La seguridad de la información es la práctica de proteger la información mitigando los riesgos de la información. Es parte de la gestión de riesgos de la información. [1] Por lo general, implica prevenir o reducir la probabilidad de acceso no autorizado o inapropiado a los datos o el uso, divulgación , interrupción, eliminación, corrupción, modificación, inspección, registro o devaluación ilegales de la información. También implica acciones destinadas a reducir los impactos adversos de tales incidentes. La información protegida puede tomar cualquier forma, por ejemplo, electrónica o física, tangible (por ejemplo, papeleo ) o intangible (por ejemplo, conocimiento ). [2] [3] El enfoque principal de la seguridad de la información es la protección equilibrada de la confidencialidad , integridad y disponibilidad de los datos (también conocida como la tríada "CIA") mientras se mantiene un enfoque en la implementación eficiente de políticas , todo ello sin obstaculizar la productividad de la organización . [4] Esto se logra en gran medida a través de un proceso de gestión de riesgos estructurado. [5]
Para estandarizar esta disciplina, académicos y profesionales colaboran para ofrecer orientación, políticas y estándares de la industria sobre contraseñas , software antivirus , firewalls , software de cifrado , responsabilidad legal , concientización y capacitación en seguridad, etc. [6] Esta estandarización puede ser impulsada además por una amplia variedad de leyes y regulaciones que afectan cómo se accede, procesa, almacena, transfiere y destruye los datos. [7]
Definición
A continuación se sugieren varias definiciones de seguridad de la información, resumidas de diferentes fuentes:
“Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota: Además, también pueden estar implicadas otras propiedades, como la autenticidad, la rendición de cuentas, la no repudio y la fiabilidad.” (ISO/IEC 27000:2018) [9]
“La protección de la información y de los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados, con el fin de garantizar la confidencialidad, integridad y disponibilidad.” (CNSS, 2010) [10]
"Garantiza que sólo los usuarios autorizados (confidencialidad) tengan acceso a información precisa y completa (integridad) cuando sea necesario (disponibilidad)". ( ISACA , 2008) [11] [ enlace roto ]
“La seguridad de la información es el proceso de proteger la propiedad intelectual de una organización” (Pipkin, 2000) [12]
“…la seguridad de la información es una disciplina de gestión de riesgos, cuyo trabajo es gestionar el costo del riesgo de la información para la empresa.” (McDermott y Geer, 2001) [13]
“Una sensación de seguridad bien informada de que los riesgos y controles de la información están en equilibrio”. (Anderson, J., 2003) [14]
“La seguridad de la información es la protección de la información y minimiza el riesgo de exponerla a terceros no autorizados” (Venter y Eloff, 2003) [15]
"La Seguridad de la Información es un área multidisciplinaria de estudio y actividad profesional que se ocupa del desarrollo e implementación de mecanismos de seguridad de todo tipo disponibles (técnicos, organizacionales, humanos y legales) con el fin de mantener la información en todas sus ubicaciones (dentro y fuera del perímetro de la organización) y, en consecuencia, los sistemas de información, donde la información se crea, procesa, almacena, transmite y destruye, libres de amenazas. [16]
La seguridad de la información y de los recursos de información mediante sistemas o dispositivos de telecomunicaciones significa proteger la información, los sistemas de información o los libros contra el acceso no autorizado, los daños, el robo o la destrucción (Kurose y Ross, 2010). [17]
Descripción general
En el centro de la seguridad de la información se encuentra la garantía de la información, el acto de mantener la confidencialidad, integridad y disponibilidad (CIA) de la información, asegurando que la información no se vea comprometida de ninguna manera cuando surjan problemas críticos. [18] Estos problemas incluyen, entre otros, desastres naturales, mal funcionamiento de computadoras/servidores y robo físico. Si bien las operaciones comerciales basadas en papel aún prevalecen, lo que requiere su propio conjunto de prácticas de seguridad de la información, las iniciativas digitales empresariales están recibiendo cada vez más énfasis, [19] [20] y la garantía de la información ahora generalmente está a cargo de especialistas en seguridad de tecnología de la información (TI). Estos especialistas aplican la seguridad de la información a la tecnología (la mayoría de las veces, alguna forma de sistema informático). Vale la pena señalar que una computadora no necesariamente significa una computadora de escritorio doméstica. [21] Una computadora es cualquier dispositivo con un procesador y algo de memoria. Dichos dispositivos pueden variar desde dispositivos independientes sin red tan simples como calculadoras, hasta dispositivos informáticos móviles en red como teléfonos inteligentes y tabletas. [22] Casi siempre se encuentran especialistas en seguridad de TI en cualquier empresa/establecimiento importante debido a la naturaleza y el valor de los datos dentro de las empresas más grandes. [23] Son responsables de mantener toda la tecnología dentro de la empresa segura de ataques cibernéticos maliciosos que a menudo intentan adquirir información privada crítica o ganar el control de los sistemas internos. [24] [25]
Las amenazas a la seguridad de la información se presentan de muchas formas diferentes. [28] Algunas de las amenazas más comunes hoy en día son los ataques de software, el robo de propiedad intelectual, el robo de identidad, el robo de equipos o información, el sabotaje y la extorsión de información. [29] [30] Los virus , [31] los gusanos , los ataques de phishing y los caballos de Troya son algunos ejemplos comunes de ataques de software. El robo de propiedad intelectual también ha sido un problema extenso para muchas empresas. [32] El robo de identidad es el intento de actuar como otra persona generalmente para obtener la información personal de esa persona o aprovechar su acceso a información vital a través de la ingeniería social . [33] [34] El sabotaje generalmente consiste en la destrucción del sitio web de una organización en un intento de causar la pérdida de confianza por parte de sus clientes. [35] La extorsión de información consiste en el robo de la propiedad o información de una empresa como un intento de recibir un pago a cambio de devolver la información o propiedad a su propietario, como con el ransomware . [36] Una de las precauciones más funcionales contra estos ataques es realizar campañas periódicas de concientización de los usuarios. [37]
Los gobiernos , los militares , las corporaciones , las instituciones financieras , los hospitales , las organizaciones sin fines de lucro y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigaciones y estado financiero. [38] Si la información confidencial sobre los clientes o las finanzas de una empresa o una nueva línea de productos cayera en manos de un competidor o un pirata informático , una empresa y sus clientes podrían sufrir pérdidas financieras generalizadas e irreparables, así como daños a la reputación de la empresa. [39] Desde una perspectiva empresarial, la seguridad de la información debe equilibrarse con el costo; el modelo Gordon-Loeb proporciona un enfoque económico matemático para abordar esta preocupación. [40]
Para el individuo, la seguridad de la información tiene un efecto significativo en la privacidad , que se considera de manera muy diferente en las distintas culturas . [41]
Historia
Desde los primeros días de la comunicación, los diplomáticos y comandantes militares entendieron que era necesario proporcionar algún mecanismo para proteger la confidencialidad de la correspondencia y tener algunos medios para detectar manipulaciones . [42] A Julio César se le atribuye la invención del cifrado César c. 50 a. C., que fue creado para evitar que sus mensajes secretos fueran leídos si un mensaje caía en manos equivocadas. [43] Sin embargo, en su mayor parte la protección se logró mediante la aplicación de controles de manejo de procedimientos. [44] [45] La información confidencial se marcó para indicar que debía ser protegida y transportada por personas de confianza, custodiada y almacenada en un entorno seguro o una caja fuerte. [46] A medida que los servicios postales se expandieron, los gobiernos crearon organizaciones oficiales para interceptar, descifrar, leer y volver a sellar cartas (por ejemplo, la Oficina Secreta del Reino Unido, fundada en 1653 [47] ).
A mediados del siglo XIX se desarrollaron sistemas de clasificación más complejos para permitir a los gobiernos gestionar su información según el grado de sensibilidad. [48] Por ejemplo, el gobierno británico codificó esto, hasta cierto punto, con la publicación de la Ley de Secretos Oficiales en 1889. [49] La Sección 1 de la ley se refería al espionaje y las divulgaciones ilegales de información, mientras que la Sección 2 se ocupaba de las violaciones de la confianza oficial. [50] Pronto se añadió una defensa del interés público para defender las divulgaciones en interés del Estado. [51] En la India se aprobó una ley similar en 1889, la Ley de Secretos Oficiales de la India, que se asoció con la era colonial británica y se utilizó para tomar medidas enérgicas contra los periódicos que se oponían a las políticas del Raj. [52] En 1923 se aprobó una versión más nueva que se extendía a todos los asuntos de información confidencial o secreta para el gobierno. [53] En la época de la Primera Guerra Mundial , se utilizaban sistemas de clasificación de varios niveles para comunicar información hacia y desde varios frentes, lo que fomentó un mayor uso de secciones de creación y descifrado de códigos en las sedes diplomáticas y militares. [54] La codificación se volvió más sofisticada entre las guerras a medida que se empleaban máquinas para codificar y descifrar información. [55]
El establecimiento de la seguridad informática inauguró la historia de la seguridad de la información. La necesidad de esto apareció durante la Segunda Guerra Mundial . [56] El volumen de información compartida por los países aliados durante la Segunda Guerra Mundial requirió una alineación formal de los sistemas de clasificación y controles de procedimiento. [57] Una gama arcana de marcas evolucionó para indicar quién podía manejar documentos (generalmente oficiales en lugar de tropas alistadas) y dónde debían almacenarse a medida que se desarrollaban cajas fuertes e instalaciones de almacenamiento cada vez más complejas. [58] La máquina Enigma , que fue empleada por los alemanes para cifrar los datos de la guerra y fue descifrada con éxito por Alan Turing , puede considerarse un ejemplo sorprendente de creación y uso de información segura. [59] Los procedimientos evolucionaron para garantizar que los documentos se destruyeran correctamente, y fue el incumplimiento de estos procedimientos lo que llevó a algunos de los mayores golpes de inteligencia de la guerra (por ejemplo, la captura del U-570 [59] ).
En 1973, el pionero de Internet Robert Metcalfe descubrió que algunos elementos importantes de la seguridad de ARPANET tenían muchas fallas, como la "vulnerabilidad de la estructura y los formatos de las contraseñas; la falta de procedimientos de seguridad para las conexiones por acceso telefónico ; y la inexistencia de identificación y autorizaciones de usuarios", además de la falta de controles y salvaguardas para mantener los datos a salvo del acceso no autorizado. Los piratas informáticos tenían fácil acceso a ARPANET, ya que los números de teléfono eran conocidos por el público. [ 61] Debido a estos problemas, junto con la violación constante de la seguridad informática, así como el aumento exponencial en el número de hosts y usuarios del sistema, la "seguridad de la red" a menudo se denominaba "inseguridad de la red". [61]
A finales del siglo XX y principios del siglo XXI se produjeron rápidos avances en las telecomunicaciones , el hardware y el software informáticos y el cifrado de datos . [62] La disponibilidad de equipos informáticos más pequeños, más potentes y menos costosos hizo que el procesamiento electrónico de datos estuviera al alcance de las pequeñas empresas y los usuarios domésticos. [63] El establecimiento del Protocolo de control de transferencia/Protocolo de interconexión de redes (TCP/IP) a principios de la década de 1980 permitió que diferentes tipos de computadoras se comunicaran. [64] Estas computadoras rápidamente se interconectaron a través de Internet . [65]
El rápido crecimiento y el uso generalizado del procesamiento electrónico de datos y el comercio electrónico realizado a través de Internet, junto con numerosos casos de terrorismo internacional , alimentaron la necesidad de mejores métodos para proteger las computadoras y la información que almacenan, procesan y transmiten. [66] Las disciplinas académicas de seguridad informática y seguridad de la información surgieron junto con numerosas organizaciones profesionales, todas compartiendo los objetivos comunes de garantizar la seguridad y confiabilidad de los sistemas de información . [67]
Principios básicos
La tríada de la CIA
La "tríada CIA" de confidencialidad , integridad y disponibilidad es el núcleo de la seguridad de la información [68] y se mencionó por primera vez en una publicación del NIST en 1977. (Los miembros de la clásica "tríada CIA" se mencionan indistintamente en la literatura como atributos de seguridad, propiedades, objetivos de seguridad, aspectos fundamentales, criterios de información o características de información crítica). [69]
Se sigue debatiendo si esta tríada es suficiente o no para abordar los rápidos cambios tecnológicos y los requisitos comerciales, y se recomienda considerar la posibilidad de ampliar las intersecciones entre disponibilidad y confidencialidad, así como la relación entre seguridad y privacidad. [18] En ocasiones se han propuesto otros principios como la "rendición de cuentas"; se ha señalado que cuestiones como el no repudio no encajan bien en los tres conceptos básicos. [70]
Confidencialidad
En materia de seguridad de la información, la confidencialidad "es la propiedad de que la información no se ponga a disposición ni se divulgue a personas, entidades o procesos no autorizados". [71] Si bien son similares a "privacidad", las dos palabras no son intercambiables. Más bien, la confidencialidad es un componente de la privacidad que se implementa para proteger nuestros datos de los espectadores no autorizados. [72] Algunos ejemplos de confidencialidad de datos electrónicos que se ven comprometidos incluyen el robo de computadoras portátiles, el robo de contraseñas o el envío de correos electrónicos confidenciales a personas no autorizadas. [73]
Integridad
En seguridad informática, la integridad de los datos significa mantener y asegurar la precisión y completitud de los datos durante todo su ciclo de vida. [74] Esto significa que los datos no pueden modificarse de manera no autorizada o no detectada. [75] Esto no es lo mismo que la integridad referencial en bases de datos , aunque puede verse como un caso especial de consistencia como se entiende en el modelo ACID clásico de procesamiento de transacciones . [76] Los sistemas de seguridad de la información generalmente incorporan controles para asegurar su propia integridad, en particular protegiendo el núcleo o las funciones principales contra amenazas tanto deliberadas como accidentales. [77] Los sistemas informáticos multipropósito y multiusuario tienen como objetivo compartimentar los datos y el procesamiento de tal manera que ningún usuario o proceso pueda afectar negativamente a otro: sin embargo, los controles pueden no tener éxito, como vemos en incidentes como infecciones de malware, hackeos, robo de datos, fraude y violaciones de la privacidad. [78]
En términos más generales, la integridad es un principio de seguridad de la información que involucra la integridad humana/social, de procesos y comercial, así como la integridad de los datos. Como tal, afecta aspectos como la credibilidad, la coherencia, la veracidad, la integridad, la precisión, la puntualidad y la seguridad. [79]
Disponibilidad
Para que cualquier sistema de información cumpla su propósito, la información debe estar disponible cuando se la necesita. [80] Esto significa que los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerla y los canales de comunicación utilizados para acceder a ella deben funcionar correctamente. [81] Los sistemas de alta disponibilidad tienen como objetivo permanecer disponibles en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallas de hardware y actualizaciones del sistema. [82] Garantizar la disponibilidad también implica prevenir ataques de denegación de servicio , como una avalancha de mensajes entrantes al sistema de destino, lo que esencialmente lo obliga a apagarse. [83]
En el ámbito de la seguridad de la información, la disponibilidad puede verse a menudo como una de las partes más importantes de un programa de seguridad de la información exitoso. [ cita requerida ] En última instancia, los usuarios finales deben poder realizar funciones laborales; al garantizar la disponibilidad, una organización puede desempeñarse según los estándares que esperan las partes interesadas de una organización. [84] Esto puede involucrar temas como configuraciones de proxy, acceso web externo, la capacidad de acceder a unidades compartidas y la capacidad de enviar correos electrónicos. [85] Los ejecutivos a menudo no comprenden el lado técnico de la seguridad de la información y ven la disponibilidad como una solución fácil, pero esto a menudo requiere la colaboración de muchos equipos organizacionales diferentes, como operaciones de red, operaciones de desarrollo, respuesta a incidentes y gestión de políticas/cambios. [86] Un equipo de seguridad de la información exitoso involucra muchos roles clave diferentes para combinarse y alinearse para que la tríada "CIA" se proporcione de manera efectiva. [87]
Objetivos de seguridad adicionales
Además de la clásica tríada de objetivos de seguridad de la CIA, algunas organizaciones pueden querer incluir objetivos de seguridad como autenticidad, responsabilidad, no repudio y confiabilidad.
No repudio
En derecho, el no repudio implica la intención de cumplir con las obligaciones que le impone un contrato. También implica que una de las partes de una transacción no puede negar haber recibido una transacción, ni la otra parte puede negar haber enviado una transacción. [88]
Es importante señalar que, si bien la tecnología, como los sistemas criptográficos, pueden ayudar en los esfuerzos de no repudio, el concepto es en esencia un concepto legal que trasciende el ámbito de la tecnología. [89] Por ejemplo, no es suficiente demostrar que el mensaje coincide con una firma digital firmada con la clave privada del remitente, y por lo tanto, solo el remitente podría haber enviado el mensaje, y nadie más podría haberlo alterado en tránsito ( integridad de los datos ). [90] El presunto remitente podría, a cambio, demostrar que el algoritmo de firma digital es vulnerable o defectuoso, o alegar o probar que su clave de firma ha sido comprometida. [91] La culpa de estas violaciones puede o no recaer en el remitente, y tales afirmaciones pueden o no eximir al remitente de responsabilidad, pero la afirmación invalidaría la afirmación de que la firma necesariamente prueba autenticidad e integridad. Como tal, el remitente puede repudiar el mensaje (porque la autenticidad y la integridad son requisitos previos para el no repudio). [92]
Otros modelos
En 1992 y revisadas en 2002, las Directrices de la OCDE para la seguridad de los sistemas y redes de información [93] propusieron los nueve principios generalmente aceptados: concientización , responsabilidad, respuesta, ética, democracia, evaluación de riesgos, diseño e implementación de seguridad, gestión de seguridad y reevaluación. [94] Sobre la base de estos, en 2004 los Principios de ingeniería para la seguridad de la tecnología de la información del NIST [70] propusieron 33 principios.
El riesgo es la probabilidad de que ocurra algo malo que cause daño a un activo de información (o la pérdida del activo). [97] Una vulnerabilidad es una debilidad que podría usarse para poner en peligro o causar daño a un activo de información. Una amenaza es cualquier cosa (causada por el hombre o por un acto de la naturaleza ) que tenga el potencial de causar daño. [98] La probabilidad de que una amenaza use una vulnerabilidad para causar daño crea un riesgo. Cuando una amenaza usa una vulnerabilidad para causar daño, tiene un impacto. [99] En el contexto de la seguridad de la información, el impacto es una pérdida de disponibilidad, integridad y confidencialidad, y posiblemente otras pérdidas (pérdida de ingresos, pérdida de vidas, pérdida de bienes inmuebles). [100]
El Manual de Revisión del Auditor Certificado de Sistemas de Información (CISA) de 2006 define la gestión de riesgos como "el proceso de identificar vulnerabilidades y amenazas a los recursos de información utilizados por una organización para alcanzar los objetivos de negocios, y decidir qué contramedidas , [101] si las hay, tomar para reducir el riesgo a un nivel aceptable, en función del valor del recurso de información para la organización". [102]
Hay dos cosas en esta definición que pueden necesitar alguna aclaración. En primer lugar, el proceso de gestión de riesgos es un proceso continuo e iterativo . Debe repetirse indefinidamente. El entorno empresarial cambia constantemente y surgen nuevas amenazas y vulnerabilidades todos los días. [103] En segundo lugar, la elección de contramedidas ( controles ) utilizadas para gestionar los riesgos debe lograr un equilibrio entre la productividad, el costo, la eficacia de la contramedida y el valor del activo de información que se está protegiendo. [104] Además, estos procesos tienen limitaciones ya que las violaciones de seguridad son generalmente raras y surgen en un contexto específico que puede no duplicarse fácilmente. [105] Por lo tanto, cualquier proceso y contramedida debe evaluarse en busca de vulnerabilidades. [106] No es posible identificar todos los riesgos, ni es posible eliminarlos todos. El riesgo restante se denomina "riesgo residual". [107]
La evaluación de riesgos la lleva a cabo un equipo de personas que tienen conocimiento de áreas específicas del negocio. [108] La composición del equipo puede variar con el tiempo a medida que se evalúan diferentes partes del negocio. [109] La evaluación puede utilizar un análisis cualitativo subjetivo basado en una opinión informada o, cuando se dispone de cifras en dólares confiables e información histórica, el análisis puede utilizar un análisis cuantitativo .
Las investigaciones han demostrado que el punto más vulnerable en la mayoría de los sistemas de información es el usuario, operador, diseñador u otro ser humano. [110] El Código de prácticas para la gestión de la seguridad de la información ISO/IEC 27002:2005 recomienda que se examine lo siguiente durante una evaluación de riesgos:
En términos generales, el proceso de gestión de riesgos consiste en: [111] [112]
Identificación de activos y estimación de su valor. Incluye: personas, edificios, hardware, software, datos (electrónicos, impresos, otros), suministros. [113]
Realizar una evaluación de amenazas . Incluya: actos de la naturaleza, actos de guerra, accidentes, actos maliciosos originados dentro o fuera de la organización. [114]
Calcular el impacto que cada amenaza tendría sobre cada activo. Utilizar análisis cualitativo o cuantitativo. [116]
Identificar, seleccionar e implementar controles apropiados. Proporcionar una respuesta proporcional. Considerar la productividad, la rentabilidad y el valor del activo. [117]
Evaluar la eficacia de las medidas de control. Asegurarse de que los controles proporcionen la protección necesaria en función de los costos sin una pérdida apreciable de productividad. [118]
En el caso de un riesgo determinado, la dirección puede optar por aceptarlo en función del valor relativamente bajo del activo, la frecuencia relativamente baja de ocurrencia y el impacto relativamente bajo en el negocio. [119] O bien, el liderazgo puede optar por mitigar el riesgo seleccionando e implementando medidas de control adecuadas para reducirlo. En algunos casos, el riesgo puede transferirse a otra empresa mediante la compra de un seguro o la subcontratación a otra empresa. [120] La realidad de algunos riesgos puede ser cuestionada. En tales casos, el liderazgo puede optar por negar el riesgo. [121]
Controles de seguridad
La selección e implementación de controles de seguridad adecuados ayudará inicialmente a una organización a reducir el riesgo a niveles aceptables. [122] La selección de controles debe seguir y basarse en la evaluación de riesgos. [123] Los controles pueden variar en naturaleza, pero fundamentalmente son formas de proteger la confidencialidad, integridad o disponibilidad de la información. La norma ISO/IEC 27001 ha definido controles en diferentes áreas. [124] Las organizaciones pueden implementar controles adicionales según los requisitos de la organización. [125] La norma ISO/IEC 27002 ofrece una guía para los estándares de seguridad de la información organizacional. [126]
Defensa en profundidad
La seguridad de la información debe proteger la información durante toda su vida útil, desde su creación inicial hasta su eliminación final. [127] La información debe protegerse tanto en movimiento como en reposo. Durante su vida útil, la información puede pasar por muchos sistemas de procesamiento de información diferentes y por muchas partes diferentes de los sistemas de procesamiento de información. [128] Existen muchas formas diferentes en que la información y los sistemas de información pueden verse amenazados. Para proteger completamente la información durante su vida útil, cada componente del sistema de procesamiento de información debe tener sus propios mecanismos de protección. [129] La construcción, superposición y superposición de medidas de seguridad se denomina "defensa en profundidad". [130] A diferencia de una cadena de metal, que es famosa por ser tan fuerte como su eslabón más débil, la estrategia de defensa en profundidad apunta a una estructura en la que, si una medida defensiva falla, otras medidas seguirán brindando protección. [131]
Recordemos la discusión anterior sobre los controles administrativos, los controles lógicos y los controles físicos. Los tres tipos de controles se pueden utilizar para formar la base sobre la cual construir una estrategia de defensa en profundidad. [132] Con este enfoque, la defensa en profundidad se puede conceptualizar como tres capas o planos distintos colocados uno sobre el otro. [133] Se puede obtener una visión adicional de la defensa en profundidad si se piensa que forma las capas de una cebolla, con los datos en el núcleo de la cebolla, las personas en la siguiente capa exterior de la cebolla y la seguridad de la red , la seguridad basada en el host y la seguridad de la aplicación formando las capas más externas de la cebolla. [134] Ambas perspectivas son igualmente válidas y cada una proporciona una valiosa visión de la implementación de una buena estrategia de defensa en profundidad. [135]
Clasificación
Un aspecto importante de la seguridad de la información y la gestión de riesgos es reconocer el valor de la información y definir los procedimientos y requisitos de protección adecuados para la información. [136] No toda la información es igual y, por lo tanto, no toda la información requiere el mismo grado de protección. [137] Esto requiere que se le asigne a la información una clasificación de seguridad . [138] El primer paso en la clasificación de la información es identificar a un miembro de la alta dirección como el propietario de la información particular que se va a clasificar. A continuación, se desarrolla una política de clasificación. [139] La política debe describir las diferentes etiquetas de clasificación, definir los criterios para que la información reciba una etiqueta particular y enumerar los controles de seguridad necesarios para cada clasificación. [140]
Algunos factores que influyen en la clasificación que se debe asignar a la información incluyen el valor que tiene esa información para la organización, la antigüedad de la información y si se ha vuelto obsoleta o no. [141] Las leyes y otros requisitos reglamentarios también son consideraciones importantes al clasificar la información. [142] La Asociación de Auditoría y Control de Sistemas de Información (ISACA) y su Modelo de Negocios para la Seguridad de la Información también sirven como una herramienta para que los profesionales de la seguridad examinen la seguridad desde una perspectiva de sistemas, creando un entorno donde la seguridad se puede gestionar de manera integral, lo que permite abordar los riesgos reales. [143]
El tipo de etiquetas de clasificación de seguridad de la información seleccionadas y utilizadas dependerá de la naturaleza de la organización, siendo algunos ejemplos: [140]
En el sector empresarial, etiquetas como: Público, Sensible, Privado, Confidencial.
En el sector gubernamental, etiquetas como: No clasificado, No oficial, Protegido, Confidencial, Secreto, Alto secreto y sus equivalentes en idiomas distintos del inglés. [144]
En las formaciones intersectoriales, el Protocolo Semáforo , que consta de: Blanco, Verde, Ámbar y Rojo.
En el sector personal, una etiqueta como Financiera. Esto incluye actividades relacionadas con la gestión del dinero, como la banca en línea. [145]
Todos los empleados de la organización, así como los socios comerciales, deben recibir capacitación sobre el esquema de clasificación y comprender los controles de seguridad y los procedimientos de manejo requeridos para cada clasificación. [146] La clasificación de un activo de información en particular que se haya asignado debe revisarse periódicamente para garantizar que la clasificación aún sea apropiada para la información y para garantizar que los controles de seguridad requeridos por la clasificación estén implementados y se sigan en sus procedimientos correctos. [147]
Control de acceso
El acceso a la información protegida debe estar restringido a las personas autorizadas a acceder a la información. [148] Los programas informáticos, y en muchos casos las computadoras que procesan la información, también deben estar autorizados. [149] Esto requiere que existan mecanismos para controlar el acceso a la información protegida. [149] La sofisticación de los mecanismos de control de acceso debe estar a la par con el valor de la información que se está protegiendo; cuanto más sensible o valiosa sea la información, más fuertes deben ser los mecanismos de control. [150] La base sobre la que se construyen los mecanismos de control de acceso comienza con la identificación y la autenticación . [151]
El control de acceso generalmente se considera en tres pasos: identificación, autenticación y autorización . [152] [73]
Identificación
La identificación es una afirmación de quién es alguien o qué es algo. Si una persona dice "Hola, mi nombre es John Doe ", está afirmando quién es. [153] Sin embargo, su afirmación puede ser verdadera o no. Antes de que se le pueda conceder a John Doe acceso a información protegida, será necesario verificar que la persona que afirma ser John Doe realmente lo es. [154] Normalmente, la afirmación se realiza en forma de nombre de usuario. Al ingresar ese nombre de usuario, usted está afirmando "Soy la persona a la que pertenece el nombre de usuario". [155]
Autenticación
La autenticación es el acto de verificar una afirmación de identidad. Cuando John Doe va a un banco para hacer un retiro, le dice al cajero que es John Doe, una afirmación de identidad. [156] El cajero del banco le pide ver una identificación con fotografía, por lo que le entrega al cajero su licencia de conducir . [157] El cajero del banco verifica la licencia para asegurarse de que tenga impreso John Doe y compara la fotografía de la licencia con la de la persona que dice ser John Doe. [158] Si la foto y el nombre coinciden con la persona, entonces el cajero ha autenticado que John Doe es quien dice ser. De manera similar, al ingresar la contraseña correcta, el usuario proporciona evidencia de que es la persona a la que pertenece el nombre de usuario. [159]
Hay tres tipos diferentes de información que se pueden utilizar para la autenticación: [160] [161]
La autenticación fuerte requiere proporcionar más de un tipo de información de autenticación (autenticación de dos factores). [167] El nombre de usuario es la forma más común de identificación en los sistemas informáticos actuales y la contraseña es la forma más común de autenticación. [168] Los nombres de usuario y las contraseñas han cumplido su propósito, pero son cada vez más inadecuados. [169] Los nombres de usuario y las contraseñas están siendo reemplazados o complementados lentamente con mecanismos de autenticación más sofisticados, como algoritmos de contraseñas de un solo uso basados en el tiempo . [170]
Autorización
Una vez que se ha identificado y autenticado con éxito a una persona, un programa o una computadora, se debe determinar a qué recursos de información se les permite acceder y qué acciones se les permitirá realizar (ejecutar, ver, crear, eliminar o cambiar). [171] Esto se llama autorización . La autorización para acceder a la información y otros servicios informáticos comienza con políticas y procedimientos administrativos. [172] Las políticas prescriben a qué información y servicios informáticos se puede acceder, quién puede acceder a ellos y bajo qué condiciones. Luego, se configuran los mecanismos de control de acceso para hacer cumplir estas políticas. [173] Los diferentes sistemas informáticos están equipados con diferentes tipos de mecanismos de control de acceso. Algunos incluso pueden ofrecer una selección de diferentes mecanismos de control de acceso. [174] El mecanismo de control de acceso que ofrece un sistema se basará en uno de los tres enfoques de control de acceso, o puede derivarse de una combinación de los tres enfoques. [73]
El enfoque no discrecional consolida todo el control de acceso bajo una administración centralizada. [175] El acceso a la información y otros recursos se basa generalmente en la función (rol) de los individuos en la organización o las tareas que el individuo debe realizar. [176] [177] El enfoque discrecional otorga al creador o propietario del recurso de información la capacidad de controlar el acceso a esos recursos. [175] En el enfoque de control de acceso obligatorio, el acceso se concede o deniega en función de la clasificación de seguridad asignada al recurso de información. [148]
Para ser eficaces, las políticas y otros controles de seguridad deben ser ejecutables y respetables. Las políticas eficaces garantizan que las personas rindan cuentas de sus acciones. [180] Las directrices del Departamento del Tesoro de los Estados Unidos para los sistemas que procesan información confidencial o de propiedad exclusiva, por ejemplo, establecen que todos los intentos de autenticación y acceso, tanto fallidos como exitosos, deben registrarse, y que todo acceso a la información debe dejar algún tipo de rastro de auditoría . [181]
Además, el principio de necesidad de saber debe estar en vigor cuando se habla de control de acceso. Este principio otorga derechos de acceso a una persona para realizar sus funciones laborales. [182] Este principio se utiliza en el gobierno cuando se trata de autorizaciones diferentes. [183] Aunque dos empleados de diferentes departamentos tengan una autorización de alto secreto , deben tener una necesidad de saber para poder intercambiar información. Dentro del principio de necesidad de saber, los administradores de red otorgan al empleado la menor cantidad de privilegios para evitar que los empleados accedan a más de lo que se supone que deben. [184] La necesidad de saber ayuda a hacer cumplir la tríada de confidencialidad-integridad-disponibilidad. La necesidad de saber afecta directamente el área confidencial de la tríada. [185]
Criptografía
La seguridad de la información utiliza la criptografía para transformar la información utilizable en una forma que la hace inutilizable para cualquier persona que no sea un usuario autorizado; este proceso se llama cifrado . [186] La información que ha sido cifrada (hecha inutilizable) puede ser transformada de nuevo a su forma utilizable original por un usuario autorizado que posee la clave criptográfica , a través del proceso de descifrado. [187] La criptografía se utiliza en la seguridad de la información para proteger la información de la divulgación no autorizada o accidental mientras la información está en tránsito (ya sea electrónica o físicamente) y mientras la información está almacenada. [73]
La criptografía proporciona seguridad de la información con otras aplicaciones útiles también, incluyendo métodos de autenticación mejorados, resúmenes de mensajes, firmas digitales, no repudio y comunicaciones de red cifradas. [188] Las aplicaciones más antiguas y menos seguras como Telnet y el Protocolo de Transferencia de Archivos (FTP) están siendo reemplazadas lentamente por aplicaciones más seguras como Secure Shell (SSH) que utilizan comunicaciones de red cifradas. [189] Las comunicaciones inalámbricas se pueden cifrar utilizando protocolos como WPA/WPA2 o el más antiguo (y menos seguro) WEP . Las comunicaciones por cable (como ITU-T G.hn ) se protegen utilizando AES para el cifrado y X.1035 para la autenticación y el intercambio de claves. [190] Las aplicaciones de software como GnuPG o PGP se pueden utilizar para cifrar archivos de datos y correo electrónico. [191]
La criptografía puede introducir problemas de seguridad cuando no se implementa correctamente. [192] Las soluciones criptográficas deben implementarse utilizando soluciones aceptadas por la industria que hayan sido sometidas a una rigurosa revisión por pares por parte de expertos independientes en criptografía. [193] La longitud y la fuerza de la clave de cifrado también es una consideración importante. [194] Una clave que sea débil o demasiado corta producirá un cifrado débil . [194] Las claves utilizadas para el cifrado y descifrado deben protegerse con el mismo grado de rigor que cualquier otra información confidencial. [195] Deben protegerse de la divulgación y destrucción no autorizadas, y deben estar disponibles cuando sea necesario. [ cita requerida ] Las soluciones de infraestructura de clave pública (PKI) abordan muchos de los problemas que rodean la gestión de claves . [73]
Proceso
Los términos "persona razonable y prudente", " debida diligencia " y "debida diligencia" se han utilizado en los campos de las finanzas, los valores y el derecho durante muchos años. En los últimos años, estos términos han encontrado su lugar en los campos de la informática y la seguridad de la información. [112] Las Directrices Federales de Sentencias de los Estados Unidos ahora permiten responsabilizar a los ejecutivos corporativos por no ejercer la debida diligencia y cuidado en la gestión de sus sistemas de información. [196]
En el mundo de los negocios, los accionistas, clientes, socios comerciales y gobiernos esperan que los directivos de la empresa dirijan la empresa de acuerdo con las prácticas comerciales aceptadas y en cumplimiento de las leyes y otros requisitos reglamentarios. Esto se suele describir como la regla de la "persona razonable y prudente". Una persona prudente toma el debido cuidado para garantizar que se haga todo lo necesario para operar la empresa según principios comerciales sólidos y de manera legal y ética. Una persona prudente también es diligente (consciente, atenta, constante) en el debido cuidado de la empresa.
En el campo de la seguridad de la información, Harris [197]
ofrece las siguientes definiciones de debido cuidado y debida diligencia:
“El debido cuidado son las medidas que se toman para demostrar que una empresa ha asumido la responsabilidad de las actividades que se llevan a cabo dentro de la corporación y ha tomado las medidas necesarias para ayudar a proteger a la empresa, sus recursos y sus empleados [198] ”. Y, [La debida diligencia son las] “actividades continuas que garantizan que los mecanismos de protección se mantengan y estén en funcionamiento de forma continua”. [199]
En estas definiciones se debe prestar atención a dos puntos importantes. [200] [201] En primer lugar, en la debida diligencia, se toman medidas para demostrar; esto significa que las medidas se pueden verificar, medir o incluso producir artefactos tangibles. [202] [203] En segundo lugar, en la debida diligencia, hay actividades continuas; esto significa que las personas están realmente haciendo cosas para monitorear y mantener los mecanismos de protección, y estas actividades son continuas. [204]
Las organizaciones tienen la responsabilidad de practicar el deber de cuidado al aplicar la seguridad de la información. La Norma de Análisis de Riesgos del Deber de Cuidado (DoCRA) [205] proporciona principios y prácticas para evaluar el riesgo. [206] Considera a todas las partes que podrían verse afectadas por esos riesgos. [207] DoCRA ayuda a evaluar las salvaguardas si son adecuadas para proteger a otros de daños y al mismo tiempo presentar una carga razonable. [208] Con el aumento de los litigios por violación de datos, las empresas deben equilibrar los controles de seguridad, el cumplimiento y su misión. [209]
Planes de respuesta a incidentes
La gestión de incidentes de seguridad informática es una forma especializada de gestión de incidentes centrada en supervisar, detectar y responder a eventos de seguridad en computadoras y redes de una manera predecible. [210]
Las organizaciones implementan esto a través de planes de respuesta a incidentes (IRP) que se activan cuando se detectan violaciones de seguridad. [211] Estos planes generalmente involucran un equipo de respuesta a incidentes (IRT) con habilidades especializadas en áreas como pruebas de penetración, informática forense y seguridad de red. [212]
Gestión del cambio
La gestión de cambios es un proceso formal para dirigir y controlar las modificaciones del entorno de procesamiento de la información. [213] [214] Esto incluye modificaciones en las computadoras de escritorio, la red, los servidores y el software. [215] Los objetivos de la gestión de cambios son reducir los riesgos que plantean los cambios en el entorno de procesamiento de la información y mejorar la estabilidad y la confiabilidad del entorno de procesamiento a medida que se realizan los cambios. [216] El objetivo de la gestión de cambios no es prevenir ni obstaculizar la implementación de los cambios necesarios. [217] [218]
Cualquier cambio en el entorno de procesamiento de información introduce un elemento de riesgo. [219] Incluso cambios aparentemente simples pueden tener efectos inesperados. [220] Una de las muchas responsabilidades de la gerencia es la gestión del riesgo. [221] [222] La gestión del cambio es una herramienta para gestionar los riesgos introducidos por los cambios en el entorno de procesamiento de información. [223] Parte del proceso de gestión del cambio asegura que los cambios no se implementen en momentos inoportunos cuando pueden interrumpir procesos comerciales críticos o interferir con otros cambios que se estén implementando. [224]
No todos los cambios necesitan ser gestionados. [225] [226] Algunos tipos de cambios son parte de la rutina diaria del procesamiento de información y se adhieren a un procedimiento predefinido, lo que reduce el nivel general de riesgo para el entorno de procesamiento. [227] Crear una nueva cuenta de usuario o implementar una nueva computadora de escritorio son ejemplos de cambios que generalmente no requieren gestión de cambios. [228] Sin embargo, reubicar los recursos compartidos de archivos de usuario o actualizar el servidor de correo electrónico plantean un nivel mucho más alto de riesgo para el entorno de procesamiento y no son una actividad diaria normal. [229] Los primeros pasos críticos en la gestión de cambios son (a) definir el cambio (y comunicar esa definición) y (b) definir el alcance del sistema de cambio. [230]
La gestión de cambios suele estar supervisada por un comité de revisión de cambios compuesto por representantes de las áreas clave de la empresa, [231] seguridad, redes, administradores de sistemas, administración de bases de datos, desarrolladores de aplicaciones, soporte de escritorio y el servicio de asistencia. [232] Las tareas del comité de revisión de cambios se pueden facilitar con el uso de una aplicación de flujo de trabajo automatizado. [233] La responsabilidad del comité de revisión de cambios es garantizar que se sigan los procedimientos de gestión de cambios documentados de la organización. [234] El proceso de gestión de cambios es el siguiente: [235]
Solicitud : Cualquier persona puede solicitar un cambio. [236] [237] La persona que realiza la solicitud de cambio puede o no ser la misma persona que realiza el análisis o implementa el cambio. [238] [239] Cuando se recibe una solicitud de cambio, puede someterse a una revisión preliminar para determinar si el cambio solicitado es compatible con el modelo de negocios y las prácticas de la organización, y para determinar la cantidad de recursos necesarios para implementar el cambio. [240]
Aprobar : La gerencia dirige el negocio y controla la asignación de recursos, por lo tanto, la gerencia debe aprobar las solicitudes de cambios y asignar una prioridad para cada cambio. [241] La gerencia puede optar por rechazar una solicitud de cambio si el cambio no es compatible con el modelo de negocio, los estándares de la industria o las mejores prácticas. [242] [243] La gerencia también puede optar por rechazar una solicitud de cambio si el cambio requiere más recursos de los que se pueden asignar para el cambio. [244]
Planificar : Planificar un cambio implica descubrir el alcance y el impacto del cambio propuesto; analizar la complejidad del cambio; asignar recursos y desarrollar, probar y documentar planes de implementación y de reversión. [245] Es necesario definir los criterios sobre los cuales se tomará la decisión de revertir el cambio. [246]
Prueba : Cada cambio debe probarse en un entorno de prueba seguro, que refleje fielmente el entorno de producción real, antes de que el cambio se aplique al entorno de producción. [247] El plan de retroceso también debe probarse. [248]
Programación : Parte de la responsabilidad del comité de revisión de cambios es ayudar en la programación de los cambios revisando la fecha de implementación propuesta para detectar posibles conflictos con otros cambios programados o actividades comerciales críticas. [249]
Comunicar : Una vez que se ha programado un cambio, se debe comunicar. [250] La comunicación es para dar a otros la oportunidad de recordarle al comité de revisión de cambios sobre otros cambios o actividades comerciales críticas que podrían haberse pasado por alto al programar el cambio. [251] La comunicación también sirve para que el servicio de asistencia y los usuarios sepan que un cambio está a punto de ocurrir. [252] Otra responsabilidad del comité de revisión de cambios es asegurar que los cambios programados se hayan comunicado correctamente a aquellos que se verán afectados por el cambio o que de otra manera tengan un interés en el cambio. [253] [254]
Implementar : En la fecha y hora establecidas, los cambios deben implementarse. [255] [256] Parte del proceso de planificación fue desarrollar un plan de implementación, un plan de prueba y un plan de reversión. [257] [258] Si la implementación del cambio falla o la prueba posterior a la implementación falla o se cumplen otros criterios de "desastre", se debe implementar el plan de reversión. [259]
Documento : Todos los cambios deben estar documentados. [260] [261] La documentación incluye la solicitud inicial de cambio, su aprobación, la prioridad asignada a la misma, la implementación, [262] los planes de prueba y de reversión, los resultados de la crítica del comité de revisión de cambios, la fecha y hora en que se implementó el cambio, [263] quién lo implementó y si el cambio se implementó con éxito, falló o se pospuso. [264] [265]
Revisión posterior a los cambios : el comité de revisión de cambios debe realizar una revisión de los cambios posterior a la implementación. [266] Es particularmente importante revisar los cambios fallidos y los que se han cancelado. El comité de revisión debe tratar de comprender los problemas que se encontraron y buscar áreas de mejora. [266]
Los procedimientos de gestión de cambios que son fáciles de seguir y de usar pueden reducir en gran medida los riesgos generales que se crean cuando se realizan cambios en el entorno de procesamiento de información. [267] Los buenos procedimientos de gestión de cambios mejoran la calidad general y el éxito de los cambios a medida que se implementan. [268] Esto se logra mediante la planificación, la revisión por pares, la documentación y la comunicación. [269]
Las normas ISO/IEC 20000 , The Visible OPS Handbook: Implementing ITIL in 4 Practical and Auditable Steps [270] (Resumen completo del libro), [271] e ITIL brindan una valiosa guía para implementar un programa de gestión de cambios de seguridad de la información eficiente y eficaz. [272]
Continuidad del negocio
La gestión de la continuidad del negocio ( BCM ) se refiere a los acuerdos destinados a proteger las funciones críticas de negocio de una organización de interrupciones debido a incidentes, o al menos minimizar los efectos. [273] [274] BCM es esencial para cualquier organización para mantener la tecnología y el negocio en línea con las amenazas actuales a la continuidad del negocio como de costumbre. [275] El BCM debe incluirse en un plan de análisis de riesgos de las organizaciones para garantizar que todas las funciones comerciales necesarias tengan lo que necesitan para seguir funcionando en caso de cualquier tipo de amenaza a cualquier función comercial. [276]
Abarca:
Análisis de requisitos, por ejemplo, identificación de funciones críticas del negocio, dependencias y posibles puntos de falla, amenazas potenciales y, por lo tanto, incidentes o riesgos que preocupan a la organización; [277] [278]
Especificación, por ejemplo, períodos máximos tolerables de interrupción; objetivos de punto de recuperación (períodos máximos aceptables de pérdida de datos); [279]
Arquitectura y diseño, por ejemplo, una combinación apropiada de enfoques que incluyan resiliencia (por ejemplo, ingeniería de sistemas y procesos de TI para alta disponibilidad, [280] evitando o previniendo situaciones que podrían interrumpir el negocio), gestión de incidentes y emergencias (por ejemplo, evacuación de instalaciones, llamada a los servicios de emergencia, evaluación de triaje/situación [281] e invocación de planes de recuperación), recuperación (por ejemplo, reconstrucción) y gestión de contingencias (capacidades genéricas para lidiar positivamente con lo que ocurra utilizando los recursos disponibles); [282]
Implementación, por ejemplo, configurar y programar copias de seguridad, transferencias de datos, etc., duplicar y reforzar elementos críticos; contratación con proveedores de servicios y equipos;
Pruebas, por ejemplo, de ejercicios de continuidad de negocio de diversos tipos, costos y niveles de garantía; [283]
Gestión, por ejemplo, definir estrategias, establecer objetivos y metas; planificar y dirigir el trabajo; asignar fondos, personas y otros recursos; priorizar en relación con otras actividades; formación de equipos, liderazgo, control, motivación y coordinación con otras funciones y actividades empresariales [284] (por ejemplo, TI, instalaciones, recursos humanos, gestión de riesgos, riesgo y seguridad de la información, operaciones); supervisar la situación, verificar y actualizar los acuerdos cuando las cosas cambian; madurar el enfoque a través de la mejora continua, el aprendizaje y la inversión adecuada; [ cita requerida ]
Garantía, por ejemplo, realizar pruebas frente a requisitos específicos; medir, analizar e informar parámetros clave; realizar pruebas, revisiones y auditorías adicionales para tener mayor confianza en que los acuerdos se realizarán según lo planeado si se invocan. [285]
Mientras que el BCM adopta un enfoque amplio para minimizar los riesgos relacionados con los desastres al reducir tanto la probabilidad como la gravedad de los incidentes, un plan de recuperación de desastres (DRP) se centra específicamente en reanudar las operaciones comerciales lo más rápidamente posible después de un desastre. [286] Un plan de recuperación de desastres, invocado poco después de que ocurre un desastre, establece los pasos necesarios para recuperar la infraestructura crítica de tecnología de la información y las comunicaciones (ICT). [287] La planificación de la recuperación de desastres incluye el establecimiento de un grupo de planificación, la realización de una evaluación de riesgos, el establecimiento de prioridades, el desarrollo de estrategias de recuperación, la preparación de inventarios y la documentación del plan, el desarrollo de criterios y procedimientos de verificación y, por último, la implementación del plan. [288]
Leyes y reglamentos
A continuación se presenta una lista parcial de leyes y regulaciones gubernamentales en varias partes del mundo que tienen, tuvieron o tendrán un efecto significativo en el procesamiento de datos y la seguridad de la información. [289] [290] También se han incluido regulaciones importantes del sector industrial cuando tienen un impacto significativo en la seguridad de la información. [289]
La Ley de Protección de Datos del Reino Unido de 1998 establece nuevas disposiciones para la regulación del procesamiento de información relacionada con individuos, incluyendo la obtención, retención, uso o divulgación de dicha información. [291] [292] La Directiva de Protección de Datos de la Unión Europea (EUDPD) requiere que todos los miembros de la UE adopten regulaciones nacionales para estandarizar la protección de la privacidad de los datos de los ciudadanos en toda la UE [293] [294]
La Ley de 1990 sobre el uso indebido de computadoras es una ley del Parlamento del Reino Unido que convierte los delitos informáticos (por ejemplo, la piratería informática) en un delito penal. [295] La ley se ha convertido en un modelo en el que se han inspirado varios otros países, [296] incluidos Canadá e Irlanda , para posteriormente redactar sus propias leyes de seguridad de la información. [297] [298]
La Directiva de retención de datos de la UE (anulada) requería que los proveedores de servicios de Internet y las compañías telefónicas conservaran los datos de cada mensaje electrónico enviado y cada llamada telefónica realizada durante un período de entre seis meses y dos años. [299]
La Ley de Derechos Educativos y Privacidad de la Familia (FERPA) ( 20 USC § 1232 g; 34 CFR Parte 99) es una ley federal de los EE. UU. que protege la privacidad de los registros educativos de los estudiantes. [300] La ley se aplica a todas las escuelas que reciben fondos bajo un programa aplicable del Departamento de Educación de los EE . UU . [301] Generalmente, las escuelas deben tener permiso por escrito del padre o del estudiante elegible [301] [302] para divulgar cualquier información del registro educativo de un estudiante. [303]
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de 1996 exige la adopción de normas nacionales para las transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de seguro médico y empleadores. [305] Además, exige que los proveedores de atención médica, los proveedores de seguros y los empleadores protejan la seguridad y la privacidad de los datos de salud. [306]
La Ley Gramm–Leach–Bliley de 1999 (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, protege la privacidad y la seguridad de la información financiera privada que las instituciones financieras recopilan, conservan y procesan. [307]
La Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX) exige que las empresas que cotizan en bolsa evalúen la eficacia de sus controles internos para la presentación de informes financieros en los informes anuales que presentan al final de cada ejercicio fiscal. [308] Los directores de información son responsables de la seguridad, la precisión y la fiabilidad de los sistemas que gestionan y comunican los datos financieros. [309] La ley también exige que las empresas que cotizan en bolsa contraten a auditores independientes que deben dar fe de la validez de sus evaluaciones e informar sobre ellas. [310]
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) establece requisitos integrales para mejorar la seguridad de los datos de las cuentas de pago. [311] Fue desarrollado por las marcas de pago fundadoras del PCI Security Standards Council —incluyendo American Express , Discover Financial Services , JCB, MasterCard Worldwide, [312] y Visa International— para ayudar a facilitar la adopción amplia de medidas de seguridad de datos consistentes a nivel mundial. [313] El PCI DSS es un estándar de seguridad multifacético que incluye requisitos para la gestión de seguridad, políticas, procedimientos, arquitectura de red , diseño de software y otras medidas de protección críticas. [314]
Las leyes de notificación de violaciones de seguridad estatales (California y muchos otros) requieren que las empresas, las organizaciones sin fines de lucro y las instituciones estatales notifiquen a los consumidores cuando la "información personal" no cifrada pueda haber sido comprometida, perdida o robada. [315]
La Ley de Protección de la Información Personal y de los Documentos Electrónicos ( PIPEDA ) de Canadá apoya y promueve el comercio electrónico al proteger la información personal que se recopila, utiliza o divulga en determinadas circunstancias, [316] [317] al prever el uso de medios electrónicos para comunicar o registrar información o transacciones y al modificar la Ley de Pruebas de Canadá , la Ley de Instrumentos Estatutarios y la Ley de Revisión de la Ley. [318] [319] [320]
La Autoridad Helénica para la Seguridad de las Comunicaciones y la Privacidad (ADAE) de Grecia (Ley 165/2011) establece y describe los controles mínimos de seguridad de la información que debe implementar toda empresa que proporcione redes y/o servicios de comunicaciones electrónicas en Grecia para proteger la confidencialidad de los clientes. [321] Estos incluyen controles tanto de gestión como técnicos (por ejemplo, los registros de registro deben almacenarse durante dos años). [322]
La Autoridad Helénica para la Seguridad de las Comunicaciones y la Privacidad (ADAE) de Grecia (Ley 205/2013) se concentra en la protección de la integridad y disponibilidad de los servicios y datos ofrecidos por las empresas de telecomunicaciones griegas. [323] La ley obliga a estas y otras empresas relacionadas a construir, implementar y probar planes de continuidad de negocios adecuados e infraestructuras redundantes. [324]
En 2004, el Departamento de Defensa de los Estados Unidos (DoD) emitió la Directiva DoD 8570, complementada por la Directiva DoD 8140, que exige que todos los empleados del DoD y todo el personal contratado del DoD que participe en funciones y actividades de garantía de la información obtengan y mantengan diversas certificaciones de tecnología de la información (TI) en un esfuerzo por garantizar que todo el personal del DoD involucrado en la defensa de la infraestructura de la red tenga niveles mínimos de conocimientos, habilidades y capacidades (KSA) reconocidos por la industria de TI. Andersson y Reimers (2019) informan que estas certificaciones van desde A+ y Security+ de CompTIA hasta CISSP de ICS2.org, etc. [325]
Cultura
La cultura de seguridad de la información no solo describe la conciencia de seguridad de los empleados, sino que también incluye las ideas, costumbres y comportamientos sociales de una organización que afectan la seguridad de la información de manera positiva y negativa. [326] Los conceptos culturales pueden ayudar a que los diferentes segmentos de la organización trabajen de manera eficaz o en contra de la eficacia en materia de seguridad de la información dentro de una organización. La forma en que los empleados piensan y sienten sobre la seguridad y las acciones que toman pueden tener un gran impacto en la seguridad de la información en las organizaciones. Roer y Petric (2017) identifican siete dimensiones fundamentales de la cultura de seguridad de la información en las organizaciones: [327]
Actitudes: sentimientos y emociones de los empleados sobre las diversas actividades relacionadas con la seguridad de la información organizacional. [328]
Comportamientos: actividades reales o previstas y acciones de toma de riesgos de los empleados que tienen un impacto directo o indirecto en la seguridad de la información.
Cognición: conciencia, conocimiento verificable y creencias de los empleados respecto de las prácticas, actividades y relación de autoeficacia relacionadas con la seguridad de la información.
Comunicación: formas en que los empleados se comunican entre sí, sentido de pertenencia, apoyo para cuestiones de seguridad y reporte de incidentes.
Cumplimiento: adhesión a las políticas de seguridad de la organización, conocimiento de la existencia de dichas políticas y capacidad de recordar el contenido de dichas políticas.
Normas: percepciones de la conducta y las prácticas organizacionales relacionadas con la seguridad que los empleados y sus pares consideran informalmente normales o anormales, por ejemplo, expectativas ocultas con respecto a los comportamientos de seguridad y reglas no escritas sobre los usos de las tecnologías de la información y la comunicación.
Responsabilidades: comprensión por parte de los empleados de los roles y responsabilidades que tienen como factor crítico para mantener o poner en peligro la seguridad de la información y, por ende, de la organización.
Andersson y Reimers (2014) descubrieron que los empleados a menudo no se ven a sí mismos como parte del "esfuerzo" de seguridad de la información de la organización y a menudo toman medidas que ignoran los mejores intereses de seguridad de la información de la organización. [329] La investigación muestra que la cultura de seguridad de la información debe mejorarse continuamente. En Information Security Culture from Analysis to Change , los autores comentaron: "Es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento". Para gestionar la cultura de seguridad de la información, se deben seguir cinco pasos: preevaluación, planificación estratégica, planificación operativa, implementación y postevaluación. [330]
Preevaluación: para identificar el nivel de conciencia sobre seguridad de la información entre los empleados y analizar la política de seguridad actual.
Planificación estratégica: para elaborar un mejor programa de concienciación, debemos establecer objetivos claros. Agrupar a las personas es útil para lograrlo.
Planificación operativa: crear una buena cultura de seguridad basada en la comunicación interna, la aceptación de la dirección, la concienciación sobre la seguridad y los programas de formación.
Implementación: debe incluir el compromiso de la gerencia, la comunicación con los miembros de la organización, cursos para todos los miembros de la organización y el compromiso de los empleados [330]
Evaluación posterior: para evaluar mejor la eficacia de los pasos anteriores y aprovechar la mejora continua
Normas de seguridad de la información
Los estándares de seguridad de la información (también estándares de seguridad cibernética [331] ) son técnicas generalmente descritas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. [332] Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información almacenada o en tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.
El objetivo principal es reducir los riesgos, incluida la prevención o mitigación de los ciberataques . Estos materiales publicados incluyen herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, enfoques de gestión de riesgos, acciones, formación, mejores prácticas, garantías y tecnologías.
^ Joshi, Chanchala; Singh, Umesh Kumar (agosto de 2017). "Marco de gestión de riesgos de seguridad de la información: un paso hacia la mitigación de los riesgos de seguridad en la red universitaria". Revista de seguridad de la información y aplicaciones . 35 : 128–137. doi :10.1016/j.jisa.2017.06.006. ISSN 2214-2126.
^ Daniel, Kent; Titman, Sheridan (agosto de 2006). "Reacciones del mercado a la información tangible e intangible". The Journal of Finance . 61 (4): 1605–1643. doi :10.1111/j.1540-6261.2006.00884.x. SSRN 414701.
^ Fink, Kerstin (2004). Medición del potencial de conocimiento e incertidumbre . Deutscher Universitätsverlag. ISBN978-3-322-81240-7.OCLC 851734708 .
^ Keyser, Tobias (19 de abril de 2018), "Política de seguridad", The Information Governance Toolkit , CRC Press, págs. 57-62, doi :10.1201/9781315385488-13, ISBN978-1-315-38548-8, consultado el 28 de mayo de 2021
^ Danzig, Richard; Instituto de Estudios Estratégicos Nacionales de la Universidad de Defensa Nacional de Washington DC (1995). "Los tres grandes: Nuestros mayores riesgos de seguridad y cómo abordarlos". DTIC ADA421883.
^ Lyu, MR; Lau, LKY (2000). "Seguridad de firewall: políticas, pruebas y evaluación del rendimiento". Actas de la 24.ª Conferencia anual internacional sobre software y aplicaciones informáticas. COMPSAC2000 . IEEE Comput. Soc. págs. 116–121. doi :10.1109/cmpsac.2000.884700. ISBN0-7695-0792-1.S2CID11202223 .
^ "Cómo la falta de estandarización de datos impide una atención sanitaria basada en datos", Data-Driven Healthcare , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., pág. 29, 17 de octubre de 2015, doi : 10.1002/9781119205012.ch3, ISBN978-1-119-20501-2, consultado el 28 de mayo de 2021
^ Cherdantseva Y. y Hilton J.: "Seguridad de la información y garantía de la información. El debate sobre el significado, el alcance y los objetivos". En: Dimensiones organizativas, legales y tecnológicas del administrador de sistemas de información . Almeida F., Portela, I. (eds.). IGI Global Publishing. (2013)
^ ISO/IEC 27000:2018 (E). (2018). Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Descripción general y vocabulario. ISO/IEC.
^ ISACA. (2008). Glosario de términos, 2008. Recuperado de http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
^ Pipkin, D. (2000). Seguridad de la información: protección de la empresa global . Nueva York: Hewlett-Packard Company.
^ B., McDermott, E., y Geer, D. (2001). La seguridad de la información es la gestión de riesgos de la información. En Actas del Taller de 2001 sobre Nuevos Paradigmas de Seguridad NSPW '01, (pp. 97 – 104). ACM. doi :10.1145/508171.508187
^ Anderson, JM (2003). "Por qué necesitamos una nueva definición de seguridad de la información". Computers & Security . 22 (4): 308–313. doi :10.1016/S0167-4048(03)00407-3.
^ Venter, HS; Eloff, JHP (2003). "Una taxonomía para las tecnologías de seguridad de la información". Computers & Security . 22 (4): 299–307. doi :10.1016/S0167-4048(03)00406-1.
^ Gold, S (diciembre de 2004). "Amenazas que se ciernen más allá del perímetro". Informe técnico sobre seguridad de la información . 9 (4): 12–14. doi :10.1016/s1363-4127(04)00047-0 (inactivo el 12 de agosto de 2024). ISSN 1363-4127.{{cite journal}}: CS1 maint: DOI inactivo a partir de agosto de 2024 ( enlace )
^ Бучик, С. С.; Юдін, О. К.; Нетребко, Р. В. (21 de diciembre de 2016). "El análisis de los métodos de determinación de los tipos funcionales de seguridad del sistema de información y telecomunicaciones contra el acceso no autorizado". Problemas de informatización y gestión . 4 (56). doi : 10.18372/2073-4751.4.13135 . ISSN 2073-4751.
^ ab Samonas, S.; Coss, D. (2014). «La CIA contraataca: redefiniendo la confidencialidad, la integridad y la disponibilidad en seguridad». Journal of Information System Security . 10 (3): 21–45. Archivado desde el original el 22 de septiembre de 2018 . Consultado el 25 de enero de 2018 .
^ "Gartner afirma que los disruptores digitales están afectando a todas las industrias; los KPI digitales son cruciales para medir el éxito". Gartner. 2 de octubre de 2017. Consultado el 25 de enero de 2018 .
^ "Encuesta de Gartner muestra que el 42 por ciento de los directores ejecutivos han comenzado la transformación digital de sus negocios". Gartner. 24 de abril de 2017. Consultado el 25 de enero de 2018 .
^ Forte, Dario; Power, Richard (diciembre de 2007). "Controles básicos en algunas áreas vitales pero a menudo pasadas por alto de su programa de protección de la información". Fraude informático y seguridad . 2007 (12): 17–20. doi :10.1016/s1361-3723(07)70170-7. ISSN 1361-3723.
^ Aparatos de conmutación y control de baja tensión. Perfiles de dispositivos para dispositivos industriales en red, Normas británicas BSI, doi :10.3403/bsen61915 , consultado el 28 de mayo de 2021
^ Fetzer, James; Highfill, Tina; Hossiso, Kassu; Howells, Thomas; Strassner, Erich; Young, Jeffrey (noviembre de 2018). "Contabilización de la heterogeneidad de las empresas en las industrias estadounidenses: tablas de oferta y uso ampliadas y comercio en valor agregado utilizando datos a nivel de empresa y establecimiento". Serie de documentos de trabajo. Oficina Nacional de Investigación Económica . doi :10.3386/w25249. S2CID 169324096.
^ "Estimación segura sujeta a ataques ciberestocásticos", Cloud Control Systems , Metodologías emergentes y aplicaciones en modelado, Elsevier: 373–404, 2020, doi : 10.1016/b978-0-12-818701-2.00021-4, ISBN978-0-12-818701-2, S2CID 240746156 , consultado el 28 de mayo de 2021
^ Nijmeijer, H. (2003). Sincronización de sistemas mecánicos . World Scientific. ISBN978-981-279-497-0.OCLC 262846185 .
^ "9 tipos de especializaciones en ciberseguridad".
^ Tecnología de la información. Técnicas de seguridad. Requisitos de competencia para profesionales de sistemas de gestión de seguridad de la información, BSI British Standards, doi :10.3403/30342674 , consultado el 29 de mayo de 2021
^ Rahim, Noor H. (marzo de 2006). Derechos humanos y seguridad interna en Malasia: retórica y realidad . Centro de Información Técnica de Defensa. OCLC 74288358.
^ Kramer, David (14 de septiembre de 2018). "Las amenazas de robo y sabotaje nuclear siguen siendo altas, advierte un informe". Physics Today (9): 30951. Bibcode :2018PhT..2018i0951K. doi :10.1063/pt.6.2.20180914a. ISSN 1945-0699. S2CID 240223415.
^ Wilding, Edward (2 de marzo de 2017). Riesgos y seguridad de la información: prevención e investigación de delitos informáticos en el lugar de trabajo . Routledge. ISBN978-1-351-92755-0.OCLC 1052118207 .
^ Stewart, James (2012). Guía de estudio del CISSP . Canadá: John Wiley & Sons. pp. 255–257. ISBN978-1-118-31417-3.
^ "¿Por qué ha disminuido el crecimiento de la productividad?". Estudios económicos de la OCDE: Dinamarca 2009. OCDE . 2009. pp. 65–96. doi :10.1787/eco_surveys-dnk-2009-4-en. ISBN9789264076556. Recuperado el 30 de noviembre de 2023 .
^ "Robo de identidad: el nuevo ataque digital que la industria debe tomar en serio". Problemas en los sistemas de información . 2007. doi : 10.48009/2_iis_2007_297-302 . ISSN 1529-7314.
^ Wendel-Persson, Anna; Ronnhed, Fredrik (2017). IT-säkerhet och människan: De har världens starkaste mur men porten star alltid på glänt . Universidad de Umeå, instituciones de informática. OCLC 1233659973.
^ Shao, Ruodan; Skarlicki, Daniel P. (2014). "Escala de sabotaje hacia clientes que maltrataron a empleados". Conjunto de datos PsycTESTS . doi :10.1037/t31653-000 . Consultado el 28 de mayo de 2021 .
^ Kitchen, Julie (junio de 2008). "7side – Información de empresas, constitución de empresas y búsqueda de propiedades". Gestión de información legal . 8 (2): 146. doi :10.1017/s1472669608000364. ISSN 1472-6696. S2CID 144325193.
^ Young, Courtenay (8 de mayo de 2018), "Trabajar con ataques de pánico", Help Yourself Towards Mental Health , Routledge, págs. 209-214, doi :10.4324/9780429475474-32, ISBN978-0-429-47547-4, consultado el 28 de mayo de 2021
^ Lequiller, F.; Blades, D. (2014). Cuadro 7.7 Francia: Comparación de las participaciones en los beneficios de las sociedades no financieras y de las sociedades no financieras más las empresas no constituidas en sociedad (PDF) . OCDE . p. 217. doi :10.1787/9789264214637-en. ISBN978-92-64-21462-0. Recuperado el 1 de diciembre de 2023 .
^ "¿Cómo surgió todo esto?", El negocio del cumplimiento normativo y sus clientes , Basingstoke: Palgrave Macmillan, 2012, doi :10.1057/9781137271150.0007, ISBN978-1-137-27115-0
^ Gordon, Lawrence A. ; Loeb, Martin P. (noviembre de 2002). "La economía de la inversión en seguridad de la información". ACM Transactions on Information and System Security . 5 (4): 438–457. doi :10.1145/581271.581274. S2CID 1500788.
^ Cho Kim, Byung; Khansa, Lara; James, Tabitha (julio de 2011). "Confianza individual y percepción del riesgo del consumidor". Revista de privacidad y seguridad de la información . 7 (3): 3–22. doi :10.1080/15536548.2011.10855915. ISSN 1553-6548. S2CID 144643691.
^ Larsen, Daniel (31 de octubre de 2019). "Creación de una cultura estadounidense del secreto: criptografía en la diplomacia de la era Wilson". Historia diplomática . doi :10.1093/dh/dhz046. ISSN 0145-2096.
^ "Introducción: César ha muerto. ¡Viva César!", La imagen autocreada de Julio César y su dramática vida después de la muerte , Bloomsbury Academic, 2018, doi :10.5040/9781474245784.0005, ISBN978-1-4742-4578-4, consultado el 29 de mayo de 2021
^ Tan, Heng Chuan (2017). Hacia comunicaciones seguras y confiables en un entorno vehicular (Tesis). Universidad Tecnológica de Nanyang. doi :10.32657/10356/72758.
^ Johnson, John (1997). La evolución del sigint británico: 1653-1939 . Her Majesty's Stationery Office. ASIN B00GYX1GX2.
^ Willison, M. (21 de septiembre de 2018). "¿Eran especiales los bancos? Puntos de vista contrastantes en la Gran Bretaña de mediados del siglo XIX". Monetary Economics: International Financial Flows . doi :10.2139/ssrn.3249510 . Consultado el 1 de diciembre de 2023 .
^ Ruppert, K. (2011). "Ley de secretos oficiales (1889; nueva 1911; modificada en 1920, 1939, 1989)". En Hastedt, GP (ed.). Espías, escuchas telefónicas y operaciones secretas: una enciclopedia del espionaje estadounidense . Vol. 2. ABC-CLIO. págs. 589–590. ISBN9781851098088.
^ "2. La Ley Clayton: Una consideración de la sección 2, que define la discriminación ilegal de precios". La Ley Federal Antimonopolio . Columbia University Press. 31 de diciembre de 1930. pp. 18-28. doi :10.7312/dunn93452-003. ISBN978-0-231-89377-0. Recuperado el 29 de mayo de 2021 .
^ Maer, Lucinda; Gay (30 de diciembre de 2008). "Secreto oficial" (PDF) . Federación de Científicos Estadounidenses .
^ "La Ley de Secretos Oficiales de 1989 que reemplazó la sección 2 de la Ley de 1911", Espionaje y Secreto (Routledge Revivals) , Routledge, págs. 267-282, 10 de junio de 2016, doi :10.4324/9781315542515-21 (inactivo el 11 de septiembre de 2024), ISBN978-1-315-54251-5{{citation}}: CS1 maint: DOI inactivo a partir de septiembre de 2024 ( enlace )
^ "Ley de Secretos Oficiales: qué cubre; cuándo se ha utilizado, se ha cuestionado". The Indian Express . 8 de marzo de 2019 . Consultado el 7 de agosto de 2020 .
^ Singh, Gajendra (noviembre de 2015). ""Rompiendo las cadenas con las que nos ataban": la cámara de interrogatorios, el ejército nacional indio y la negación de las identidades militares, 1941-1947". Biblioteca digital de Brill sobre la Primera Guerra Mundial . doi :10.1163/2352-3786_dlws1_b9789004211452_019 . Consultado el 28 de mayo de 2021 .
^ Duncanson, Dennis (junio de 1982). "La lucha por desentrañar la Indochina francesa". Asuntos asiáticos . 13 (2): 161–170. doi :10.1080/03068378208730070. ISSN 0306-8374.
^ Whitman y otros. 2017, págs. 3.
^ "Allied Power. Movilización de la energía hidroeléctrica durante la Segunda Guerra Mundial en Canadá", Allied Power , University of Toronto Press, págs. 1-2, 31 de diciembre de 2015, doi :10.3138/9781442617117-003, ISBN978-1-4426-1711-7, consultado el 29 de mayo de 2021
^ Glatthaar, Joseph T. (15 de junio de 2011), "Oficiales y soldados rasos", Soldados en el ejército del norte de Virginia , University of North Carolina Press, págs. 83-96, doi :10.5149/9780807877869_glatthaar.11, ISBN978-0-8078-3492-3, consultado el 28 de mayo de 2021
^ ab Sebag–Montefiore, H. (2011). Enigma: La batalla por el código . Orión. pág. 576. ISBN9781780221236.
^ Whitman et al. 2017, págs. 4-5.
^ ab Whitman et al. 2017, pág. 5.
^ Dekar, Paul R. (26 de abril de 2012). Thomas Merton: Sabiduría del siglo XX para la vida del siglo XXI. The Lutterworth Press. págs. 160–184. doi :10.2307/j.ctt1cg4k28.13. ISBN978-0-7188-4069-3. Recuperado el 29 de mayo de 2021 .
^ Murphy, Richard C. (1 de septiembre de 2009). Building more powerful less cost supercomputers using Processing-In-Memory (PIM) LDRD final report (Informe). doi :10.2172/993898.
^ "Una breve historia de Internet". www.usg.edu . Consultado el 7 de agosto de 2020 .
^ "Paseando por la vista de Delft - en Internet". Computers & Graphics . 25 (5): 927. Octubre 2001. doi :10.1016/s0097-8493(01)00149-2. ISSN 0097-8493.
^ DeNardis, L. (2007). "Capítulo 24: Una historia de la seguridad en Internet". En de Leeuw, KMM; Bergstra, J. (eds.). La historia de la seguridad de la información: un manual completo . Elsevier. págs. 681–704. ISBN9780080550589.
^ Parrish, Allen; Impagliazzo, John; Raj, Rajendra K.; Santos, Henrique; Asghar, Muhammad Rizwan; Jøsang, Audun; Pereira, Teresa; Stavrou, Eliana (2 de julio de 2018). "Perspectivas globales sobre la educación en ciberseguridad para 2030: un caso para una metadisciplina". Actas complementarias de la 23.ª Conferencia anual de la ACM sobre innovación y tecnología en la educación en ciencias de la computación . ACM. págs. 36–54. doi :10.1145/3293881.3295778. hdl :1822/71620. ISBN .978-1-4503-6223-8. Número de identificación del sujeto 58004425.
^ Perrin, Chad (30 de junio de 2008). "The CIA Triad" (La tríada de la CIA) . Consultado el 31 de mayo de 2012 .
^ Sandhu, Ravi; Jajodia, Sushil (20 de octubre de 2000), "Seguridad de bases de datos relacionales", Manual de gestión de seguridad de la información, conjunto de cuatro volúmenes , Auerbach Publications, doi : 10.1201/9780203325438.ch120, ISBN978-0-8493-1068-3
^ ab Stoneburner, G.; Hayden, C.; Feringa, A. (2004). "Principios de ingeniería para la seguridad de la tecnología de la información" (PDF) . csrc.nist.gov. doi :10.6028/NIST.SP.800-27rA. Archivado desde el original (PDF) el 15 de agosto de 2011 . Consultado el 28 de agosto de 2011 .
^ Beckers, K. (2015). Requisitos de seguridad y patrones: Establecimiento de estándares de seguridad basados en la ingeniería. Springer. pág. 100. ISBN9783319166643.
^ Fienberg, Stephen E.; Slavković, Aleksandra B. (2011), "Privacidad y confidencialidad de los datos", Enciclopedia internacional de ciencias estadísticas , págs. 342-345, doi :10.1007/978-3-642-04898-2_202, ISBN978-3-642-04897-5
^ abcde Andress, J. (2014). Fundamentos de seguridad de la información: comprensión de los fundamentos de la seguridad de la información en teoría y en la práctica. Syngress. pág. 240. ISBN9780128008126.
^ Boritz, J. Efrim (2005). "Opiniones de los profesionales de SI sobre los conceptos básicos de la integridad de la información". Revista internacional de sistemas de información contable . 6 (4). Elsevier: 260–279. doi :10.1016/j.accinf.2005.07.001.
^ Hryshko, I. (2020). «Ocupación no autorizada de tierras y construcción no autorizada: conceptos y tipos de medios tácticos de investigación». International Humanitarian University Herald. Jurisprudencia (43): 180–184. doi : 10.32841/2307-1745.2020.43.40 . ISSN 2307-1745.
^ Kim, Bonn-Oh (21 de septiembre de 2000), "Integridad referencial para el diseño de bases de datos", Bases de datos web de alto rendimiento , Auerbach Publications, págs. 427-434, doi :10.1201/9781420031560-34, ISBN978-0-429-11600-1, consultado el 29 de mayo de 2021
^ Pevnev, V. (2018). "Modelar amenazas y garantizar la integridad de la información". Sistemas y tecnologías . 2 (56): 80–95. doi : 10.32836/2521-6643-2018.2-56.6 . ISSN 2521-6643.
^ Fan, Lejun; Wang, Yuanzhuo; Cheng, Xueqi; Li, Jinming; Jin, Shuyuan (26 de febrero de 2013). "Análisis de colaboración multiproceso de malware de robo de privacidad". Seguridad y redes de comunicación . 8 (1): 51–67. doi : 10.1002/sec.705 . ISSN 1939-0114.
^ "Completitud, consistencia e integridad del modelo de datos". Medición de la calidad de los datos para la mejora continua . Serie MK sobre inteligencia empresarial. Elsevier. 2013. pp. e11–e19. doi :10.1016/b978-0-12-397033-6.00030-4. ISBN978-0-12-397033-6. Recuperado el 29 de mayo de 2021 .
^ Vídeo de SPIE, la Sociedad Internacional de Óptica y Fotónica. doi :10.1117/12.2266326.5459349132001 . Consultado el 29 de mayo de 2021 .
^ "Habilidades de comunicación utilizadas por los graduados en sistemas de información". Problemas en sistemas de información . 2005. doi : 10.48009/1_iis_2005_311-317 . ISSN 1529-7314.
^ Interrupciones del suministro eléctrico como consecuencia de fallos en los cables del sistema de la Boston Edison Company (Informe). 1 de julio de 1980. doi :10.2172/5083196. OSTI 5083196. Consultado el 18 de enero de 2022 .
^ Loukas, G.; Oke, G. (septiembre de 2010) [agosto de 2009]. "Protection Against Denial of Service Attacks: A Survey" (PDF) . Comput. J. 53 (7): 1020–1037. doi :10.1093/comjnl/bxp078. Archivado desde el original (PDF) el 24 de marzo de 2012 . Consultado el 28 de agosto de 2015 .
^ "Ser capaz de realizar una actividad clínica", Definiciones , Qeios, 2 de febrero de 2020, doi :10.32388/dine5x, S2CID 241238722 , consultado el 29 de mayo de 2021
^ Ohta, Mai; Fujii, Takeo (mayo de 2011). "Detección cooperativa iterativa en espectro primario compartido para mejorar la capacidad de detección". Simposio internacional IEEE de 2011 sobre redes de acceso dinámico al espectro (DySPAN) . IEEE. págs. 623–627. doi :10.1109/dyspan.2011.5936257. ISBN .978-1-4577-0177-1.S2CID15119653 .
^ Tecnología de la información. Gestión de incidentes de seguridad de la información, BSI British Standards, doi :10.3403/30387743 , consultado el 29 de mayo de 2021
^ Blum, Dan (2020), "Identificar y alinear los roles relacionados con la seguridad", Rational Cybersecurity for Business , Berkeley, CA: Apress, págs. 31-60, doi :10.1007/978-1-4842-5952-8_2, ISBN978-1-4842-5951-1, S2CID 226626983 , consultado el 29 de mayo de 2021
^ McCarthy, C. (2006). "Bibliotecas digitales: consideraciones de seguridad y preservación". En Bidgoli, H. (ed.). Manual de seguridad de la información, amenazas, vulnerabilidades, prevención, detección y gestión . Vol. 3. John Wiley & Sons. págs. 49–76. ISBN9780470051214.
^ Tecnología de la información. Interconexión de sistemas abiertos. Marcos de seguridad para sistemas abiertos, BSI British Standards, doi :10.3403/01110206u , consultado el 29 de mayo de 2021
^ Christofori, Ralf (1 de enero de 2014), "Así pudo haber sido", Julio Rondo - Ok, Meta Memory , Wilhelm Fink Verlag, doi :10.30965/9783846757673_003 (inactivo el 12 de agosto de 2024), ISBN978-3-7705-5767-7{{citation}}: CS1 maint: DOI inactivo a partir de agosto de 2024 ( enlace )
^ Atkins, D. (mayo de 2021). "Uso del algoritmo de firma digital Walnut con firma y cifrado de objetos CBOR (COSE)". Editor de RFC . doi : 10.17487/rfc9021 . S2CID 182252627 . Consultado el 18 de enero de 2022 .
^ Le May, I. (2003), "Integridad estructural en la industria petroquímica", Comprehensive Structural Integrity , Elsevier, págs. 125-149, doi :10.1016/b0-08-043749-4/01001-6, ISBN978-0-08-043749-1, consultado el 29 de mayo de 2021
^ "oecd.org" (PDF) . Archivado desde el original (PDF) el 16 de mayo de 2011. Consultado el 17 de enero de 2014 .
^ "GSSP (Principios de seguridad de sistemas generalmente aceptados): un viaje a Abilene". Computers & Security . 15 (5): 417. Enero de 1996. doi :10.1016/0167-4048(96)82630-7. ISSN 0167-4048.
^ Slade, Rob. "(ICS)2 Blog". Archivado desde el original el 17 de noviembre de 2017 . Consultado el 17 de noviembre de 2017 .
^ Aceituno, Vicente. «Modelo de madurez de seguridad de la información abierta» . Consultado el 12 de febrero de 2017 .
^ Sodjahin, Amos; Champagne, Claudia; Coggins, Frank; Gillet, Roland (11 de enero de 2017). "¿Indicadores adelantados o rezagados de riesgo? El contenido informativo de las puntuaciones de rendimiento extrafinanciero". Journal of Asset Management . 18 (5): 347–370. doi :10.1057/s41260-016-0039-y. ISSN 1470-8272. S2CID 157485290.
^ Reynolds, EH (22 de julio de 1995). "El folato tiene potencial para causar daño". BMJ . 311 (6999): 257. doi :10.1136/bmj.311.6999.257. ISSN 0959-8138. PMC 2550299 . PMID 7503870.
^ Randall, Alan (2011), "Daño, riesgo y amenaza", Riesgo y precaución , Cambridge: Cambridge University Press, págs. 31-42, doi :10.1017/cbo9780511974557.003, ISBN978-0-511-97455-7, consultado el 29 de mayo de 2021
^ Grama, JL (2014). Cuestiones jurídicas en materia de seguridad de la información. Jones & Bartlett Learning. pág. 550. ISBN9781284151046.
^ Cannon, David L. (4 de marzo de 2016). "Audit Process". CISA: Guía de estudio para auditores de sistemas de información certificados (cuarta edición). págs. 139-214. doi :10.1002/9781119419211.ch3. ISBN9781119056249.
^ Manual de revisión de CISA 2006. Asociación de auditoría y control de sistemas de información. 2006. pág. 85. ISBN978-1-933284-15-6.
^ Kadlec, Jaroslav (2 de noviembre de 2012). "Modelado de procesos bidimensionales (2DPM)". Business Process Management Journal . 18 (6): 849–875. doi :10.1108/14637151211283320. ISSN 1463-7154.
^ "Todas las contramedidas tienen algún valor, pero ninguna es perfecta", Beyond Fear , Nueva York: Springer-Verlag, pp. 207-232, 2003, doi :10.1007/0-387-21712-6_14, ISBN0-387-02620-7, consultado el 29 de mayo de 2021
^ "Fallos de datos: Deloitte sufre un duro golpe mientras surgen más detalles sobre Equifax y Yahoo". Fraude informático y seguridad . 2017 (10): 1–3. Octubre de 2017. doi :10.1016/s1361-3723(17)30086-6. ISSN 1361-3723.
^ Spagnoletti, Paolo; Resca A. (2008). "La dualidad de la gestión de la seguridad de la información: lucha contra amenazas predecibles e impredecibles". Revista de seguridad de sistemas de información . 4 (3): 46–62.
^ Yusoff, Nor Hashim; Yusof, Mohd Radzuan (4 de agosto de 2009). "Gestión del riesgo de HSE en entornos hostiles". Todos los días . SPE. doi :10.2118/122545-ms.
^ Baxter, Wesley (2010). Agotado: cómo las áreas de mejora empresarial del centro de Ottawa han asegurado y valorizado el espacio urbano (Tesis). Universidad de Carleton. doi :10.22215/etd/2010-09016.
^ de Souza, André; Lynch, Anthony (junio de 2012). "¿Varía el rendimiento de los fondos mutuos a lo largo del ciclo económico?". Cambridge, MA. doi :10.3386/w18137. S2CID 262620435.
^ Kiountouzis, EA; Kokolakis, SA (31 de mayo de 1996). Seguridad de los sistemas de información: frente a la sociedad de la información del siglo XXI . Londres: Chapman & Hall, Ltd. ISBN978-0-412-78120-9.
^ Newsome, B. (2013). Introducción práctica a la seguridad y la gestión de riesgos . SAGE Publications. pág. 208. ISBN9781483324852.
^ ab Whitman, ME; Mattord, HJ (2016). Gestión de la seguridad de la información (5.ª ed.). Cengage Learning. pág. 592. ISBN9781305501256.
^ "Hardware, telas, adhesivos y otros suministros teatrales", Illustrated Theatre Production Guide , Routledge, págs. 203-232, 20 de marzo de 2013, doi :10.4324/9780080958392-20, ISBN978-0-08-095839-2, consultado el 29 de mayo de 2021
^ Reason, James (2 de marzo de 2017), "Percepciones de actos inseguros", The Human Contribution , CRC Press, págs. 69-103, doi :10.1201/9781315239125-7, ISBN978-1-315-23912-5, consultado el 29 de mayo de 2021
^ "Procedimientos y estándares de seguridad de la información", Políticas, procedimientos y estándares de seguridad de la información , Boca Raton, FL: Auerbach Publications, págs. 81-92, 27 de marzo de 2017, doi :10.1201/9781315372785-5, ISBN978-1-315-37278-5, consultado el 29 de mayo de 2021
^ Zhuang, Haifeng; Chen, Yu; Sheng, Xianfu; Hong, Lili; Gao, Ruilan; Zhuang, Xiaofen (25 de junio de 2020). "Figura S1: Análisis del impacto pronóstico de cada gen característico". PeerJ . 8 : e9437. doi : 10.7717/peerj.9437/supp-1 .
^ Standaert, B.; Ethgen, O.; Emerson, RA (junio de 2012). "Análisis de costo-efectividad del CO4: ¿apropiado para todas las situaciones?". Value in Health . 15 (4): A2. doi : 10.1016/j.jval.2012.03.015 . ISSN 1098-3015.
^ "Las marquesinas de GRP proporcionan una protección rentable para las puertas". Reinforced Plastics . 40 (11): 8. Noviembre 1996. doi :10.1016/s0034-3617(96)91328-4. ISSN 0034-3617.
^ "Figura 2.3. Riesgo relativo de tener un bajo rendimiento según las circunstancias personales (2012)". doi :10.1787/888933171410 . Consultado el 29 de mayo de 2021 .
^ Stoneburner, Gary; Goguen, Alice; Feringa, Alexis (2002). "Guía de gestión de riesgos NIST SP 800-30 para sistemas de tecnología de la información". doi :10.6028/NIST.SP.800-30 . Consultado el 18 de enero de 2022 .
^ "¿Puedo elegir? ¿Puedo elegir? Opresión y elección", Una teoría de la libertad , Palgrave Macmillan, 2012, doi :10.1057/9781137295026.0007, ISBN978-1-137-29502-6
^ Parker, Donn B. (enero de 1994). "Una guía para seleccionar e implementar controles de seguridad". Seguridad de sistemas de información . 3 (2): 75–86. doi :10.1080/10658989409342459. ISSN 1065-898X.
^ Zoccali, Carmine; Mallamaci, Francesca; Tripepi, Giovanni (25 de septiembre de 2007). "Editor invitado: Rajiv Agarwal: La evaluación del perfil de riesgo cardiovascular y el control de la medicación deben ser lo primero". Seminarios en diálisis . 20 (5): 405–408. doi :10.1111/j.1525-139x.2007.00317.x. ISSN 0894-0959. PMID 17897245. S2CID 33256127.
^ Guía para la implementación y auditoría de controles de SGSI basados en la norma ISO/IEC 27001. Londres: BSI British Standards. 1 de noviembre de 2013. doi :10.3403/9780580829109. ISBN978-0-580-82910-9.
^ Johnson, L. (2015). Manual de evaluación, prueba y valoración de controles de seguridad. Syngress. pág. 678. ISBN9780128025642.
^ Tecnología de la información. Técnicas de seguridad. Mapeo de las ediciones revisadas de ISO/IEC 27001 e ISO/IEC 27002, BSI British Standards, doi :10.3403/30310928 , consultado el 29 de mayo de 2021
^ "Los residentes deben proteger su información privada". JAMA . 279 (17): 1410B. 6 de mayo de 1998. doi : 10.1001/jama.279.17.1410 . ISSN 0098-7484.
^ "Sistemas de apoyo a la sabiduría grupal: agregación de los conocimientos de muchos a través de la tecnología de la información". Problemas en sistemas de información . 2008. doi : 10.48009/2_iis_2008_343-350 . ISSN 1529-7314.
^ "INTERDEPENDENCIAS DE LOS SISTEMAS DE INFORMACIÓN", Lecciones aprendidas: protección de la infraestructura crítica de información , IT Governance Publishing, págs. 34-37, 2018, doi : 10.2307/j.ctt1xhr7hq.13, ISBN978-1-84928-958-0, consultado el 29 de mayo de 2021
^ "Administración de la seguridad de la red", Seguridad del perímetro de la red , Auerbach Publications, págs. 17-66, 27 de octubre de 2003, doi :10.1201/9780203508046-3, ISBN978-0-429-21157-7, consultado el 29 de mayo de 2021
^ Kakareka, A. (2013). "Capítulo 31: ¿Qué es la evaluación de vulnerabilidades?". En Vacca, JR (ed.). Manual de seguridad informática y de la información (2.ª ed.). Elsevier. págs. 541–552. ISBN9780123946126.
^ "Controles administrativos", Ergonomía ocupacional , CRC Press, págs. 443–666, 26 de marzo de 2003, doi :10.1201/9780203507933-6, ISBN978-0-429-21155-3, consultado el 29 de mayo de 2021
^ Duke, PA; Howard, IP (17 de agosto de 2012). "Procesamiento de disparidades de tamaño vertical en distintos planos de profundidad". Journal of Vision . 12 (8): 10. doi :10.1167/12.8.10. ISSN 1534-7362. PMID 22904355.
^ "Scripts de control de Security Onion". Monitoreo de seguridad de red aplicada . Elsevier. 2014. págs. 451–456. doi :10.1016/b978-0-12-417208-1.09986-4. ISBN978-0-12-417208-1. Recuperado el 29 de mayo de 2021 .
^ Saia, Sergio; Fragasso, Mariagiovanna; Vita, Pasquale De; Beleggia, Romina. "La metabolómica proporciona información valiosa para el estudio del trigo duro: una revisión". Revista de química agrícola y alimentaria . doi :10.1021/acs.jafc.8b07097.s001 . Consultado el 29 de mayo de 2021 .
^ "Descripción general", Políticas, procedimientos y estándares de seguridad de la información , Auerbach Publications, 20 de diciembre de 2001, doi :10.1201/9780849390326.ch1, ISBN978-0-8493-1137-6
^ Relés de protección eléctrica. Información y requisitos para todos los relés de protección, Normas británicas BSI, doi :10.3403/bs142-1 , consultado el 29 de mayo de 2021
^ Dibattista, José D.; Reimer, James D.; Estadísticas, Michael; Masucci, Giovanni D.; Biondi, Piera; Brauwer, Maarten De; Bunce, Michael (6 de febrero de 2019). "Información complementaria 4: Lista de todas las familias combinadas en orden alfabético asignadas en MEGAN versiones 5.11.3". PeerJ . 7 : e6379. doi : 10.7717/peerj.6379/supp-4 .
^ Kim, Sung-Won (31 de marzo de 2006). "Un análisis cuantitativo de las clases de clasificación y los recursos de información clasificada de directorios". Revista de gestión de la información . 37 (1): 83–103. doi : 10.1633/jim.2006.37.1.083 . ISSN 0254-3621.
^ ab Bayuk, J. (2009). "Capítulo 4: Clasificación de la información". En Axelrod, CW; Bayuk, JL; Schutzer, D. (eds.). Seguridad y privacidad de la información empresarial . Artech House. págs. 59–70. ISBN9781596931916.
^ "Bienvenidos a la era de la información", Overload!, Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 43-65, 11 de septiembre de 2015, doi : 10.1002/9781119200642.ch5, ISBN978-1-119-20064-2, consultado el 29 de mayo de 2021
^ Crooks, S. (2006). "102. Caso de estudio: cuando los esfuerzos de control de la exposición prevalecen sobre otras consideraciones de diseño importantes". AIHce 2006 . AIHA. doi :10.3320/1.2759009 (inactivo el 11 de septiembre de 2024).{{cite book}}: CS1 maint: DOI inactivo a partir de septiembre de 2024 ( enlace )
^ "Modelo de negocio para la seguridad de la información (BMIS)". ISACA. Archivado desde el original el 26 de enero de 2018. Consultado el 25 de enero de 2018 .
^ McAuliffe, Leo (enero de 1987). "Alto secreto/secreto comercial: acceso y protección de la información restringida". Government Information Quarterly . 4 (1): 123–124. doi :10.1016/0740-624x(87)90068-2. ISSN 0740-624X.
^ Iqbal, Javaid; Soroya, Saira Hanif; Mahmood, Khalid (5 de enero de 2023). "Comportamiento de seguridad de la información financiera en la banca en línea". Desarrollo de la información . 40 (4): 550–565. doi :10.1177/02666669221149346. ISSN 0266-6669. S2CID 255742685.
^ Khairuddin, Ismail Mohd; Sidek, Shahrul Naim; Abdul Majeed, Anwar PP; Razman, Mohd Azraai Mohd; Puzi, Asmarani Ahmad; Yusof, Hazlina Md (25 de febrero de 2021). "Figura 7: Precisión de clasificación de cada modelo para todas las funciones". PeerJ Ciencias de la Computación . 7 : e379. doi : 10.7717/peerj-cs.379/fig-7 .
^ "Clasificación de activos", Fundamentos de seguridad de la información , Auerbach Publications, págs. 327–356, 16 de octubre de 2013, doi :10.1201/b15573-18, ISBN978-0-429-13028-1, consultado el 1 de junio de 2021
^ ab Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). "¡Autorizado! ¡Acceso denegado, no autorizado! ¡Acceso concedido!". Actas de la 6.ª Conferencia Internacional sobre Seguridad de la Información y las Redes . Sin '13. Nueva York, Nueva York, EE. UU.: ACM Press. pp. 363–367. doi :10.1145/2523514.2523612. ISBN978-1-4503-2498-4.S2CID17260474 .
^ ab Peiss, Kathy (2020), "El país de la mente también debe atacar", Information Hunters , Oxford University Press, págs. 16-39, doi :10.1093/oso/9780190944612.003.0003, ISBN978-0-19-094461-2, consultado el 1 de junio de 2021
^ Fugini, MG; Martella, G. (enero de 1988). "Un modelo de red de Petri de mecanismos de control de acceso". Sistemas de información . 13 (1): 53–63. doi :10.1016/0306-4379(88)90026-9. ISSN 0306-4379.
^ Tecnología de la información. Identificación personal. Permiso de conducir conforme a la norma ISO, BSI British Standards, doi :10.3403/30170670u , consultado el 1 de junio de 2021
^ Santos, Omar (2015). Guía oficial de certificación CCNA Security 210-260 . Cisco Press. ISBN978-1-58720-566-8.OCLC 951897116 .
^ "¿Qué es la aserción?", ASSERTION TRAINING , Abingdon, Reino Unido: Taylor & Francis, págs. 1–7, 1991, doi :10.4324/9780203169186_chapter_one, ISBN978-0-203-28556-5, consultado el 1 de junio de 2021
^ Doe, John (1960). "La temporada de trabajo de campo en Illinois comienza el 2 de mayo". Soil Horizons . 1 (2): 10. doi :10.2136/sh1960.2.0010 (inactivo el 14 de octubre de 2024). ISSN 2163-2812.{{cite journal}}: CS1 maint: DOI inactivo a partir de octubre de 2024 ( enlace )
^ Leech, M. (marzo de 1996). "Autenticación de nombre de usuario y contraseña para SOCKS V5". doi :10.17487/rfc1929 . Consultado el 18 de enero de 2022 .
^ Kirk, John; Wall, Christine (2011), "Cajero, vendedor, activista sindical: formación de clase e identidades cambiantes de los trabajadores bancarios", Trabajo e identidad , Londres: Palgrave Macmillan UK, pp. 124–148, doi :10.1057/9780230305625_6, ISBN978-1-349-36871-6, consultado el 1 de junio de 2021
^ Dewi, Mila Nurmala (23 de diciembre de 2020). "Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri". Nisbah: Jurnal Perbankan Syariah . 6 (2): 75. doi :10.30997/jn.v6i2.1932. ISSN 2528-6633. S2CID 234420571.
^ Vile, John (2013), "Control de licencias", Enciclopedia de la Cuarta Enmienda , Washington DC: CQ Press, doi :10.4135/9781452234243.n462, ISBN978-1-60426-589-7, consultado el 1 de junio de 2021
^ "Él dijo/Ella dijo", Mi fantasma tiene un nombre , University of South Carolina Press, págs. 17-32, doi :10.2307/j.ctv6wgjjv.6, ISBN978-1-61117-827-2, consultado el 29 de mayo de 2021
^ Bacigalupo, Sonny A.; Dixon, Linda K.; Gubbins, Simon; Kucharski, Adam J.; Drewe, Julian A. (26 de octubre de 2020). "Información complementaria 8: Métodos utilizados para monitorear diferentes tipos de contacto". PeerJ . 8 : e10221. doi : 10.7717/peerj.10221/supp-8 .
^ Igelnik, Boris M.; Zurada, Jacek (2013). Métodos de eficiencia y escalabilidad para la inteligencia computacional . Referencia de Ciencias de la Información. ISBN978-1-4666-3942-3.OCLC 833130899 .
^ "La factura de seguros debe tener su nombre como proveedor", Before You See Your First Client (Antes de ver a su primer cliente) , Routledge, págs. 37-38, 1 de enero de 2005, doi : 10.4324/9780203020289-11, ISBN978-0-203-02028-9, consultado el 1 de junio de 2021
^ "Se anuncia una nueva licencia de conducir inteligente en Queensland". Card Technology Today . 21 (7): 5. Julio 2009. doi :10.1016/s0965-2590(09)70126-4. ISSN 0965-2590.
^ Laboratorio Nacional Lawrence Livermore. Estados Unidos. Departamento de Energía. Oficina de Información Científica y Técnica (1995). Una evaluación ergonómica y de ingeniería humana de la interfaz del panel de acceso de seguridad . Estados Unidos. Departamento de Energía. OCLC 727181384.
^ Lee, Paul (abril de 2017). "Huellas encantadoras: cómo las huellas dactilares están abriendo camino en la biometría convencional". Biometric Technology Today . 2017 (4): 8–11. doi :10.1016/s0969-4765(17)30074-7. ISSN 0969-4765.
^ Landrock, Peter (2005). "Autenticación de dos factores". Enciclopedia de criptografía y seguridad . pág. 638. doi :10.1007/0-387-23483-7_443. ISBN978-0-387-23473-1.
^ "Figura 1.5. El matrimonio sigue siendo la forma de unión más común entre las parejas, 2000-07". doi :10.1787/888932392533 . Consultado el 1 de junio de 2021 .
^ Akpeninor, James Ohwofasa (2013). Conceptos modernos de seguridad. Bloomington, IN: AuthorHouse. pág. 135. ISBN978-1-4817-8232-6. Recuperado el 18 de enero de 2018 .
^ Richards, G. (abril de 2012). "Preautenticación con contraseña de un solo uso (OTP)". doi :10.17487/rfc6560.
^ Schumacher, Dietmar (3 de abril de 2016). "Exploración geoquímica de superficie después de 85 años: qué se ha logrado y qué más se debe hacer". Conferencia y exposición internacional, Barcelona, España, 3-6 de abril de 2016. Resúmenes de la reunión global de la SEG. Sociedad de geofísicos de exploración y Asociación estadounidense de geólogos del petróleo. pág. 100. doi :10.1190/ice2016-6522983.1.
^ "Programa de autorización y aprobación", Políticas y procedimientos de control interno , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 69-72, 23 de octubre de 2015, doi : 10.1002/9781119203964.ch10, ISBN978-1-119-20396-4, consultado el 1 de junio de 2021
^ "¿Qué respuestas en qué condiciones?", Políticas locales y Fondo Social Europeo , Policy Press, pp. 81–102, 2 de octubre de 2019, doi :10.2307/j.ctvqc6hn1.12, ISBN978-1-4473-4652-4, S2CID 241438707 , consultado el 1 de junio de 2021
^ Cheng, Liang; Zhang, Yang; Han, Zhihui (junio de 2013). "Medición cuantitativa de los mecanismos de control de acceso en diferentes sistemas operativos". 2013 IEEE 7th International Conference on Software Security and Reliability . IEEE. págs. 50–59. doi :10.1109/sere.2013.12. ISBN978-1-4799-0406-8. Número de identificación del sujeto 13261344.
^ ab Weik, Martin H. (2000), "control de acceso discrecional", Diccionario de Ciencias de la Computación y Comunicaciones , pág. 426, doi :10.1007/1-4020-0613-6_5225, ISBN978-0-7923-8425-0
^ Grewer, C.; Balani, P.; Weidenfeller, C.; Bartusel, T.; Zhen Tao; Rauen, T. (10 de agosto de 2005). "Las subunidades individuales del homotrímero EAAC1 del transportador de glutamato funcionan independientemente unas de otras". Bioquímica . 44 (35): 11913–11923. doi :10.1021/bi050987n. PMC 2459315 . PMID 16128593.
^ Ellis Ormrod, Jeanne (2012). Fundamentos de psicología educativa: grandes ideas para orientar una enseñanza eficaz . Pearson. ISBN978-0-13-136727-2.OCLC 663953375 .
^ Belim, SV; Bogachenko, NF; Kabanov, AN (noviembre de 2018). "Nivel de severidad de los permisos en el control de acceso basado en roles". 2018 Dinámica de sistemas, mecanismos y máquinas (Dinámica) . IEEE. págs. 1–5. arXiv : 1812.11404 . doi :10.1109/dynamics.2018.8601460. ISBN.978-1-5386-5941-0.S2CID57189531 .
^ "Configuración de TACACS y TACACS extendido", Protección y control de enrutadores Cisco , Auerbach Publications, 15 de mayo de 2002, doi :10.1201/9781420031454.ch11, ISBN978-0-8493-1290-8
^ "Desarrollo de políticas de seguridad eficaces", Análisis de riesgos y selección de contramedidas de seguridad , CRC Press, págs. 261-274, 18 de diciembre de 2009, doi :10.1201/9781420078718-18, ISBN978-0-429-24979-2, consultado el 1 de junio de 2021
^ "El uso de registros de auditoría para monitorear redes y sistemas clave debería seguir siendo parte de la debilidad material de la seguridad informática". www.treasury.gov . Consultado el 6 de octubre de 2017 .
^ "Cómo solucionar el régimen de acceso a los medicamentos en Canadá: lo que hay que saber sobre el proyecto de ley C398". Documentos de derechos humanos en línea . doi :10.1163/2210-7975_hrd-9902-0152 . Consultado el 1 de junio de 2021 .
^ Salazar, Mary K. (enero de 2006). "Cómo afrontar riesgos inciertos: cuándo aplicar el principio de precaución". AAOHN Journal . 54 (1): 11–13. doi :10.1177/216507990605400102. ISSN 0891-0162. S2CID 87769508.
^ "Necesitamos saber más sobre cómo el gobierno censura a sus empleados". Documentos de derechos humanos en línea . doi :10.1163/2210-7975_hrd-9970-2016117 . Consultado el 1 de junio de 2021 .
^ Pournelle, Jerry (22 de abril de 2004), "1001 palabras de computadora que necesita saber", 1001 palabras de computadora que necesita saber: la guía definitiva para el lenguaje de las computadoras , Oxford Scholarship Online, Oxford University Press, doi : 10.1093/oso/9780195167757.003.0007, ISBN978-0-19-516775-7, consultado el 30 de julio de 2021
^ Easttom, William (2021), "Criptografía de curva elíptica", Criptografía moderna , Cham: Springer International Publishing, págs. 245-256, doi :10.1007/978-3-030-63115-4_11, ISBN978-3-030-63114-7, S2CID 234106555 , consultado el 1 de junio de 2021
^ Follman, Rebecca (1 de marzo de 2014). De alguien que ha estado allí: búsqueda de información en la tutoría. Actas de la iConference 2014 (tesis). iSchools. doi :10.9776/14322. hdl :1903/14292. ISBN978-0-9884900-1-7.
^ Weiss, Jason (2004), "Resúmenes de mensajes, códigos de autenticación de mensajes y firmas digitales", Java Cryptography Extensions , Elsevier, págs. 101-118, doi :10.1016/b978-012742751-5/50012-8, ISBN978-0-12-742751-5, consultado el 5 de junio de 2021
^ Bider, D. (marzo de 2018). "Uso de claves RSA con SHA-256 y SHA-512 en el protocolo Secure Shell (SSH)" (PDF) . Serie RFC. doi :10.17487/RFC8332 . Consultado el 30 de noviembre de 2023 .
^ Noh, Jaewon; Kim, Jeehyeong; Kwon, Giwon; Cho, Sunghyun (octubre de 2016). "Esquema de intercambio de claves seguro para WPA/WPA2-PSK utilizando criptografía de clave pública". Conferencia internacional IEEE de 2016 sobre electrónica de consumo en Asia (ICCE-Asia) . IEEE. págs. 1–4. doi :10.1109/icce-asia.2016.7804782. ISBN .978-1-5090-2743-9.S2CID10595698 .
^ Van Buren, Roy F. (mayo de 1990). "Cómo se puede utilizar el estándar de cifrado de datos para cifrar los archivos y bases de datos". ACM SIGSAC Review . 8 (2): 33–39. doi :10.1145/101126.101130. ISSN 0277-920X.
^ Bonneau, Joseph (2016), "¿Por qué comprar cuando se puede alquilar?", Criptografía financiera y seguridad de datos , Lecture Notes in Computer Science, vol. 9604, Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 19-26, doi : 10.1007/978-3-662-53357-4_2, ISBN978-3-662-53356-7, S2CID 18122687 , consultado el 5 de junio de 2021
^ Coleman, Heather; Andron, Jeff (1 de agosto de 2015), "Lo que los expertos en SIG y los profesionales de políticas deben saber sobre el uso de Marxan en procesos de planificación multiobjetivo", Ocean Solutions, Earth Solutions , Esri Press, doi : 10.17128/9781589483651_2, ISBN978-1-58948-365-1, consultado el 5 de junio de 2021
^ ab Landrock, Peter (2005), "Clave de cifrado de clave", Enciclopedia de criptografía y seguridad , págs. 326-327, doi :10.1007/0-387-23483-7_220, ISBN978-0-387-23473-1
^ Giri, Debasis; Barua, Prithayan; Srivastava, PD; Jana, Biswapati (2010), "Un criptosistema para el cifrado y descifrado de mensajes confidenciales largos", Seguridad y garantía de la información, Comunicaciones en informática y ciencias de la información, vol. 76, Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 86–96, Bibcode :2010isa..conf...86G, doi :10.1007/978-3-642-13365-7_9, ISBN978-3-642-13364-0, consultado el 5 de junio de 2021
^ Vallabhaneni, SR (2008). Mejores prácticas en gestión, gobernanza y ética corporativa. John Wiley & Sons. pág. 288. ISBN9780470255803.
^ Boncardo, Robert (20 de septiembre de 2018). "Mallarmé de Jean-Claude Milner: nada ha sucedido". Edinburgh University Press . 1 . doi :10.3366/edinburgh/9781474429528.003.0005. S2CID 172045429.
^ "La importancia de la debida diligencia operativa", Hedge Fund Operational Due Diligence , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 49-67, 16 de octubre de 2015, doi : 10.1002/9781119197485.ch2, ISBN978-1-119-19748-5, consultado el 5 de junio de 2021
^ Hall, Gaylord C. (marzo de 1917). "Algunos puntos de diagnóstico importantes que el médico general [sic] debe conocer sobre la nariz". Southern Medical Journal . 10 (3): 211. doi :10.1097/00007611-191703000-00007. ISSN 0038-4348.
^ Renés, J. (1999). Landschappen van Maas en Peel: un pasado histórico-geografisch onderzoek en el streekplangebied Noord- en Midden-Limburg . Eisma. ISBN90-74252-84-2.OCLC 782897414 .
^ Thomas, Brook (22 de junio de 2017). "Tener en cuenta los pasos previos dados". Oxford Scholarship Online . doi :10.1093/acprof:oso/9780190456368.003.0002. ISBN978-0-19-045639-9.
^ Lundgren, Regina E. (2018). Comunicación de riesgos: un manual para comunicar riesgos ambientales, de seguridad y de salud . Wiley. ISBN978-1-119-45613-1.OCLC 1043389392 .
^ Jensen, Eric Talbot (3 de diciembre de 2020), "Due Diligence in Cyber Activities", Due Diligence in the International Legal Order , Oxford University Press, págs. 252-270, doi :10.1093/oso/9780198869900.003.0015, ISBN978-0-19-886990-0, consultado el 5 de junio de 2021
^ "El estándar de análisis de riesgos del deber de cuidado". DoCRA . Archivado desde el original el 14 de agosto de 2018 . Consultado el 15 de agosto de 2018 .
^ Sutton, Adam; Cherney, Adrian; White, Rob (2008), "Evaluación de la prevención del delito", Prevención del delito , Cambridge: Cambridge University Press, págs. 70-90, doi :10.1017/cbo9780511804601.006, ISBN978-0-511-80460-1, consultado el 5 de junio de 2021
^ Check, Erika (15 de septiembre de 2004). "La FDA considera los riesgos de los antidepresivos para los niños". Nature . doi :10.1038/news040913-15. ISSN 0028-0836.
^ Auckland, Cressida (16 de agosto de 2017). "Protegiéndome de mi directiva: garantizar las salvaguardas adecuadas para las directivas anticipadas en la demencia". Medical Law Review . 26 (1): 73–97. doi :10.1093/medlaw/fwx037. ISSN 0967-0742. PMID 28981694.
^ Takach, George S. (2016), "Preparación para litigios por violación de datos", Preparación y respuesta ante violaciones de datos , Elsevier, págs. 217-230, doi :10.1016/b978-0-12-803451-4.00009-5, ISBN978-0-12-803451-4, consultado el 5 de junio de 2021
^ "ISO 17799|ISO/IEC 17799:2005(E)". Tecnología de la información - Técnicas de seguridad - Código de prácticas para la gestión de la seguridad de la información . Oficina de derechos de autor de ISO. 15 de junio de 2005. págs. 90–94.
^ Fowler, Kevvie (2016), "Desarrollo de un plan de respuesta a incidentes de seguridad informática", Preparación y respuesta ante violaciones de datos , Elsevier, págs. 49-77, doi :10.1016/b978-0-12-803451-4.00003-4, ISBN978-0-12-803451-4
^ Johnson, Leighton R. (2014), "Parte 1. Equipo de respuesta a incidentes", Gestión de equipos de respuesta a incidentes informáticos y análisis forense , Elsevier, págs. 17-19, doi :10.1016/b978-1-59749-996-5.00038-8, ISBN978-1-59749-996-5, consultado el 5 de junio de 2021
^ Kampfner, Roberto R. (1985). "Especificación formal de los requisitos de los sistemas de información". Procesamiento y gestión de la información . 21 (5): 401–414. doi :10.1016/0306-4573(85)90086-x. ISSN 0306-4573.
^ Jenner, HA (1995). Evaluación de los riesgos ecotoxicológicos de la lixiviación de elementos de las cenizas de carbón pulverizado . sn] OCLC 905474381.
^ "Computadoras de escritorio: software". Practical Pathology Informatics . Nueva York: Springer-Verlag. 2006. págs. 51–82. doi :10.1007/0-387-28058-8_3. ISBN0-387-28057-X. Recuperado el 5 de junio de 2021 .
^ Wilby, RL; Orr, HG; Hedger, M.; Forrow, D.; Blackmore, M. (diciembre de 2006). "Riesgos que plantea el cambio climático para la consecución de los objetivos de la Directiva Marco del Agua en el Reino Unido". Environment International . 32 (8): 1043–1055. Bibcode :2006EnInt..32.1043W. doi :10.1016/j.envint.2006.06.017. ISSN 0160-4120. PMID 16857260.
^ Campbell, T. (2016). "Capítulo 14: Desarrollo de sistemas seguros". Gestión práctica de la seguridad de la información: una guía completa para la planificación y la implementación . Apress. p. 218. ISBN9781484216859.
^ Koppelman, Kent L. (2011). Comprender las diferencias humanas: educación multicultural para una América diversa . Pearson/Allyn & Bacon. OCLC 1245910610.
^ "Postprocesamiento". Escena sencilla, toma sensacional . Routledge. 12 de abril de 2013. págs. 128-147. doi :10.4324/9780240821351-9. ISBN978-0-240-82135-1. Recuperado el 5 de junio de 2021 .
^ Kumar, Binay; Mahto, Tulsi; Kumari, Vinita; Ravi, Binod Kumar; Deepmala (2016). "Charlatanería: cómo puede resultar fatal incluso en casos aparentemente simples: informe de un caso". Actualización médico-legal . 16 (2): 75. doi :10.5958/0974-1283.2016.00063.3. ISSN 0971-720X.
^ Priest, Sally (22 de febrero de 2019). "Roles y responsabilidades compartidas en la gestión del riesgo de inundaciones". Journal of Flood Risk Management . 12 (1): e12528. Bibcode :2019JFRM...12E2528P. doi :10.1111/jfr3.12528. ISSN 1753-318X. S2CID 133789858.
^ Estados Unidos. Departamento de Energía. Oficina del Inspector General. Oficina de Información Científica y Técnica (2009). Informe de auditoría, "Deficiencias en la protección contra incendios en el Laboratorio Nacional de Los Álamos" . Estados Unidos. Departamento de Energía. OCLC 727225166.
^ Toms, Elaine G. (enero de 1992). "Gestión del cambio en bibliotecas y servicios de información: un enfoque de sistemas". Procesamiento y gestión de la información . 28 (2): 281–282. doi :10.1016/0306-4573(92)90052-2. ISSN 0306-4573.
^ Abolhassan, Ferri (2003). "El proceso de gestión del cambio implementado en IDS Scheer". Gestión del cambio en los procesos de negocio . Berlín, Heidelberg: Springer Berlin Heidelberg. pp. 15–22. doi :10.1007/978-3-540-24703-6_2. ISBN978-3-642-05532-4. Recuperado el 5 de junio de 2021 .
^ McCormick, Douglas P. (22 de marzo de 2016). Family Inc.: cómo utilizar principios empresariales para maximizar la riqueza de su familia . John Wiley & Sons. ISBN978-1-119-21976-7.OCLC 945632737 .
^ Schuler, Rainer (agosto de 1995). "Algunas propiedades de conjuntos tratables bajo cualquier distribución computable en tiempo polinomial". Information Processing Letters . 55 (4): 179–184. doi :10.1016/0020-0190(95)00108-o. ISSN 0020-0190.
^ "Gráfico 12.2. Porcentaje de trabajadores por cuenta propia que generalmente no tienen más de un cliente" (Excel) . doi :10.1787/888933881610 . Consultado el 5 de junio de 2021 .
^ "Servidor de archivos multiusuario para redes LAN DOS". Computer Communications . 10 (3): 153. Junio 1987. doi :10.1016/0140-3664(87)90353-7. ISSN 0140-3664.
^ "Definición del cambio organizacional", Cambio organizacional , Oxford, Reino Unido: Wiley-Blackwell, págs. 21-51, 19 de abril de 2011, doi : 10.1002/9781444340372.ch1, ISBN978-1-4443-4037-2, consultado el 5 de junio de 2021
^ Kirchmer, Mathias; Scheer, August-Wilhelm (2003), "Gestión del cambio: clave para la excelencia en los procesos de negocio", Gestión del cambio en los procesos de negocio , Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 1–14, doi :10.1007/978-3-540-24703-6_1, ISBN978-3-642-05532-4, consultado el 5 de junio de 2021
^ Más, Josh; Stieber, Anthony J.; Liu, Chris (2016), "Nivel 2: Help Desk avanzado: Supervisor del Help Desk", Breaking Into Information Security , Elsevier, págs. 111-113, doi :10.1016/b978-0-12-800783-9.00029-x, ISBN978-0-12-800783-9, consultado el 5 de junio de 2021
^ "Una aplicación de redes bayesianas en la puntuación automatizada de tareas de simulación computarizada", Puntuación automatizada de tareas complejas en pruebas basadas en computadora , Routledge, págs. 212-264, 4 de abril de 2006, doi : 10.4324/9780415963572-10, ISBN978-0-415-96357-2, consultado el 5 de junio de 2021
^ Kavanagh, Michael J. (junio de 1994). "Cambio, cambio, cambio". Gestión de grupos y organizaciones . 19 (2): 139–140. doi :10.1177/1059601194192001. ISSN 1059-6011. S2CID 144169263.
^ Taylor, J. (2008). "Capítulo 10: Comprensión del proceso de cambio del proyecto". Programación de proyectos y control de costos: planificación, seguimiento y control de la línea base . J. Ross Publishing. págs. 187–214. ISBN9781932159110.
^ "17. Innovación y cambio: ¿Cualquiera puede hacer esto?", Backstage in a Bureaucracy , University of Hawaii Press, págs. 87-96, 31 de diciembre de 2017, doi :10.1515/9780824860936-019, ISBN978-0-8248-6093-6, consultado el 5 de junio de 2021
^ Braun, Adam (3 de febrero de 2015). La promesa de un lápiz: cómo una persona común puede crear un cambio extraordinario . Simon and Schuster. ISBN978-1-4767-3063-9.OCLC 902912775 .
^ "Descripción del cambio dentro de la persona a lo largo del tiempo", Análisis longitudinal , Routledge, págs. 235-306, 30 de enero de 2015, doi : 10.4324/9781315744094-14, ISBN978-1-315-74409-4, consultado el 5 de junio de 2021
^ Ingraham, Carolyn; Ban, Patricia W. (1984). Legislación del cambio burocrático: la Ley de Reforma del Servicio Civil de 1978. State University of New York Press. ISBN0-87395-886-1.OCLC 10300171 .
^ Wei, J. (4 de mayo de 2000). "Solicitud de cambio preliminar para el anillo compatible con SNS 1.3 GeV". OSTI.GOV . doi :10.2172/1157253. OSTI 1157253 . Consultado el 18 de enero de 2022 .
^ Chen Liang (mayo de 2011). "Gestión de la prioridad de asignación de recursos hídricos agrícolas basada en la teoría del agua virtual". Conferencia internacional de 2011 sobre gestión empresarial e información electrónica . Vol. 1. IEEE. págs. 644–647. doi :10.1109/icbmei.2011.5917018. ISBN.978-1-61284-108-3. Número de identificación del sujeto 29137725.
^ "Riesgos de cambio y mejores prácticas en la gestión de cambios empresariales El riesgo de cambio no gestionado genera problemas para la gestión de cambios", Leading and Implementing Business Change Management , Routledge, págs. 32–74, 18 de julio de 2013, doi :10.4324/9780203073957-9 (inactivo el 11 de septiembre de 2024), ISBN978-0-203-07395-7{{citation}}: CS1 maint: DOI inactivo a partir de septiembre de 2024 ( enlace )
^ "El cambio exitoso requiere algo más que la gestión del cambio". Human Resource Management International Digest . 16 (7). 17 de octubre de 2008. doi :10.1108/hrmid.2008.04416gad.005. ISSN 0967-0734.
^ "Planificación de los recursos hídricos en el marco del cambio climático", Planificación espacial y cambio climático , Routledge, págs. 287-313, 13 de septiembre de 2010, doi : 10.4324/9780203846537-20, ISBN978-0-203-84653-7, consultado el 5 de junio de 2021
^ Rowan, John (enero de 1967). "Respondiendo a la computadora". Management Decision . 1 (1): 51–54. doi :10.1108/eb000776. ISSN 0025-1747.
^ Biswas, Margaret R.; Biswas, Asit K. (febrero de 1981). "Cambio climático y producción de alimentos". Agricultura y medio ambiente . 5 (4): 332. doi :10.1016/0304-1131(81)90050-3. ISSN 0304-1131.
^ Weik, Martin H. (2000), "backout", Diccionario de informática y comunicaciones , pág. 96, doi :10.1007/1-4020-0613-6_1259, ISBN978-0-7923-8425-0
^ "Consejo editorial asesor y de revisión", Negocios y sostenibilidad: conceptos, estrategias y cambios , Estudios críticos sobre responsabilidad corporativa, gobernanza y sostenibilidad, vol. 3, Emerald Group Publishing Limited, págs. xv–xvii, 6 de diciembre de 2011, doi :10.1108/s2043-9059(2011)0000003005, ISBN978-1-78052-438-2, consultado el 5 de junio de 2021
^ "Donde alguna vez hubo un espejismo, debe haber vida", New and Selected Poems , University of South Carolina Press, pág. 103, 2014, doi :10.2307/j.ctv6sj8d1.65, ISBN978-1-61117-323-9, consultado el 5 de junio de 2021
^ Bell, Marvin (1983). "Dos, cuando podrían haber sido tres". The Antioch Review . 41 (2): 209. doi :10.2307/4611230. JSTOR 4611230.
^ "También podemos generar cambios". Documentos de Derechos Humanos en Línea . doi :10.1163/2210-7975_hrd-0148-2015175 . Consultado el 5 de junio de 2021 .
^ Mazikana, Anthony Tapiwa (5 de noviembre de 2020). "'El cambio es la ley de la vida. Y aquellos que sólo miran al pasado o al presente seguramente se perderán el futuro. John F. Kennedy. Evaluación de esta declaración con referencias a organizaciones en Zimbabwe que se han visto afectadas por el cambio". SSRN 3725707.
^ "Se debe implementar una reología más compleja/realista; se deben realizar pruebas de convergencia numérica". Discusiones sobre el desarrollo de modelos geocientíficos . 22 de septiembre de 2020. doi : 10.5194/gmd-2020-107-rc2 . S2CID 241597573.
^ Stone, Edward. Colección Edward C. Stone . OCLC 733102101.
^ Lientz, B (2002). "Desarrolle su plan de implementación de mejoras". Lograr una mejora duradera del proceso . Elsevier. págs. 151–171. doi :10.1016/b978-0-12-449984-3.50011-8. ISBN978-0-12-449984-3. Recuperado el 5 de junio de 2021 .
^ Smeets, Peter (2009). Expeditie agroparken: ontwerpend onderzoek naar metropolitane landbouw y duurzame ontwikkeling . sn] ISBN978-90-8585-515-6.OCLC 441821141 .
^ "Figura 1.3. Alrededor del 50 por ciento de las recomendaciones de Going for Growth se han implementado o están en proceso de implementación". doi :10.1787/888933323735 . Consultado el 5 de junio de 2021 .
^ Kekes, John (21 de febrero de 2019), "¿Se debe hacer justicia a cualquier precio?", Hard Questions , Oxford University Press, pp. 98-126, doi :10.1093/oso/9780190919986.003.0005, ISBN978-0-19-091998-6, consultado el 5 de junio de 2021
^ Forrester, Kellie (2014). Implicaciones macroeconómicas de los cambios en la composición de la fuerza laboral . Universidad de California, Santa Bárbara. ISBN978-1-321-34938-2.OCLC 974418780 .
^ Choudhury, Gagan L.; Rappaport, Stephen S. (octubre de 1981). "Sistemas de acceso múltiple con asignación de demanda que utilizan canales de solicitud de tipo de colisión". ACM SIGCOMM Computer Communication Review . 11 (4): 136–148. doi :10.1145/1013879.802667. ISSN 0146-4833.
^ Crinson, Mark (2013). ""Ciertas cosas antiguas y hermosas, cuyo significado es abstracto, obsoleto": James Stirling y la nostalgia". Cambio a lo largo del tiempo . 3 (1): 116–135. doi :10.1353/cot.2013.0000. ISSN 2153-0548. S2CID 144451363.
^ Ahwidy, Mansour; Pemberton, Lyn (2016). "¿Qué cambios se deben realizar en el sistema de salud electrónico para que se implementen con éxito?". Actas de la Conferencia internacional sobre tecnologías de la información y la comunicación para el envejecimiento saludable y la salud electrónica . Scitepress. págs. 71–79. doi :10.5220/0005620400710079. ISBN .978-989-758-180-9.
^ Mortimer, John (abril de 2010). El paraíso pospuesto . Penguin Adult. ISBN978-0-14-104952-6.OCLC 495596392 .
^ ab Cobey, Sarah; Larremore, Daniel B.; Grad, Yonatan H.; Lipsitch, Marc (2021). "Las preocupaciones sobre la evolución del SARS-CoV-2 no deberían frenar los esfuerzos para ampliar la vacunación". Nature Reviews Immunology . 21 (5): 330–335. doi :10.1038/s41577-021-00544-9. PMC 8014893 . PMID 33795856.
^ Frampton, Michael (26 de diciembre de 2014), "Procesamiento de datos con Map Reduce", Big Data Made Easy , Berkeley, CA: Apress, págs. 85-120, doi :10.1007/978-1-4842-0094-0_4, ISBN978-1-4842-0095-7, consultado el 5 de junio de 2021
^ "Buen estudio en general, pero es necesario corregir varios procedimientos" (PDF) . Discusiones sobre hidrología y ciencias del sistema terrestre . 23 de febrero de 2016. doi : 10.5194/hess-2015-520-rc2 . Consultado el 18 de enero de 2022 .
^ Harrison, Kent; Craft, Walter M.; Hiller, Jack; McCluskey, Michael R.; BDM Federal Inc Seaside CA (julio de 1996). "Borrador de coordinación de revisión por pares. Análisis de tareas para la planificación de inteligencia de conducta (función crítica de combate 1): según lo realizado por una fuerza de tarea de batallón". DTIC ADA313949.
^ itpi.org Archivado el 10 de diciembre de 2013 en Wayback Machine .
^ "Resumen del libro The Visible Ops Handbook: Implementing ITIL in 4 Practical and Auditable Steps" (El manual de operaciones visibles: implementación de ITIL en cuatro pasos prácticos y auditables). wikisummaries.org . Consultado el 22 de junio de 2016 .
^ Bigelow, Michelle (23 de septiembre de 2020), "Control de cambios y gestión de cambios", Implementación de la seguridad de la información en la atención médica , HIMSS Publishing, págs. 203-214, doi : 10.4324/9781003126294-17, ISBN978-1-003-12629-4, S2CID 224866307 , consultado el 5 de junio de 2021
^ Gestión de la continuidad empresarial. Guía sobre la recuperación de la organización tras incidentes disruptivos, BSI British Standards, doi :10.3403/30194308 , consultado el 5 de junio de 2021
^ Hoanh, Chu Thai (1996). Desarrollo de una ayuda informática para la planificación integrada del uso de la tierra (cailup) a nivel regional en zonas irrigadas: un estudio de caso para la región de Quan Lo Phung Hiep en el delta del Mekong, Vietnam . ITC. ISBN90-6164-120-9.OCLC 906763535 .
^ 1 Hibberd, Gary (11 de septiembre de 2015), "Desarrollo de una estrategia de BCM en línea con la estrategia empresarial", The Definitive Handbook of Business Continuity Management , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 23-30, doi : 10.1002/9781119205883.ch2, ISBN 978-1-119-20588-3, consultado el 5 de junio de 2021
^ Hotchkiss, Stuart (2010). Gestión de la continuidad del negocio: en la práctica . BCS Learning & Development Limited. ISBN978-1-906124-72-4.[ página necesaria ]
^ "Identificación de posibles causas de fallas", Análisis de fallas de sistemas , ASM International, págs. 25-33, 2009, doi :10.31399/asm.tb.sfa.t52780025, ISBN978-1-62708-268-6, consultado el 5 de junio de 2021
^ Clemens, Jeffrey. Riesgos para el rendimiento de la innovación médica: el caso de la genética de múltiples factores . OCLC 919958196.
^ Goatcher, Genevieve (2013), "Interrupción máxima aceptable", Enciclopedia de gestión de crisis , Thousand Oaks, CA: SAGE Publications, Inc., doi :10.4135/9781452275956.n204, ISBN978-1-4522-2612-5, consultado el 5 de junio de 2021
^ "Compensaciones en el diseño de segmentos", Software Radio Architecture , Nueva York, EE. UU.: John Wiley & Sons, Inc., págs. 236-243, 17 de enero de 2002, doi : 10.1002/047121664x.ch6, ISBN978-0-471-21664-3, consultado el 5 de junio de 2021
^ Blundell, S. (1998). "EN EMERGENCIAS - gestión integrada de incidentes, atención sanitaria de emergencia y vigilancia medioambiental en redes viales". Seminario IEE sobre el uso de ITS en el transporte público y en los servicios de emergencia . Vol. 1998. IEE. pág. 9. doi :10.1049/ic:19981090.
^ King, Jonathan R. (enero de 1993). "Planes de contingencia y recuperación empresarial". Gestión de sistemas de información . 10 (4): 56–59. doi :10.1080/10580539308906959. ISSN 1058-0530.
^ Phillips, Brenda D.; Landahl, Mark (2021), "Fortalecimiento y prueba de su plan de continuidad empresarial", Business Continuity Planning , Elsevier, págs. 131–153, doi :10.1016/b978-0-12-813844-1.00001-4, ISBN978-0-12-813844-1, S2CID 230582246 , consultado el 5 de junio de 2021
^ Schnurr, Stephanie (2009), "El 'otro' lado del discurso de liderazgo: humor y el desempeño de las actividades de liderazgo relacional", Leadership Discourse at Work , Londres: Palgrave Macmillan UK, págs. 42-60, doi :10.1057/9780230594692_3, ISBN978-1-349-30001-3, consultado el 5 de junio de 2021
^ Relés de tiempo especificado para uso industrial, Normas británicas BSI, doi : 10.3403/02011580u , consultado el 5 de junio de 2021
^ "Plan y procedimiento genérico de muestra: plan de recuperación ante desastres (DRP) para operaciones/centro de datos". Violencia en el lugar de trabajo . Elsevier. 2010. págs. 253–270. doi :10.1016/b978-1-85617-698-9.00025-4. ISBN978-1-85617-698-9. Recuperado el 5 de junio de 2021 .
^ "Plan de recuperación ante desastres de tecnología de la información". Planificación ante desastres para bibliotecas . Chandos Information Professional Series. Elsevier. 2015. págs. 187-197. doi :10.1016/b978-1-84334-730-9.00019-3. ISBN978-1-84334-730-9. Recuperado el 5 de junio de 2021 .
^ "El plan de recuperación ante desastres". Sans Institute . Consultado el 7 de febrero de 2012 .
^ ab OCDE (2016). "Gráfico 1.10. Las regulaciones en el sector no manufacturero tienen un impacto significativo en el sector manufacturero". Reformas de política económica 2016: Informe provisional sobre el crecimiento . Reformas de política económica. París: OECD Publishing. doi :10.1787/growth-2016-en. ISBN9789264250079. Recuperado el 5 de junio de 2021 .
^ Ahupuaʻa [recurso electrónico] : Congreso Mundial de Medio Ambiente y Recursos Hídricos 2008, 12-16 de mayo de 2008, Honolulu, Hawaiʻi . Sociedad Estadounidense de Ingenieros Civiles. 2008. ISBN978-0-7844-0976-3.OCLC 233033926 .
^ Gran Bretaña. Parlamento. Cámara de los Comunes (2007). Protección de datos [HL] Un proyecto de ley [enmendado en el comité permanente d] instituyó una ley para establecer nuevas disposiciones para la regulación del procesamiento de información relacionada con individuos, incluyendo la obtención, tenencia, uso o divulgación de dicha información . Proquest LLC. OCLC 877574826.
^ "Protección de datos, acceso a la información personal y protección de la privacidad", Gobierno y derechos de información: la ley relativa al acceso, la divulgación y su regulación , Bloomsbury Professional, 2019, doi : 10.5040/9781784518998.chapter-002, ISBN978-1-78451-896-7, S2CID 239376648 , consultado el 5 de junio de 2021
^ Lehtonen, Lasse A. (5 de julio de 2017). "Información genética y la Directiva de protección de datos de la Unión Europea". La Directiva de protección de datos y la investigación médica en toda Europa . Routledge. págs. 103-112. doi :10.4324/9781315240350-8. ISBN.978-1-315-24035-0. Recuperado el 5 de junio de 2021 .
^ "Ley de Protección de Datos de 1998". Legislation.gov.uk . Archivos Nacionales . Consultado el 25 de enero de 2018 .
^ "Ley de uso indebido de computadoras de 1990". Leyes de derecho penal 2011-2012 . Routledge. 17 de junio de 2013. págs. 114-118. doi :10.4324/9780203722763-42. ISBN978-0-203-72276-3. Recuperado el 5 de junio de 2021 .
^ Dharmapala, Dhammika; Hines, James (diciembre de 2006). "¿Qué países se convierten en paraísos fiscales?". Serie de documentos de trabajo. Cambridge, MA. doi :10.3386/w12802.
^ "Gráfico 1.14. Las tasas de participación han aumentado, pero el crecimiento de la fuerza laboral se ha desacelerado en varios países". doi :10.1787/888933367391 . Consultado el 5 de junio de 2021 .
^ "Ley de 1990 sobre uso indebido de ordenadores". Legislación.gov.uk . Archivos Nacionales . Consultado el 25 de enero de 2018 .
^ «Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006». EUR-Lex . Unión Europea. 15 de marzo de 2006 . Consultado el 25 de enero de 2018 .
^ "Difamación, expedientes estudiantiles y la Ley Federal de Derechos Educativos y Privacidad de la Familia". Derecho de Educación Superior . Routledge. 14 de diciembre de 2010. págs. 361–394. doi :10.4324/9780203846940-22. ISBN978-0-203-84694-0. Recuperado el 5 de junio de 2021 .
^ ab "Las escuelas de Alabama reciben una subvención de NCLB para mejorar el rendimiento de los estudiantes". Conjunto de datos PsycEXTRA . 2004. doi :10.1037/e486682006-001 . Consultado el 5 de junio de 2021 .
^ Turner-Gottschang, Karen (1987). China bound: a guide to academic life and work in the PRC (De camino a China: una guía para la vida y el trabajo académico en la República Popular China): para el Comité de Comunicación Académica con la República Popular China, Academia Nacional de Ciencias, Consejo Estadounidense de Sociedades Científicas, Consejo de Investigación en Ciencias Sociales . National Academy Press. ISBN0-309-56739-4.OCLC 326709779 .
^ "Cuaderno de auditoría". Manual de examen de tecnología de la información . FFIEC . Consultado el 25 de enero de 2018 .
^ Ray, Amy W. (2004). "Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)". Enciclopedia de gestión de la atención sanitaria . Thousand Oaks, CA: SAGE Publications, Inc. doi :10.4135/9781412950602.n369. ISBN978-0-7619-2674-0. Recuperado el 5 de junio de 2021 .
^ "Ley Pública 104-191 - Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996". Oficina de Publicaciones del Gobierno de los Estados Unidos . Consultado el 25 de enero de 2018 .
^ "Ley Pública 106 - 102 - Ley Gramm–Leach–Bliley de 1999" (PDF) . Oficina de Publicaciones del Gobierno de los Estados Unidos . Consultado el 25 de enero de 2018 .
^ Alase, Abayomi Oluwatosin (2016). El impacto de la Ley Sarbanes-Oxley (SOX) en las pequeñas empresas que cotizan en bolsa y sus comunidades (Tesis). Biblioteca de la Universidad del Noreste. doi :10.17760/d20204801.
^ Solis, Lupita (2019). Tendencias educativas y profesionales de los directores financieros (Tesis). Biblioteca de la Universidad Estatal de Portland. doi :10.15760/honors.763.
^ "Ley Pública 107 - 204 - Ley Sarbanes-Oxley de 2002". Oficina de Publicaciones del Gobierno de los Estados Unidos . Consultado el 25 de enero de 2018 .
^ "Glosario, abreviaturas y acrónimos de PCI DSS", Manual de estándares de seguridad de datos de la industria de tarjetas de pago , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., págs. 185-199, 18 de septiembre de 2015, doi : 10.1002/9781119197218.gloss, ISBN978-1-119-19721-8, consultado el 5 de junio de 2021
^ "PCI Breakdown (Control Objectives and Associated Standards)", Manual de estándares de seguridad de datos de la industria de tarjetas de pago , Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc., pág. 61, 18 de septiembre de 2015, doi : 10.1002/9781119197218.part2, ISBN978-1-119-19721-8, consultado el 5 de junio de 2021
^ Ravallion, Martin; Chen, Shaohua (agosto de 2017). "Medidas de pobreza global compatibles con el bienestar". Serie de documentos de trabajo. doi :10.3386/w23739 . Consultado el 18 de enero de 2022 .
^ "Estándar de seguridad de datos de la industria de tarjetas de pago (PCI): requisitos y procedimientos de evaluación de seguridad - Versión 3.2" (PDF) . Security Standards Council. Abril de 2016 . Consultado el 25 de enero de 2018 .
^ "Leyes de notificación de violaciones de seguridad". Conferencia Nacional de Legislaturas Estatales. 12 de abril de 2017. Consultado el 25 de enero de 2018 .
^ Stein, Stuart G.; Schaberg, Richard A.; Biddle, Laura R., eds. (23 de junio de 2015). Libro de respuestas de instituciones financieras, 2015: derecho, gobernanza, cumplimiento . Practising Law Institute. ISBN978-1-4024-2405-2.OCLC 911952833 .
^ "Información personal y protección de datos", Protección de la información personal , Hart Publishing, 2019, doi :10.5040/9781509924882.ch-002, ISBN978-1-5099-2485-1, S2CID 239275871 , consultado el 5 de junio de 2021
^ Capítulo 5. Ley para apoyar y promover el comercio electrónico mediante la protección de la información personal que se recopila, utiliza o divulga en determinadas circunstancias, al prever el uso de medios electrónicos para comunicar o registrar información o transacciones y al modificar la Ley de pruebas de Canadá, la Ley de instrumentos legales y la Ley de revisión de la ley . Imprenta de la Reina para Canadá. 2000. OCLC 61417862.
^ "Comentarios". Statute Law Review . 5 (1): 184–188. 1984. doi :10.1093/slr/5.1.184. ISSN 0144-3593.
^ "Ley de protección de la información personal y de los documentos electrónicos" (PDF) . Ministro de Justicia de Canadá . Consultado el 25 de enero de 2018 .
^ Werner, Martin (11 de mayo de 2011). "Comunicación protegida por privacidad para servicios basados en la ubicación". Seguridad y redes de comunicación . 9 (2): 130–138. doi :10.1002/sec.330. ISSN 1939-0114.
^ "Reglamento para la garantía de la confidencialidad en las comunicaciones electrónicas" (PDF) . Boletín Oficial de la República Helénica . Autoridad griega para la seguridad y privacidad de las comunicaciones . 17 de noviembre de 2011. Archivado desde el original (PDF) el 25 de junio de 2013 . Consultado el 25 de enero de 2018 .
^ de Guise, Preston (29 de abril de 2020), "Consideraciones de seguridad, privacidad, ética y legal", Protección de datos , Auerbach Publications, págs. 91-108, doi :10.1201/9780367463496-9, ISBN978-0-367-46349-6, S2CID 219013948 , consultado el 5 de junio de 2021
^ "Αριθμ. απόφ. 205/2013" (PDF) . Boletín Oficial de la República Helénica . Autoridad Helénica para la Seguridad y Privacidad de las Comunicaciones. 15 de julio de 2013. Archivado desde el original (PDF) el 4 de febrero de 2019. Consultado el 25 de enero de 2018 .
^ Andersson y Reimers, 2019, POLÍTICA LABORAL DE SEGURIDAD CIBERNÉTICA Y DEMANDA EN EL LUGAR DE TRABAJO EN EL GOBIERNO DE ESTADOS UNIDOS, Actas de EDULEARN19, Año de publicación: 2019 Páginas: 7858-7866 https://library.iated.org/view/ANDERSON2019CYB
^ "Definición de cultura de seguridad". The Security Culture Framework . 9 de abril de 2014. Archivado desde el original el 27 de enero de 2019. Consultado el 27 de enero de 2019 .
^ Roer, Kai; Petric, Gregor (2017). Informe sobre la cultura de seguridad de 2017: perspectivas detalladas sobre el factor humano . CLTRe North America, Inc., págs. 42-43. ISBN978-1544933948.
^ Akhtar, Salman, ed. (21 de marzo de 2018). Buenos sentimientos. Routledge. doi :10.4324/9780429475313. ISBN9780429475313.
^ Anderson, D., Reimers, K. y Barretto, C. (marzo de 2014). Seguridad de redes en la educación postsecundaria: resultados de abordar el desafío del usuario final. Fecha de publicación: 11 de marzo de 2014 Descripción de la publicación INTED2014 (Conferencia internacional sobre tecnología, educación y desarrollo)
^ ab Schlienger, Thomas; Teufel, Stephanie (diciembre de 2003). "Cultura de seguridad de la información: del análisis al cambio". Sociedad Sudafricana de Computación (SAICSIT) . 2003 (31): 46–52. hdl :10520/EJC27949.
^ "Directrices para la ciberseguridad de las redes inteligentes" (PDF) . Instituto Nacional de Normas y Tecnología . Septiembre de 2014. doi :10.6028/NIST.IR.7628r1 . Consultado el 28 de noviembre de 2023 .
^ "Base de datos de recomendaciones UIT-T".
Bibliografía
Allen, Julia H. (2001). Guía CERT para prácticas de seguridad de sistemas y redes. Boston, MA: Addison-Wesley. ISBN 978-0-201-73723-3.
Krutz, Ronald L.; Russell Dean Vines (2003). La guía de preparación de CISSP (edición dorada). Indianápolis, IN: Wiley. ISBN 978-0-471-26802-4.
Layton, Timothy P. (2007). Seguridad de la información: diseño, implementación, medición y cumplimiento normativo . Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-7087-8.
McNab, Chris (2004). Evaluación de la seguridad de la red . Sebastopol, CA: O'Reilly. ISBN 978-0-596-00611-2.
Peltier, Thomas R. (2001). Análisis de riesgos de seguridad de la información . Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-0880-2.
Peltier, Thomas R. (2002). Políticas, procedimientos y estándares de seguridad de la información: directrices para una gestión eficaz de la seguridad de la información . Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-1137-6.
White, Gregory (2003). Guía del examen de certificación All-in-one Security+ . Emeryville, CA: McGraw-Hill/Osborne. ISBN 978-0-07-222633-1.
Dhillon, Gurpreet (2007). Principios de seguridad de los sistemas de información: texto y casos . Nueva York: John Wiley & Sons. ISBN 978-0-471-45056-6.
Whitman, Michael; Mattord, Herbert (2017). Principios de seguridad de la información . Cengage . ISBN 978-1337102063.
Lectura adicional
Anderson, K., "Los profesionales de seguridad informática deben evolucionar para un mercado cambiante", SC Magazine , 12 de octubre de 2006.
Aceituno, V., "Sobre paradigmas de seguridad de la información", ISSA Journal , septiembre de 2005.
Lambo, T., "ISO/IEC 27001: El futuro de la certificación de seguridad de la información", ISSA Journal , noviembre de 2006.
Dustin, D., "Conciencia sobre cómo se utilizan sus datos y qué hacer al respecto", "Blog de CDR", mayo de 2017.
Dhillon, G., "El núcleo intelectual de la seguridad de los sistemas de información", Journal of Information Systems Security , Vol. 19, No 2.
Enlaces externos
Wikimedia Commons tiene medios relacionados con Seguridad de la información .
Cuadro de políticas de IA del Departamento de Defensa Archivado el 6 de septiembre de 2011 en Wayback Machine en el sitio web del Centro de análisis de tecnología de garantía de la información del Departamento de Defensa.
Patrones y prácticas de ingeniería de seguridad explicadas
Arquitectura de seguridad abierta: controles y patrones para proteger los sistemas de TI
IWS – Capítulo de Seguridad de la Información Archivado el 8 de noviembre de 2019 en Wayback Machine
El libro de Ross Anderson "Ingeniería de seguridad"
teciza.in
Guía gratuita del Anexo A 5.1 de la norma ISO 27001