. doi:10.4324/9780203846940-22. ISBN 978-0-203-84694-0. Retrieved June 5, 2021.
  352. ^ a b "Alabama Schools Receive NCLB Grant To Improve Student Achievement". PsycEXTRA Dataset. 2004. doi:10.1037/e486682006-001. Retrieved June 5, 2021.
  353. ^ Turner-Gottschang, Karen (1987). China bound : a guide to academic life and work in the PRC : for the Committee on Scholarly Communication with the People's Republic of China, National Academy of Sciences, American Council of Learned Societies, Social Science Research Council. National Academy Press. ISBN 0-309-56739-4. OCLC 326709779.
  354. ^ Codified at 20 U.S.C. § 1232g, with implementing regulations in title 34, part 99 of the Code of Federal Regulations
  355. ^ "Audit Booklet". Information Technology Examination Handbook. FFIEC. Retrieved January 25, 2018.
  356. ^ Ray, Amy W. (2004). "Health Insurance Portability and Accountability Act (HIPAA)". Encyclopedia of Health Care Management. Thousand Oaks, CA: SAGE Publications, Inc. doi:10.4135/9781412950602.n369. ISBN 978-0-7619-2674-0. Retrieved June 5, 2021.
  357. ^ "Public Law 104 - 191 - Health Insurance Portability and Accountability Act of 1996". U.S. Government Publishing Office. Retrieved January 25, 2018.
  358. ^ "Public Law 106 - 102 - Gramm–Leach–Bliley Act of 1999" (PDF). U.S. Government Publishing Office. Retrieved January 25, 2018.
  359. ^ Alase, Abayomi Oluwatosin (2016). The impact of the Sarbanes-Oxley Act (SOX) on small-sized publicly traded companies and their communities (Thesis). Northeastern University Library. doi:10.17760/d20204801.
  360. ^ Solis, Lupita (2019). Educational and Professional Trends of Chief Financial Officers (Thesis). Portland State University Library. doi:10.15760/honors.763.
  361. ^ "Public Law 107 - 204 - Sarbanes-Oxley Act of 2002". U.S. Government Publishing Office. Retrieved January 25, 2018.
  362. ^ "Pci Dss Glossary, Abbreviations, and Acronyms", Payment Card Industry Data Security Standard Handbook, Hoboken, NJ, US: John Wiley & Sons, Inc., pp. 185–199, September 18, 2015, doi:10.1002/9781119197218.gloss, ISBN 978-1-119-19721-8, retrieved June 5, 2021
  363. ^ "PCI Breakdown (Control Objectives and Associated Standards)", Payment Card Industry Data Security Standard Handbook, Hoboken, NJ, US: John Wiley & Sons, Inc., p. 61, September 18, 2015, doi:10.1002/9781119197218.part2, ISBN 978-1-119-19721-8, retrieved June 5, 2021
  364. ^ Ravallion, Martin; Chen, Shaohua (August 2017). "Welfare-Consistent Global Poverty Measures". Working Paper Series. doi:10.3386/w23739. Retrieved January 18, 2022.
  365. ^ "Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures - Version 3.2" (PDF). Security Standards Council. April 2016. Retrieved January 25, 2018.
  366. ^ "Security Breach Notification Laws". National Conference of State Legislatures. April 12, 2017. Retrieved January 25, 2018.
  367. ^ Stein, Stuart G.; Schaberg, Richard A.; Biddle, Laura R., eds. (June 23, 2015). Financial institutions answer book, 2015 : law, governance, compliance. Practising Law Institute. ISBN 978-1-4024-2405-2. OCLC 911952833.
  368. ^ "Personal Information and Data Protection", Protecting Personal Information, Hart Publishing, 2019, doi:10.5040/9781509924882.ch-002, ISBN 978-1-5099-2485-1, S2CID 239275871, retrieved June 5, 2021
  369. ^ Chapter 5. An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in certain circumstances, by providing for the use of electronic means to communicate or record information or transactions and by amending the Canada Evidence Act, the Statutory Instruments Act and the Statute Revision Act. Queen's Printer for Canada. 2000. OCLC 61417862.
  370. ^ "Comments". Statute Law Review. 5 (1): 184–188. 1984. doi:10.1093/slr/5.1.184. ISSN 0144-3593.
  371. ^ "Personal Information Protection and Electronic Documents Act" (PDF). Canadian Minister of Justice. Retrieved January 25, 2018.
  372. ^ Werner, Martin (May 11, 2011). "Privacy-protected communication for location-based services". Security and Communication Networks. 9 (2): 130–138. doi:10.1002/sec.330. ISSN 1939-0114.
  373. ^ "Regulation for the Assurance of Confidentiality in Electronic Communications" (PDF). Government Gazette of the Hellenic Republic. Hellenic Authority for Communication Security and Privacy. November 17, 2011. Archived from the original (PDF) on June 25, 2013. Retrieved January 25, 2018.
  374. ^ de Guise, Preston (April 29, 2020), "Security, Privacy, Ethical, and Legal Considerations", Data Protection, Auerbach Publications, pp. 91–108, doi:10.1201/9780367463496-9, ISBN 978-0-367-46349-6, S2CID 219013948, retrieved June 5, 2021
  375. ^ "Αριθμ. απόφ. 205/2013" (PDF). Government Gazette of the Hellenic Republic. Hellenic Authority for Communication Security and Privacy. July 15, 2013. Archived from the original (PDF) on February 4, 2019. Retrieved January 25, 2018.
  376. ^ Andersson and Reimers, 2019, CYBER SECURITY EMPLOYMENT POLICY AND WORKPLACE DEMAND IN THE U.S. GOVERNMENT, EDULEARN19 Proceedings, Publication year: 2019 Pages: 7858-7866 https://library.iated.org/view/ANDERSON2019CYB
  377. ^ "Definition of Security Culture". The Security Culture Framework. April 9, 2014. Archived from the original on January 27, 2019. Retrieved January 27, 2019.
  378. ^ Roer, Kai; Petric, Gregor (2017). The 2017 Security Culture Report - In depth insights into the human factor. CLTRe North America, Inc. pp. 42–43. ISBN 978-1544933948.
  379. ^ Akhtar, Salman, ed. (March 21, 2018). Good Feelings. Routledge. doi:10.4324/9780429475313. ISBN 9780429475313.
  380. ^ Anderson, D., Reimers, K. and Barretto, C. (March 2014). Post-Secondary Education Network Security: Results of Addressing the End-User Challenge.publication date Mar 11, 2014 publication description INTED2014 (International Technology, Education, and Development Conference)
  381. ^ a b Schlienger, Thomas; Teufel, Stephanie (December 2003). "Information security culture - from analysis to change". South African Computer Society (SAICSIT). 2003 (31): 46–52. hdl:10520/EJC27949.
  382. ^ "IISP Skills Framework". Archived from the original on March 15, 2014. Retrieved April 27, 2014.
  383. ^ "BSI-Standards". BSI. Archived from the original on December 3, 2013. Retrieved November 29, 2013.

Further reading

Bibliography

External links

Wikimedia Commons has media related to Information security.