La seguridad de la información , a veces abreviada como infosec , [1] es la práctica de proteger la información mitigando los riesgos de la misma. Es parte de la gestión de riesgos de la información . [2] [3] Por lo general, implica prevenir o reducir la probabilidad de acceso no autorizado o inapropiado a los datos o el uso ilegal, divulgación , interrupción, eliminación, corrupción , modificación, inspección, registro o devaluación de la información. [4] También implica acciones destinadas a reducir los impactos adversos de tales incidentes. La información protegida puede adoptar cualquier forma, por ejemplo, electrónica o física, tangible (por ejemplo, papeleo ) o intangible (por ejemplo, conocimiento ). [5] [6] El enfoque principal de la seguridad de la información es la protección equilibrada de la confidencialidad , integridad y disponibilidad de los datos (también conocida como la tríada "CIA") manteniendo al mismo tiempo un enfoque en la implementación eficiente de políticas , todo sin obstaculizar la productividad de la organización . [7] Esto se logra en gran medida mediante un proceso estructurado de gestión de riesgos que implica:
Decidir cómo abordar o tratar los riesgos, es decir, evitarlos, mitigarlos, compartirlos o aceptarlos.
Cuando se requiera mitigación de riesgos, seleccionar o diseñar controles de seguridad adecuados e implementarlos
Monitorear las actividades y realizar los ajustes necesarios para abordar cualquier problema, cambio u oportunidad de mejora [8]
Para estandarizar esta disciplina, académicos y profesionales colaboran para ofrecer orientación, políticas y estándares de la industria sobre contraseñas , software antivirus , firewalls , software de cifrado , responsabilidad legal , concientización y capacitación en seguridad, etc. [9] Esta estandarización puede verse impulsada aún más por una amplia variedad de leyes y regulaciones que afectan la forma en que se accede, procesa, almacena, transfiere y destruye los datos. [10] Sin embargo, la implementación de cualquier norma y guía dentro de una entidad puede tener un efecto limitado si no se adopta una cultura de mejora continua . [11]
Definición
A continuación se sugieren varias definiciones de seguridad de la información, resumidas de diferentes fuentes:
"Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota: Además, también pueden estar involucradas otras propiedades, como autenticidad, responsabilidad, no repudio y confiabilidad." (ISO/CEI 27000:2018) [13]
"La protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados con el fin de brindar confidencialidad, integridad y disponibilidad". (CNSS, 2010) [14]
"Asegura que sólo los usuarios autorizados (confidencialidad) tengan acceso a información precisa y completa (integridad) cuando sea necesaria (disponibilidad)". ( ISACA , 2008) [15]
"La Seguridad de la Información es el proceso de protección de la propiedad intelectual de una organización". (Pipkin, 2000) [16]
"...la seguridad de la información es una disciplina de gestión de riesgos, cuyo trabajo es gestionar el costo del riesgo de la información para el negocio." (McDermott y Geer, 2001) [17]
"Un sentido bien informado de seguridad de que los riesgos y controles de la información están en equilibrio". (Anderson, J., 2003) [18]
"La seguridad de la información es la protección de la información y minimiza el riesgo de exponerla a partes no autorizadas". (Venter y Eloff, 2003) [19]
"La Seguridad de la Información es un área multidisciplinaria de estudio y actividad profesional que se ocupa del desarrollo e implementación de mecanismos de seguridad de todo tipo disponibles (técnicos, organizativos, humanos y legales) con el fin de mantener la información en todas sus ubicaciones (dentro y fuera del perímetro de la organización) y, en consecuencia, los sistemas de información, donde la información se crea, procesa, almacena, transmite y destruye, libre de amenazas [20] Las amenazas a la información y los sistemas de información pueden clasificarse y definirse un objetivo de seguridad correspondiente. cada categoría de amenazas. [21] Un conjunto de objetivos de seguridad, identificados como resultado de un análisis de amenazas, debe revisarse periódicamente para garantizar su adecuación y conformidad con el entorno en evolución. [22] El conjunto de objetivos de seguridad actualmente relevantes puede incluir. : confidencialidad, integridad, disponibilidad, privacidad, autenticidad y confiabilidad, no repudio, responsabilidad y auditabilidad. " (Cherdantseva y Hilton, 2013) [12]
La seguridad de la información y los recursos de información mediante sistemas o dispositivos de telecomunicaciones significa proteger la información, los sistemas de información o los libros contra el acceso no autorizado, el daño, el robo o la destrucción (Kurose y Ross, 2010). [23]
Descripción general
En el centro de la seguridad de la información está el aseguramiento de la información, el acto de mantener la confidencialidad, integridad y disponibilidad (CIA) de la información, garantizando que la información no se vea comprometida de ninguna manera cuando surjan problemas críticos. [24] Estos problemas incluyen, entre otros, desastres naturales, mal funcionamiento de computadoras/servidores y robo físico. Si bien las operaciones comerciales basadas en papel todavía prevalecen y requieren su propio conjunto de prácticas de seguridad de la información, las iniciativas digitales empresariales se están enfatizando cada vez más, [25] [26] y el aseguramiento de la información ahora generalmente está a cargo de especialistas en seguridad de tecnología de la información (TI). Estos especialistas aplican la seguridad de la información a la tecnología (la mayoría de las veces, algún tipo de sistema informático). Vale la pena señalar que una computadora no significa necesariamente una computadora de escritorio en casa. [27] Una computadora es cualquier dispositivo con un procesador y algo de memoria. Dichos dispositivos pueden variar desde dispositivos independientes no conectados en red, tan simples como calculadoras, hasta dispositivos informáticos móviles conectados en red, como teléfonos inteligentes y tabletas. [28] Los especialistas en seguridad de TI casi siempre se encuentran en cualquier empresa o establecimiento importante debido a la naturaleza y el valor de los datos dentro de las empresas más grandes. [29] Son responsables de mantener toda la tecnología dentro de la empresa segura contra ataques cibernéticos maliciosos que a menudo intentan adquirir información privada crítica u obtener el control de los sistemas internos. [30] [31]
El campo de la seguridad de la información ha crecido y evolucionado significativamente en los últimos años. [32] Ofrece muchas áreas de especialización, incluida la protección de redes e infraestructura aliada , la protección de aplicaciones y bases de datos , pruebas de seguridad , auditoría de sistemas de información , planificación de la continuidad del negocio , descubrimiento de registros electrónicos y análisis forense digital . [33] Los profesionales de seguridad de la información son muy estables en su empleo. [34] A partir de 2013, [actualizar]más del 80 por ciento de los profesionales no tuvieron ningún cambio de empleador o empleo durante un período de un año, y se proyecta que el número de profesionales crecerá continuamente más del 11 por ciento anualmente entre 2014 y 2019. [35]
Amenazas
Las amenazas a la seguridad de la información se presentan de muchas formas diferentes. [36] [37] Algunas de las amenazas más comunes hoy en día son ataques de software, robo de propiedad intelectual, robo de identidad, robo de equipos o información, sabotaje y extorsión de información. [38] [39] Virus , [40] gusanos , ataques de phishing y caballos de Troya son algunos ejemplos comunes de ataques de software. El robo de propiedad intelectual también ha sido un problema importante para muchas empresas en el campo de la tecnología de la información ( TI ). [41] El robo de identidad es el intento de actuar como otra persona, generalmente para obtener información personal de esa persona o aprovechar su acceso a información vital a través de ingeniería social . [42] [43] El robo de equipos o información es cada vez más frecuente hoy en día debido al hecho de que la mayoría de los dispositivos actuales son móviles, [44] son propensos al robo y también se han vuelto mucho más deseables a medida que aumenta la cantidad de capacidad de datos. El sabotaje suele consistir en la destrucción del sitio web de una organización en un intento de provocar la pérdida de confianza por parte de sus clientes. [45] La extorsión de información consiste en el robo de propiedad o información de una empresa como un intento de recibir un pago a cambio de devolver la información o propiedad a su propietario, como ocurre con el ransomware . [46] Hay muchas maneras de ayudar a protegerse de algunos de estos ataques, pero una de las precauciones más funcionales es concienciar periódicamente al usuario. [47] La amenaza número uno para cualquier organización son los usuarios o empleados internos, también se les llama amenazas internas. [48]
Los gobiernos , el ejército , las corporaciones , las instituciones financieras , los hospitales , las organizaciones sin fines de lucro y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigaciones y situación financiera. [49] Si información confidencial sobre los clientes o las finanzas de una empresa o una nueva línea de productos cae en manos de un competidor o un hacker de sombrero negro , una empresa y sus clientes podrían sufrir pérdidas financieras generalizadas e irreparables, así como daños a la reputación de la empresa. . [50] Desde una perspectiva empresarial, la seguridad de la información debe equilibrarse con el coste; El modelo Gordon-Loeb proporciona un enfoque económico matemático para abordar esta preocupación. [51]
Para el individuo, la seguridad de la información tiene un efecto significativo en la privacidad , que se ve de manera muy diferente en distintas culturas . [52]
Respuestas a las amenazas
Las posibles respuestas a una amenaza o riesgo de seguridad son: [53]
Reducir/mitigar: implementar salvaguardas y contramedidas para eliminar vulnerabilidades o bloquear amenazas.
asignar/transferir: colocar el costo de la amenaza en otra entidad u organización, como comprar un seguro o subcontratar
aceptar – evaluar si el costo de la contramedida supera el posible costo de la pérdida debido a la amenaza [54]
Historia
Desde los primeros días de la comunicación, los diplomáticos y los comandantes militares comprendieron que era necesario proporcionar algún mecanismo para proteger la confidencialidad de la correspondencia y contar con algunos medios para detectar la manipulación . [55] A Julio César se le atribuye la invención del cifrado César c. 50 a. C., que fue creado para evitar que sus mensajes secretos fueran leídos en caso de que un mensaje cayera en manos equivocadas. [56] Sin embargo, en su mayor parte la protección se logró mediante la aplicación de controles procesales de manipulación. [57] [58] La información confidencial estaba marcada para indicar que debía ser protegida y transportada por personas de confianza, custodiada y almacenada en un ambiente seguro o caja fuerte. [59] A medida que los servicios postales se expandieron, los gobiernos crearon organizaciones oficiales para interceptar, descifrar, leer y volver a sellar cartas (por ejemplo, la Oficina Secreta del Reino Unido, fundada en 1653 [60] ).
A mediados del siglo XIX se desarrollaron sistemas de clasificación más complejos para permitir a los gobiernos gestionar su información según el grado de sensibilidad. [61] Por ejemplo, el gobierno británico codificó esto, hasta cierto punto, con la publicación de la Ley de Secretos Oficiales en 1889. [62] La sección 1 de la ley se refería al espionaje y las revelaciones ilegales de información, mientras que la sección 2 se ocupaba de las violaciones de confianza oficial. [63] Pronto se añadió una defensa de interés público para defender las divulgaciones en interés del Estado. [64] Una ley similar se aprobó en la India en 1889, la Ley de Secretos Oficiales de la India, que se asoció con la era colonial británica y se utilizó para reprimir los periódicos que se oponían a las políticas del Raj. [65] En 1923 se aprobó una versión más nueva que se extendía a todos los asuntos de información confidencial o secreta para el gobierno. [66] En la época de la Primera Guerra Mundial , se utilizaban sistemas de clasificación de varios niveles para comunicar información hacia y desde varios frentes, lo que fomentaba un mayor uso de secciones de creación y descifrado de códigos en las sedes diplomáticas y militares. [67] La codificación se volvió más sofisticada entre guerras a medida que se empleaban máquinas para codificar y descifrar la información. [68]
El establecimiento de la seguridad informática inauguró la historia de la seguridad de la información. La necesidad de esto apareció durante la Segunda Guerra Mundial . [69] El volumen de información compartida por los países aliados durante la Segunda Guerra Mundial requirió una alineación formal de los sistemas de clasificación y controles de procedimiento. [70] Una misteriosa variedad de marcas evolucionó para indicar quién podía manejar documentos (generalmente oficiales en lugar de tropas alistadas) y dónde debían almacenarse a medida que se desarrollaban cajas fuertes e instalaciones de almacenamiento cada vez más complejas. [71] La Máquina Enigma , que fue empleada por los alemanes para cifrar los datos de la guerra y fue descifrada con éxito por Alan Turing , puede considerarse como un ejemplo sorprendente de creación y uso de información segura. [72] Los procedimientos evolucionaron para garantizar que los documentos se destruyeran adecuadamente, y fue el incumplimiento de estos procedimientos lo que condujo a algunos de los mayores golpes de inteligencia de la guerra (por ejemplo, la captura del U-570 [72] ).
En 1973, el pionero de Internet Robert Metcalfe descubrió que elementos importantes de la seguridad de ARPANET tenían muchos defectos, como: "vulnerabilidad de la estructura y los formatos de las contraseñas; falta de procedimientos de seguridad para las conexiones de acceso telefónico ; e identificación y autorizaciones de usuario inexistentes", además de la falta de controles y salvaguardas para mantener los datos a salvo del acceso no autorizado. Los piratas informáticos tuvieron acceso sin esfuerzo a ARPANET, ya que el público conocía los números de teléfono. [74] Debido a estos problemas, junto con la constante violación de la seguridad informática, así como el aumento exponencial en el número de hosts y usuarios del sistema, a menudo se aludía a la "seguridad de la red" como "inseguridad de la red". [74]
A finales del siglo XX y los primeros años del siglo XXI se produjeron rápidos avances en las telecomunicaciones , el hardware y software informático y el cifrado de datos . [75] La disponibilidad de equipos informáticos más pequeños, más potentes y menos costosos hizo que el procesamiento electrónico de datos estuviera al alcance de las pequeñas empresas y los usuarios domésticos. [76] El establecimiento del Protocolo de control de transferencias/Protocolo de Internet (TCP/IP) a principios de la década de 1980 permitió que diferentes tipos de computadoras se comunicaran. [77] Estas computadoras rápidamente se interconectaron a través de Internet . [78]
El rápido crecimiento y el uso generalizado del procesamiento electrónico de datos y los negocios electrónicos realizados a través de Internet, junto con numerosos casos de terrorismo internacional , alimentaron la necesidad de mejores métodos para proteger las computadoras y la información que almacenan, procesan y transmiten. [79] Las disciplinas académicas de seguridad informática y garantía de la información surgieron junto con numerosas organizaciones profesionales, todas compartiendo los objetivos comunes de garantizar la seguridad y confiabilidad de los sistemas de información . [80]
Principios básicos
Conceptos clave
La tríada "CIA" de confidencialidad , integridad y disponibilidad está en el corazón de la seguridad de la información . [81] (Los miembros de la tríada clásica de InfoSec (confidencialidad, integridad y disponibilidad) se denominan indistintamente en la literatura atributos de seguridad, propiedades, objetivos de seguridad, aspectos fundamentales, criterios de información, características de información crítica y componentes básicos). [82] Sin embargo, continúa el debate sobre si esta tríada es suficiente o no para abordar los requisitos tecnológicos y comerciales que cambian rápidamente, con recomendaciones para considerar la ampliación de las intersecciones entre disponibilidad y confidencialidad, así como la relación entre seguridad y privacidad. [24] En ocasiones se han propuesto otros principios como el de "rendición de cuentas"; Se ha señalado que cuestiones como el no repudio no encajan bien dentro de los tres conceptos centrales. [83]
La tríada parece haber sido mencionada por primera vez en una publicación del NIST en 1977. [84]
En 1992 y revisadas en 2002, las Directrices de la OCDE para la seguridad de los sistemas y redes de información [85] propusieron nueve principios generalmente aceptados: conciencia , responsabilidad, respuesta, ética, democracia, evaluación de riesgos, diseño e implementación de seguridad, gestión de la seguridad. y reevaluación. [86] Sobre la base de estos, en 2004 los Principios de ingeniería para la seguridad de la tecnología de la información del NIST [83] propusieron 33 principios. De cada una de estas se derivan pautas y prácticas.
En seguridad de la información, la confidencialidad "es la propiedad de que la información no se pone a disposición ni se divulga a personas, entidades o procesos no autorizados". [92] Si bien son similares a "privacidad", las dos palabras no son intercambiables. Más bien, la confidencialidad es un componente de la privacidad que se implementa para proteger nuestros datos de espectadores no autorizados. [93] Ejemplos de confidencialidad de datos electrónicos comprometidos incluyen el robo de computadoras portátiles, el robo de contraseñas o el envío de correos electrónicos confidenciales a personas incorrectas. [94]
Integridad
En seguridad de TI, la integridad de los datos significa mantener y garantizar la precisión e integridad de los datos durante todo su ciclo de vida. [95] Esto significa que los datos no pueden modificarse de manera no autorizada o sin ser detectados. [96] Esto no es lo mismo que la integridad referencial en las bases de datos , aunque puede verse como un caso especial de coherencia tal como se entiende en el modelo ACID clásico de procesamiento de transacciones . [97] Los sistemas de seguridad de la información suelen incorporar controles para garantizar su propia integridad, en particular protegiendo el núcleo o las funciones principales contra amenazas tanto deliberadas como accidentales. [98] Los sistemas informáticos multipropósito y multiusuario tienen como objetivo compartimentar los datos y el procesamiento de manera que ningún usuario o proceso pueda afectar negativamente a otro: sin embargo, es posible que los controles no tengan éxito, como vemos en incidentes como infecciones de malware, piratería, ataques de datos. robo, fraude y violaciones de la privacidad. [99]
En términos más generales, la integridad es un principio de seguridad de la información que involucra la integridad humana/social, de procesos y comercial, así como la integridad de los datos. Como tal, toca aspectos como credibilidad, coherencia, veracidad, integridad, exactitud, puntualidad y seguridad. [100]
Disponibilidad
Para que cualquier sistema de información cumpla su propósito, la información debe estar disponible cuando sea necesaria. [101] Esto significa que los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerla y los canales de comunicación utilizados para acceder a ella deben estar funcionando correctamente. [102] Los sistemas de alta disponibilidad tienen como objetivo permanecer disponibles en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallas de hardware y actualizaciones del sistema. [103] Garantizar la disponibilidad también implica prevenir ataques de denegación de servicio , como una avalancha de mensajes entrantes al sistema de destino, lo que esencialmente lo obliga a cerrarse. [104]
En el ámbito de la seguridad de la información, la disponibilidad a menudo puede verse como una de las partes más importantes de un programa de seguridad de la información exitoso. [ cita necesaria ] En última instancia, los usuarios finales deben poder realizar funciones laborales; Al garantizar la disponibilidad, una organización puede desempeñarse según los estándares que esperan las partes interesadas de una organización. [105] Esto puede involucrar temas como configuraciones de proxy, acceso web externo, la capacidad de acceder a unidades compartidas y la capacidad de enviar correos electrónicos. [106] Los ejecutivos a menudo no comprenden el aspecto técnico de la seguridad de la información y consideran la disponibilidad como una solución fácil, pero esto a menudo requiere la colaboración de muchos equipos organizacionales diferentes, como operaciones de red, operaciones de desarrollo, respuesta a incidentes y gestión de políticas/cambios. . [107] Un equipo de seguridad de la información exitoso implica muchos roles clave diferentes que deben combinarse y alinearse para que la tríada "CIA" se proporcione de manera efectiva. [108]
No repudio
En derecho, el no repudio implica la intención de uno de cumplir con sus obligaciones contractuales. También implica que una parte de una transacción no puede negar haber recibido una transacción, ni la otra parte puede negar haber enviado una transacción. [109]
Es importante señalar que, si bien tecnologías como los sistemas criptográficos pueden ayudar en los esfuerzos de no repudio, el concepto es, en esencia, un concepto jurídico que trasciende el ámbito de la tecnología. [110] No es suficiente, por ejemplo, demostrar que el mensaje coincide con una firma digital firmada con la clave privada del remitente y, por lo tanto, solo el remitente podría haber enviado el mensaje y nadie más podría haberlo alterado en tránsito ( integridad de los datos ). ). [111] El presunto remitente podría a cambio demostrar que el algoritmo de firma digital es vulnerable o defectuoso, o alegar o probar que su clave de firma ha sido comprometida. [112] La culpa de estas violaciones puede o no recaer en el remitente, y tales afirmaciones pueden o no eximir al remitente de responsabilidad, pero la afirmación invalidaría la afirmación de que la firma necesariamente prueba autenticidad e integridad. Como tal, el remitente puede repudiar el mensaje (porque la autenticidad y la integridad son requisitos previos para el no repudio). [113]
Gestión de riesgos
En términos generales, el riesgo es la probabilidad de que suceda algo malo que cause daño a un activo informativo (o la pérdida del activo). [114] Una vulnerabilidad es una debilidad que podría usarse para poner en peligro o causar daño a un activo de información. Una amenaza es cualquier cosa (provocada por el hombre o por un acto de la naturaleza ) que tiene el potencial de causar daño. [115] La probabilidad de que una amenaza utilice una vulnerabilidad para causar daño crea un riesgo. Cuando una amenaza utiliza una vulnerabilidad para infligir daño, tiene un impacto. [116] En el contexto de la seguridad de la información, el impacto es una pérdida de disponibilidad, integridad y confidencialidad, y posiblemente otras pérdidas (pérdida de ingresos, pérdida de vidas, pérdida de bienes inmuebles). [117]
El Manual de revisión del Auditor Certificado de Sistemas de Información (CISA) de 2006 define la gestión de riesgos como "el proceso de identificar vulnerabilidades y amenazas a los recursos de información utilizados por una organización para lograr los objetivos comerciales y decidir qué contramedidas , [118] si corresponde, tomar en cuenta". Reducir el riesgo a un nivel aceptable, basado en el valor del recurso de información para la organización. [119]
Hay dos cosas en esta definición que pueden necesitar alguna aclaración. Primero, el proceso de gestión de riesgos es un proceso continuo e iterativo . Debe repetirse indefinidamente. El entorno empresarial cambia constantemente y cada día surgen nuevas amenazas y vulnerabilidades . [120] En segundo lugar, la elección de las contramedidas ( controles ) utilizadas para gestionar los riesgos debe lograr un equilibrio entre la productividad, el costo, la eficacia de la contramedida y el valor del activo de información que se protege. [121] Además, estos procesos tienen limitaciones ya que las violaciones de seguridad son generalmente raras y surgen en un contexto específico que puede no ser fácilmente duplicado. [122] Por lo tanto, cualquier proceso y contramedida debe evaluarse en busca de vulnerabilidades. [123] No es posible identificar todos los riesgos ni eliminarlos. El riesgo restante se denomina "riesgo residual". [124]
Una evaluación de riesgos la lleva a cabo un equipo de personas que tienen conocimientos de áreas específicas del negocio. [125] La composición del equipo puede variar con el tiempo a medida que se evalúan diferentes partes del negocio. [126] La evaluación puede utilizar un análisis cualitativo subjetivo basado en una opinión informada, o cuando se dispone de cifras en dólares confiables e información histórica, el análisis puede utilizar un análisis cuantitativo .
Las investigaciones han demostrado que el punto más vulnerable en la mayoría de los sistemas de información es el usuario, operador, diseñador u otro ser humano. [127] El Código de prácticas ISO/IEC 27002:2005 para la gestión de la seguridad de la información recomienda que se examine lo siguiente durante una evaluación de riesgos:
En términos generales, el proceso de gestión de riesgos consta de: [128] [129]
Identificación de activos y estimación de su valor. Incluye: personas, edificios, hardware, software, datos (electrónicos, impresos, otros), suministros. [130]
Realizar una evaluación de amenazas . Incluyen: Actos de la naturaleza, actos de guerra, accidentes, actos dolosos originados dentro o fuera de la organización. [131]
Calcular el impacto que cada amenaza tendría sobre cada activo. Utilice análisis cualitativo o análisis cuantitativo. [133]
Identificar, seleccionar e implementar controles apropiados. Proporcionar una respuesta proporcional. Considere la productividad, la rentabilidad y el valor del activo. [134]
Evaluar la eficacia de las medidas de control. Asegúrese de que los controles proporcionen la protección rentable requerida sin una pérdida perceptible de productividad. [135]
Para cualquier riesgo dado, la administración puede optar por aceptar el riesgo basándose en el valor relativamente bajo del activo, la frecuencia relativamente baja de ocurrencia y el impacto relativamente bajo en el negocio. [136] O bien, el liderazgo puede optar por mitigar el riesgo seleccionando e implementando medidas de control apropiadas para reducir el riesgo. En algunos casos, el riesgo se puede transferir a otra empresa mediante la compra de un seguro o la subcontratación a otra empresa. [137] La realidad de algunos riesgos puede ser discutida. En tales casos, el liderazgo puede optar por negar el riesgo. [138]
Controles de seguridad
Seleccionar e implementar controles de seguridad adecuados ayudará inicialmente a una organización a reducir el riesgo a niveles aceptables. [139] La selección de controles debe seguir y basarse en la evaluación de riesgos. [140] Los controles pueden variar en naturaleza, pero fundamentalmente son formas de proteger la confidencialidad, integridad o disponibilidad de la información. ISO/IEC 27001 ha definido controles en diferentes áreas. [141] Las organizaciones pueden implementar controles adicionales según los requisitos de la organización. [142] ISO/IEC 27002 ofrece una guía para los estándares de seguridad de la información organizacional. [143]
Administrativo
Los controles administrativos (también llamados controles de procedimiento) consisten en políticas, procedimientos, estándares y directrices escritos aprobados. Los controles administrativos forman el marco para dirigir el negocio y gestionar a las personas. [144] Informan a las personas sobre cómo se administrará el negocio y cómo se llevarán a cabo las operaciones diarias. Las leyes y reglamentos creados por organismos gubernamentales también son un tipo de control administrativo porque informan a la empresa. [145] Algunos sectores industriales tienen políticas, procedimientos, estándares y directrices que deben seguirse; el Estándar de seguridad de datos de la industria de tarjetas de pago [146] (PCI DSS) requerido por Visa y MasterCard es un ejemplo. Otros ejemplos de controles administrativos incluyen la política de seguridad corporativa, la política de contraseñas , las políticas de contratación y las políticas disciplinarias. [147]
Los controles administrativos forman la base para la selección e implementación de controles lógicos y físicos. Los controles lógicos y físicos son manifestaciones de los controles administrativos, que son de suma importancia. [144]
Lógico
Los controles lógicos (también llamados controles técnicos) utilizan software y datos para monitorear y controlar el acceso a la información y los sistemas informáticos . [ cita necesaria ] Contraseñas, firewalls de red y basados en host, sistemas de detección de intrusiones en la red, listas de control de acceso y cifrado de datos son ejemplos de controles lógicos. [148]
Un control lógico importante que con frecuencia se pasa por alto es el principio de privilegio mínimo , que requiere que a un individuo, programa o proceso del sistema no se le otorguen más privilegios de acceso de los necesarios para realizar la tarea. [149] Un ejemplo flagrante de incumplimiento del principio de privilegio mínimo es iniciar sesión en Windows como usuario Administrador para leer el correo electrónico y navegar por la web. Las violaciones de este principio también pueden ocurrir cuando un individuo acumula privilegios de acceso adicionales con el tiempo. [150] Esto sucede cuando los deberes laborales de los empleados cambian, los empleados son ascendidos a un nuevo puesto o los empleados son transferidos a otro departamento. [151] Los privilegios de acceso requeridos por sus nuevas funciones se añaden con frecuencia a los privilegios de acceso ya existentes, que pueden ya no ser necesarios o apropiados. [152]
Físico
Los controles físicos monitorean y controlan el ambiente del lugar de trabajo y las instalaciones informáticas. [153] También monitorean y controlan el acceso hacia y desde dichas instalaciones e incluyen puertas, cerraduras, calefacción y aire acondicionado, alarmas de humo y contra incendios, sistemas de extinción de incendios, cámaras, barricadas, cercas, guardias de seguridad, candados de cables, etc. La red y el lugar de trabajo en áreas funcionales también son controles físicos. [154]
Un control físico importante que con frecuencia se pasa por alto es la separación de funciones, que garantiza que un individuo no pueda completar una tarea crítica por sí solo. [155] Por ejemplo, un empleado que presenta una solicitud de reembolso no debería poder autorizar el pago o imprimir el cheque. [156] Un programador de aplicaciones no debe ser también el administrador del servidor o el administrador de la base de datos ; estos roles y responsabilidades deben estar separados unos de otros. [157]
Defensa en profundidad
La seguridad de la información debe proteger la información a lo largo de su vida útil, desde la creación inicial de la información hasta su disposición final. [158] La información debe ser protegida en movimiento y en reposo. Durante su vida, la información puede pasar a través de muchos sistemas de procesamiento de información diferentes y a través de muchas partes diferentes de los sistemas de procesamiento de información. [159] Hay muchas maneras diferentes en que la información y los sistemas de información pueden verse amenazados. Para proteger completamente la información durante su vida útil, cada componente del sistema de procesamiento de información debe tener sus propios mecanismos de protección. [160] La creación, superposición y superposición de medidas de seguridad se denomina "defensa en profundidad". [161] A diferencia de una cadena de metal, que es tan fuerte como su eslabón más débil, la estrategia de defensa en profundidad apunta a una estructura en la que, si una medida defensiva falla, otras medidas continuarán brindando protección. [162]
Recuerde la discusión anterior sobre controles administrativos, controles lógicos y controles físicos. Los tres tipos de controles se pueden utilizar para formar la base sobre la cual construir una estrategia de defensa en profundidad. [144] Con este enfoque, la defensa en profundidad se puede conceptualizar como tres capas o planos distintos colocados uno encima del otro. [163] Se puede obtener información adicional sobre la defensa en profundidad si se la considera como si formara las capas de una cebolla, con los datos en el centro de la cebolla, las personas en la siguiente capa exterior de la cebolla y la seguridad de la red , seguridad basada en host. , y seguridad de la aplicación formando las capas más externas de la cebolla. [164] Ambas perspectivas son igualmente válidas y cada una proporciona información valiosa sobre la implementación de una buena estrategia de defensa en profundidad. [165]
Clasificación
Un aspecto importante de la seguridad de la información y la gestión de riesgos es reconocer el valor de la información y definir procedimientos y requisitos de protección adecuados para la información. [166] No toda la información es igual y, por lo tanto, no toda la información requiere el mismo grado de protección. [167] Esto requiere que a la información se le asigne una clasificación de seguridad . [168] El primer paso en la clasificación de la información es identificar a un miembro de la alta dirección como propietario de la información particular que se va a clasificar. A continuación, desarrolle una política de clasificación. [169] La política debe describir las diferentes etiquetas de clasificación, definir los criterios para que a la información se le asigne una etiqueta particular y enumerar los controles de seguridad requeridos para cada clasificación. [170]
Algunos factores que influyen en la clasificación de la información que se debe asignar incluyen el valor que tiene esa información para la organización, la antigüedad de la información y si se ha vuelto obsoleta o no. [171] Las leyes y otros requisitos reglamentarios también son consideraciones importantes a la hora de clasificar la información. [172] La Asociación de Control y Auditoría de Sistemas de Información (ISACA) y su Modelo de Negocios para la Seguridad de la Información también sirve como una herramienta para que los profesionales de la seguridad examinen la seguridad desde una perspectiva de sistemas, creando un entorno donde la seguridad se puede gestionar de manera integral, permitiendo que los riesgos reales se analicen. Ser dirigido. [173]
El tipo de etiquetas de clasificación de seguridad de la información seleccionadas y utilizadas dependerá de la naturaleza de la organización, siendo algunos ejemplos: [170]
En el sector empresarial etiquetas como: Público, Sensible, Privado, Confidencial.
En el sector gubernamental, etiquetas como: Sin clasificar, No oficial, Protegido, Confidencial, Secreto, Top Secret y sus equivalentes no ingleses. [174]
En formaciones intersectoriales se aplicará el Protocolo de Semáforo , que consta de: Blanco, Verde, Ámbar y Rojo.
En el sector personal, una etiqueta como Financiera. Esto incluye actividades relacionadas con la gestión del dinero, como la banca en línea. [175]
Todos los empleados de la organización, así como los socios comerciales, deben estar capacitados sobre el esquema de clasificación y comprender los controles de seguridad y los procedimientos de manejo requeridos para cada clasificación. [176] La clasificación de un activo de información particular que ha sido asignado debe revisarse periódicamente para garantizar que la clasificación siga siendo apropiada para la información y para garantizar que los controles de seguridad requeridos por la clasificación estén implementados y se sigan en sus procedimientos correctos. [177]
Control de acceso
El acceso a la información protegida debe restringirse a las personas que estén autorizadas para acceder a la información. [178] Los programas informáticos, y en muchos casos las computadoras que procesan la información, también deben estar autorizados. [179] Esto requiere que existan mecanismos para controlar el acceso a la información protegida. [179] La sofisticación de los mecanismos de control de acceso debe estar a la par con el valor de la información que se protege; cuanto más sensible o valiosa sea la información, más fuertes deben ser los mecanismos de control. [180] La base sobre la que se construyen los mecanismos de control de acceso comienza con la identificación y la autenticación . [181]
El control de acceso generalmente se considera en tres pasos: identificación, autenticación y autorización . [182] [94]
Identificación
La identificación es una afirmación de quién es alguien o qué es algo. Si una persona dice "Hola, mi nombre es John Doe ", está afirmando quién es. [183] Sin embargo, su afirmación puede ser cierta o no. Antes de que a John Doe se le pueda conceder acceso a información protegida, será necesario verificar que la persona que dice ser John Doe realmente es John Doe. [184] Normalmente, la reclamación se presenta en forma de nombre de usuario. Al ingresar ese nombre de usuario, afirma "Soy la persona a la que pertenece el nombre de usuario". [185]
Autenticación
La autenticación es el acto de verificar una afirmación de identidad. Cuando John Doe entra a un banco para hacer un retiro, le dice al cajero que es John Doe, un reclamo de identidad. [186] El cajero del banco pide ver una identificación con fotografía, por lo que le entrega su licencia de conducir . [187] El cajero del banco verifica la licencia para asegurarse de que tenga impreso John Doe y compara la fotografía de la licencia con la de la persona que dice ser John Doe. [188] Si la foto y el nombre coinciden con la persona, entonces el cajero ha autenticado que John Doe es quien decía ser. Del mismo modo, al ingresar la contraseña correcta, el usuario está proporcionando evidencia de que es la persona a la que pertenece el nombre de usuario. [189]
Hay tres tipos diferentes de información que se pueden utilizar para la autenticación: [190] [191]
La autenticación sólida requiere proporcionar más de un tipo de información de autenticación (autenticación de dos factores). [197] El nombre de usuario es la forma más común de identificación en los sistemas informáticos actuales y la contraseña es la forma más común de autenticación. [198] Los nombres de usuario y las contraseñas han cumplido su propósito, pero son cada vez más inadecuados. [199] Los nombres de usuario y las contraseñas se están reemplazando o complementando lentamente con mecanismos de autenticación más sofisticados, como algoritmos de contraseña de un solo uso basados en el tiempo . [200]
Autorización
Una vez que una persona, programa o computadora ha sido identificada y autenticada exitosamente, se debe determinar a qué recursos de información se les permite acceder y qué acciones se les permitirá realizar (ejecutar, ver, crear, eliminar o cambiar). [201] Esto se llama autorización . La autorización para acceder a información y otros servicios informáticos comienza con políticas y procedimientos administrativos. [202] Las políticas prescriben a qué información y servicios informáticos se puede acceder, quién y bajo qué condiciones. Luego, los mecanismos de control de acceso se configuran para hacer cumplir estas políticas. [203] Los diferentes sistemas informáticos están equipados con diferentes tipos de mecanismos de control de acceso. Algunos incluso pueden ofrecer una selección de diferentes mecanismos de control de acceso. [204] El mecanismo de control de acceso que ofrece un sistema se basará en uno de tres enfoques de control de acceso, o puede derivarse de una combinación de los tres enfoques. [94]
El enfoque no discrecional consolida todo el control de acceso bajo una administración centralizada. [205] El acceso a la información y otros recursos generalmente se basa en la función (rol) del individuo en la organización o las tareas que el individuo debe realizar. [206] [207] El enfoque discrecional otorga al creador o propietario del recurso de información la capacidad de controlar el acceso a esos recursos. [205] En el enfoque de control de acceso obligatorio, el acceso se concede o deniega basándose en la clasificación de seguridad asignada al recurso de información. [178]
Para que sean eficaces, las políticas y otros controles de seguridad deben poder aplicarse y mantenerse. Las políticas eficaces garantizan que las personas rindan cuentas de sus acciones. [210] Las directrices del Tesoro de EE.UU. para sistemas que procesan información confidencial o de propiedad exclusiva, por ejemplo, establecen que todos los intentos fallidos y exitosos de autenticación y acceso deben registrarse, y todo acceso a la información debe dejar algún tipo de registro de auditoría . [211]
Además, el principio de necesidad de saber debe estar vigente cuando se habla de control de acceso. Este principio otorga derechos de acceso a una persona para realizar sus funciones laborales. [212] Este principio se utiliza en el gobierno cuando se trata de autorizaciones de diferencias. [213] Aunque dos empleados en diferentes departamentos tienen autorización de alto secreto , deben tener la necesidad de saberlo para poder intercambiar información. Dentro del principio de necesidad de saber, los administradores de red otorgan al empleado la menor cantidad de privilegios para evitar que accedan a más de lo que se supone que deben acceder. [214] La necesidad de saber ayuda a hacer cumplir la tríada confidencialidad-integridad-disponibilidad. La necesidad de saber impacta directamente el área confidencial de la tríada. [215]
Criptografía
La seguridad de la información utiliza la criptografía para transformar información utilizable en una forma que la haga inutilizable por cualquier persona que no sea un usuario autorizado; este proceso se llama cifrado . [216] La información que ha sido cifrada (inutilizada) puede volver a transformarse en su forma utilizable original por un usuario autorizado que posea la clave criptográfica , mediante el proceso de descifrado. [217] La criptografía se utiliza en la seguridad de la información para protegerla de la divulgación no autorizada o accidental mientras la información está en tránsito (ya sea electrónica o físicamente) y mientras la información está almacenada. [94]
La criptografía también proporciona seguridad de la información con otras aplicaciones útiles, incluidos métodos de autenticación mejorados, resúmenes de mensajes, firmas digitales, no repudio y comunicaciones de red cifradas. [218] Las aplicaciones más antiguas y menos seguras, como Telnet y el Protocolo de transferencia de archivos (FTP), están siendo reemplazadas lentamente por aplicaciones más seguras, como Secure Shell (SSH), que utilizan comunicaciones de red cifradas. [219] Las comunicaciones inalámbricas se pueden cifrar utilizando protocolos como WPA/WPA2 o el más antiguo (y menos seguro) WEP . Las comunicaciones por cable (como ITU‑T G.hn ) están protegidas mediante AES para cifrado y X.1035 para autenticación e intercambio de claves. [220] Se pueden utilizar aplicaciones de software como GnuPG o PGP para cifrar archivos de datos y correos electrónicos. [221]
La criptografía puede introducir problemas de seguridad cuando no se implementa correctamente. [222] Las soluciones criptográficas deben implementarse utilizando soluciones aceptadas en la industria que hayan sido sometidas a una rigurosa revisión por pares por parte de expertos independientes en criptografía. [223] La longitud y la solidez de la clave de cifrado también son una consideración importante. [224] Una clave débil o demasiado corta producirá un cifrado débil . [224] Las claves utilizadas para el cifrado y descifrado deben protegerse con el mismo grado de rigor que cualquier otra información confidencial. [225] Deben estar protegidos contra la divulgación y destrucción no autorizadas, y deben estar disponibles cuando sea necesario. [ cita necesaria ] Las soluciones de infraestructura de clave pública (PKI) abordan muchos de los problemas que rodean la gestión de claves . [94]
Proceso
Los términos "persona razonable y prudente", " debido cuidado " y "debida diligencia" se han utilizado en los campos de las finanzas, los valores y el derecho durante muchos años. En los últimos años, estos términos se han introducido en los campos de la informática y la seguridad de la información. [129] Las Directrices Federales de Sentencia de Estados Unidos ahora permiten responsabilizar a los funcionarios corporativos por no ejercer el debido cuidado y diligencia en la gestión de sus sistemas de información. [226]
En el mundo de los negocios, los accionistas, clientes, socios comerciales y gobiernos tienen la expectativa de que los funcionarios corporativos administrarán el negocio de acuerdo con las prácticas comerciales aceptadas y de conformidad con las leyes y otros requisitos reglamentarios. Esto se describe a menudo como la regla de la "persona razonable y prudente". Una persona prudente tiene el debido cuidado de garantizar que se haga todo lo necesario para operar el negocio según principios comerciales sólidos y de manera legal y ética. Una persona prudente también es diligente (consciente, atenta, constante) en el debido cuidado del negocio.
En el campo de la seguridad de la información, Harris [227]
ofrece las siguientes definiciones de debido cuidado y debida diligencia:
"El debido cuidado son medidas que se toman para demostrar que una empresa ha asumido la responsabilidad de las actividades que tienen lugar dentro de la corporación y ha tomado las medidas necesarias para ayudar a proteger a la empresa, sus recursos y sus empleados [228] ". Y [la diligencia debida son las] "actividades continuas que garantizan que los mecanismos de protección se mantengan y funcionen continuamente". [229]
Se debe prestar atención a dos puntos importantes en estas definiciones. [230] [231] Primero, con el debido cuidado, se toman medidas para mostrar; esto significa que los pasos pueden verificarse, medirse o incluso producir artefactos tangibles. [232] [233] En segundo lugar, en la debida diligencia, hay actividades continuas; Esto significa que la gente en realidad está haciendo cosas para monitorear y mantener los mecanismos de protección, y estas actividades están en curso. [234]
Las organizaciones tienen la responsabilidad de practicar el deber de diligencia al aplicar la seguridad de la información. El Estándar de Análisis de Riesgos del Deber de Cuidado (DoCRA) [235] proporciona principios y prácticas para evaluar el riesgo. [236] Considera todas las partes que podrían verse afectadas por esos riesgos. [237] DoCRA ayuda a evaluar las salvaguardas si son apropiadas para proteger a otros de daños y al mismo tiempo presentan una carga razonable. [238] Con el aumento de los litigios por violación de datos, las empresas deben equilibrar los controles de seguridad, el cumplimiento y su misión. [239]
Funciones, responsabilidades y segregación de funciones definidas
Abordado y aplicado en la política
Recursos suficientes comprometidos
Personal sensibilizado y capacitado.
Un requisito del ciclo de vida del desarrollo
Planificado, gestionado, mensurable y medido
Revisado y auditado
Planes de respuesta a incidentes
Un plan de respuesta a incidentes (IRP) es un grupo de políticas que dictan la reacción de una organización ante un ciberataque. Una vez que se ha identificado una violación de seguridad, por ejemplo mediante un sistema de detección de intrusiones en la red (NIDS) o un sistema de detección de intrusiones basado en host (HIDS) (si está configurado para hacerlo), se inicia el plan. [241] Es importante señalar que una violación de datos puede tener implicaciones legales. Conocer las leyes locales y federales es fundamental. [242] Cada plan es único para las necesidades de la organización y puede involucrar conjuntos de habilidades que no forman parte de un equipo de TI. [243] Por ejemplo, se puede incluir un abogado en el plan de respuesta para ayudar a navegar las implicaciones legales de una violación de datos. [ cita necesaria ]
Como se mencionó anteriormente, cada plan es único, pero la mayoría de los planes incluirán lo siguiente: [244]
Preparación
Una buena preparación incluye el desarrollo de un equipo de respuesta a incidentes (IRT). [245] Las habilidades que este equipo debe utilizar serían pruebas de penetración, informática forense, seguridad de redes, etc. [246] Este equipo también debe realizar un seguimiento de las tendencias en ciberseguridad y estrategias de ataque modernas. [247] Un programa de capacitación para los usuarios finales es importante, así como la mayoría de las estrategias de ataque modernas se dirigen a los usuarios de la red. [244]
Identificación
Esta parte del plan de respuesta a incidentes identifica si hubo un evento de seguridad. [248] Cuando un usuario final reporta información o un administrador nota irregularidades, se inicia una investigación. Un registro de incidentes es una parte crucial de este paso. [ cita necesaria ] Todos los miembros del equipo deben actualizar este registro para garantizar que la información fluya lo más rápido posible. [249] Si se ha identificado que ha ocurrido una violación de seguridad, se debe activar el siguiente paso. [250]
Contención
En esta fase, el IRT trabaja para aislar las áreas en las que se produjo la infracción para limitar el alcance del evento de seguridad. [251] Durante esta fase es importante preservar la información de manera forense para que pueda analizarse más adelante en el proceso. [252] La contención podría ser tan simple como contener físicamente una sala de servidores o tan compleja como segmentar una red para no permitir la propagación de un virus. [253]
Erradicación
Aquí es donde la amenaza identificada se elimina de los sistemas afectados. [254] Esto podría incluir la eliminación de archivos maliciosos, la cancelación de cuentas comprometidas o la eliminación de otros componentes. [255] [256] Algunos eventos no requieren este paso; sin embargo, es importante comprender completamente el evento antes de pasar a este paso. [257] Esto ayudará a garantizar que la amenaza se elimine por completo. [253]
Recuperación
Esta etapa es donde los sistemas se restauran a su funcionamiento original. [258] Esta etapa podría incluir la recuperación de datos, cambiar la información de acceso de los usuarios o actualizar las reglas o políticas del firewall para evitar una infracción en el futuro. [259] [260] Sin ejecutar este paso, el sistema aún podría ser vulnerable a futuras amenazas a la seguridad. [253]
Lecciones aprendidas
En este paso, la información que se ha recopilado durante este proceso se utiliza para tomar decisiones futuras sobre seguridad. [261] Este paso es crucial para garantizar que se prevengan eventos futuros. Usar esta información para capacitar aún más a los administradores es fundamental para el proceso. [262] Este paso también se puede utilizar para procesar información que se distribuye desde otras entidades que han experimentado un evento de seguridad. [263]
Gestión del cambio
La gestión del cambio es un proceso formal para dirigir y controlar las alteraciones del entorno de procesamiento de la información. [264] [265] Esto incluye modificaciones en las computadoras de escritorio, la red, los servidores y el software. [266] Los objetivos de la gestión de cambios son reducir los riesgos que plantean los cambios en el entorno de procesamiento de la información y mejorar la estabilidad y confiabilidad del entorno de procesamiento a medida que se realizan cambios. [267] No es el objetivo de la gestión del cambio impedir o dificultar la implementación de los cambios necesarios. [268] [269]
Cualquier cambio en el entorno de procesamiento de la información introduce un elemento de riesgo. [270] Incluso los cambios aparentemente simples pueden tener efectos inesperados. [271] Una de las muchas responsabilidades de la administración es la gestión del riesgo. [272] [273] La gestión de cambios es una herramienta para gestionar los riesgos introducidos por los cambios en el entorno de procesamiento de la información. [274] Parte del proceso de gestión de cambios garantiza que los cambios no se implementen en momentos inoportunos cuando puedan interrumpir procesos comerciales críticos o interferir con otros cambios que se están implementando. [275]
No es necesario gestionar todos los cambios. [276] [277] Algunos tipos de cambios son parte de la rutina diaria del procesamiento de información y se adhieren a un procedimiento predefinido, lo que reduce el nivel general de riesgo para el entorno de procesamiento. [278] La creación de una nueva cuenta de usuario o la implementación de una nueva computadora de escritorio son ejemplos de cambios que generalmente no requieren administración de cambios. [279] Sin embargo, reubicar los archivos compartidos de los usuarios o actualizar el servidor de correo electrónico plantea un nivel de riesgo mucho mayor para el entorno de procesamiento y no es una actividad cotidiana normal. [280] Los primeros pasos críticos en la gestión del cambio son (a) definir el cambio (y comunicar esa definición) y (b) definir el alcance del sistema de cambio. [281]
La gestión de cambios suele ser supervisada por una junta de revisión de cambios compuesta por representantes de áreas comerciales clave, [282] seguridad, redes, administradores de sistemas, administración de bases de datos, desarrolladores de aplicaciones, soporte de escritorio y servicio de asistencia técnica. [283] Las tareas de la junta de revisión de cambios se pueden facilitar con el uso de una aplicación de flujo de trabajo automatizado. [284] La responsabilidad de la junta de revisión de cambios es garantizar que se sigan los procedimientos documentados de gestión de cambios de la organización. [285] El proceso de gestión de cambios es el siguiente [286]
Solicitud : Cualquiera puede solicitar un cambio. [287] [288] La persona que realiza la solicitud de cambio puede o no ser la misma persona que realiza el análisis o implementa el cambio. [289] [290] Cuando se recibe una solicitud de cambio, puede someterse a una revisión preliminar para determinar si el cambio solicitado es compatible con el modelo y las prácticas comerciales de la organización, y para determinar la cantidad de recursos necesarios para implementar el cambio. [291]
Aprobar : la gerencia dirige el negocio y controla la asignación de recursos, por lo tanto, la gerencia debe aprobar las solicitudes de cambios y asignar una prioridad para cada cambio. [292] La gerencia podría optar por rechazar una solicitud de cambio si el cambio no es compatible con el modelo de negocio, los estándares de la industria o las mejores prácticas. [293] [294] La administración también puede optar por rechazar una solicitud de cambio si el cambio requiere más recursos de los que se pueden asignar para el cambio. [295]
Planificar : Planificar un cambio implica descubrir el alcance y el impacto del cambio propuesto; analizar la complejidad del cambio; asignación de recursos y desarrollo, prueba y documentación de planes de implementación y de respaldo. [296] Necesidad de definir los criterios sobre los cuales se tomará la decisión de dar marcha atrás. [297]
Prueba : cada cambio debe probarse en un entorno de prueba seguro, que refleje fielmente el entorno de producción real, antes de que el cambio se aplique al entorno de producción. [298] El plan de retroceso también debe ser probado. [299]
Calendario : Parte de la responsabilidad de la junta de revisión de cambios es ayudar en la programación de cambios revisando la fecha de implementación propuesta para detectar posibles conflictos con otros cambios programados o actividades comerciales críticas. [300]
Comunicar : Una vez programado un cambio se debe comunicar. [301] La comunicación tiene como objetivo brindar a otros la oportunidad de recordar a la junta de revisión de cambios otros cambios o actividades comerciales críticas que podrían haberse pasado por alto al programar el cambio. [302] La comunicación también sirve para que la mesa de ayuda y los usuarios sean conscientes de que está a punto de ocurrir un cambio. [303] Otra responsabilidad de la junta de revisión de cambios es garantizar que los cambios programados se hayan comunicado adecuadamente a quienes se verán afectados por el cambio o tendrán interés en el cambio. [304] [305]
Implementar : En la fecha y hora señalada se deben implementar los cambios. [306] [307] Parte del proceso de planificación fue desarrollar un plan de implementación, un plan de prueba y un plan de respaldo. [308] [309] Si la implementación del cambio falla o las pruebas posteriores a la implementación fallan o se han cumplido otros criterios de "falla", se debe implementar el plan de retroceso. [310]
Documento : Todos los cambios deben documentarse. [311] [312] La documentación incluye la solicitud inicial de cambio, su aprobación, la prioridad asignada al mismo, la implementación, [313] los planes de prueba y retirada, los resultados de la crítica de la junta de revisión de cambios, la fecha/hora en que se implementó el cambio, [314] quién lo implementó y si el cambio se implementó exitosamente, falló o se pospuso. [315] [316]
Revisión posterior al cambio : la junta de revisión de cambios debe realizar una revisión de los cambios posterior a la implementación. [317] Es particularmente importante revisar los cambios fallidos y desechados. La junta de revisión debe intentar comprender los problemas encontrados y buscar áreas de mejora. [317]
Los procedimientos de gestión de cambios que sean simples de seguir y fáciles de usar pueden reducir en gran medida los riesgos generales creados cuando se realizan cambios en el entorno de procesamiento de información. [318] Los buenos procedimientos de gestión de cambios mejoran la calidad general y el éxito de los cambios a medida que se implementan. [319] Esto se logra mediante la planificación, la revisión por pares, la documentación y la comunicación. [320]
ISO/IEC 20000 , The Visible OPS Handbook: Implementación de ITIL en 4 pasos prácticos y auditables [321] (resumen completo del libro), [322] e ITIL brindan orientación valiosa sobre la implementación de un programa de gestión de cambios eficiente y eficaz en la seguridad de la información. [323]
Continuidad del negocio
La gestión de la continuidad del negocio ( BCM ) se refiere a acuerdos destinados a proteger las funciones comerciales críticas de una organización de la interrupción debido a incidentes, o al menos minimizar los efectos. [324] [325] BCM es esencial para cualquier organización para mantener la tecnología y los negocios en línea con las amenazas actuales a la continuación del negocio como de costumbre. [326] El BCM debe incluirse en el plan de análisis de riesgos de una organización para garantizar que todas las funciones comerciales necesarias tengan lo que necesitan para continuar en caso de cualquier tipo de amenaza a cualquier función comercial. [327]
Abarca:
Análisis de requisitos, por ejemplo, identificación de funciones comerciales críticas, dependencias y posibles puntos de falla, amenazas potenciales y, por lo tanto, incidentes o riesgos que preocupan a la organización; [328] [329]
Especificación, por ejemplo, períodos de interrupción máximos tolerables; objetivos de punto de recuperación (períodos máximos aceptables de pérdida de datos); [330]
Arquitectura y diseño, por ejemplo, una combinación adecuada de enfoques que incluyan resiliencia (por ejemplo, diseñar sistemas y procesos de TI para alta disponibilidad, [331] evitar o prevenir situaciones que puedan interrumpir el negocio), gestión de incidentes y emergencias (por ejemplo, evacuar las instalaciones, llamar al servicios de emergencia, clasificación/evaluación de la situación [332] e invocación de planes de recuperación), recuperación (por ejemplo, reconstrucción) y gestión de contingencias (capacidades genéricas para afrontar positivamente cualquier cosa que ocurra utilizando los recursos disponibles); [333]
Implementación, por ejemplo, configuración y programación de copias de seguridad, transferencias de datos, etc., duplicación y fortalecimiento de elementos críticos; contratación con proveedores de servicios y equipos;
Probar, por ejemplo, ejercicios de continuidad del negocio de diversos tipos, costos y niveles de garantía; [334]
Gestión, por ejemplo, definición de estrategias, establecimiento de objetivos y metas; planificar y dirigir el trabajo; asignar fondos, personas y otros recursos; priorización en relación con otras actividades; formación de equipos, liderazgo, control, motivación y coordinación con otras funciones y actividades comerciales [335] (por ejemplo, TI, instalaciones, recursos humanos, gestión de riesgos, riesgo y seguridad de la información, operaciones); monitorear la situación, verificar y actualizar los acuerdos cuando las cosas cambien; madurar el enfoque a través de la mejora continua, el aprendizaje y la inversión adecuada; [ cita necesaria ]
Garantía, por ejemplo, pruebas según requisitos especificados; medir, analizar e informar parámetros clave; realizar pruebas, revisiones y auditorías adicionales para tener una mayor confianza en que los acuerdos funcionarán según lo planeado si se invocan. [336]
Mientras que BCM adopta un enfoque amplio para minimizar los riesgos relacionados con desastres al reducir tanto la probabilidad como la gravedad de los incidentes, un plan de recuperación de desastres (DRP) se enfoca específicamente en reanudar las operaciones comerciales lo más rápido posible después de un desastre. [337] Un plan de recuperación de desastres, invocado poco después de que ocurre un desastre, establece los pasos necesarios para recuperar la infraestructura crítica de tecnología de la información y las comunicaciones (TIC). [338] La planificación de la recuperación de desastres incluye el establecimiento de un grupo de planificación, la realización de evaluaciones de riesgos, el establecimiento de prioridades, el desarrollo de estrategias de recuperación, la preparación de inventarios y documentación del plan, el desarrollo de criterios y procedimientos de verificación y, por último, la implementación del plan. [339]
Leyes y regulaciones
A continuación se muestra una lista parcial de leyes y regulaciones gubernamentales en varias partes del mundo que han tenido, han tenido o tendrán un efecto significativo en el procesamiento de datos y la seguridad de la información. [340] [341] También se han incluido importantes regulaciones del sector industrial cuando tienen un impacto significativo en la seguridad de la información. [340]
La Ley de Protección de Datos del Reino Unido de 1998 establece nuevas disposiciones para la regulación del procesamiento de información relacionada con individuos, incluida la obtención, posesión, uso o divulgación de dicha información. [342] [343] La Directiva de Protección de Datos de la Unión Europea (EUDPD) requiere que todos los miembros de la UE adopten regulaciones nacionales para estandarizar la protección de la privacidad de los datos para los ciudadanos en toda la UE [344] [345]
La Ley de uso indebido de computadoras de 1990 es una ley del Parlamento del Reino Unido que tipifica los delitos informáticos (por ejemplo, la piratería informática) como delito. [346] La ley se ha convertido en un modelo en el que varios otros países, [347] incluidos Canadá e Irlanda , se han inspirado al redactar posteriormente sus propias leyes de seguridad de la información. [348] [349]
La Directiva de Retención de Datos de la UE (anulada) exigía que los proveedores de servicios de Internet y las compañías telefónicas conservaran los datos de cada mensaje electrónico enviado y llamada telefónica realizada durante entre seis meses y dos años. [350]
La Ley de Privacidad y Derechos Educativos de la Familia (FERPA) ( 20 USC § 1232 g; 34 CFR Parte 99) es una ley federal de EE. UU. que protege la privacidad de los registros educativos de los estudiantes. [351] La ley se aplica a todas las escuelas que reciben fondos bajo un programa aplicable del Departamento de Educación de Estados Unidos . [352] Generalmente, las escuelas deben tener un permiso por escrito de los padres o del estudiante elegible [352] [353] para poder divulgar cualquier información del registro educativo de un estudiante. [354]
La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) de 1996 exige la adopción de estándares nacionales para transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de seguro médico y empleadores. [356] Además, exige que los proveedores de atención médica, los proveedores de seguros y los empleadores salvaguarden la seguridad y privacidad de los datos de salud. [357]
La Ley Gramm-Leach-Bliley de 1999 (GLBA), también conocida como Ley de Modernización de Servicios Financieros de 1999, protege la privacidad y seguridad de la información financiera privada que las instituciones financieras recopilan, mantienen y procesan. [358]
La sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX) exige que las empresas que cotizan en bolsa evalúen la eficacia de sus controles internos para la presentación de informes financieros en los informes anuales que presentan al final de cada año fiscal. [359] Los directores de información son responsables de la seguridad, exactitud y confiabilidad de los sistemas que administran y reportan los datos financieros. [360] La ley también exige que las empresas que cotizan en bolsa colaboren con auditores independientes que deben dar fe de la validez de sus evaluaciones e informar sobre ella. [361]
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) establece requisitos integrales para mejorar la seguridad de los datos de las cuentas de pago. [362] Fue desarrollado por las marcas de pago fundadoras del PCI Security Standards Council, incluidas American Express , Discover Financial Services , JCB, MasterCard Worldwide, [363] y Visa International , para ayudar a facilitar la adopción amplia de medidas consistentes de seguridad de datos en una base global. [364] El PCI DSS es un estándar de seguridad multifacético que incluye requisitos para la gestión de seguridad, políticas, procedimientos, arquitectura de red , diseño de software y otras medidas de protección críticas. [365]
Las leyes estatales de notificación de violaciones de seguridad (de California y muchas otras) exigen que las empresas, las organizaciones sin fines de lucro y las instituciones estatales notifiquen a los consumidores cuando la "información personal" no cifrada pueda haber sido comprometida, perdida o robada. [366]
La Ley de Protección de Información Personal y Documentos Electrónicos ( PIPEDA ) de Canadá apoya y promueve el comercio electrónico protegiendo la información personal que se recopila, utiliza o divulga en determinadas circunstancias, [367] [368] al prever el uso de medios electrónicos para comunicar o registrar información o transacciones y modificando la Ley de Pruebas de Canadá , la Ley de Instrumentos Estatutarios y la Ley de Revisión de Estatutos. [369] [370] [371]
La Autoridad Helénica para la Seguridad y Privacidad de las Comunicaciones de Grecia (ADAE) (Ley 165/2011) establece y describe los controles mínimos de seguridad de la información que debe implementar toda empresa que proporcione redes y/o servicios de comunicaciones electrónicas en Grecia para proteger la confidencialidad de los clientes. . [372] Estos incluyen controles administrativos y técnicos (por ejemplo, los registros deben almacenarse durante dos años). [373]
La Autoridad Helénica para la Seguridad y Privacidad de las Comunicaciones de Grecia (ADAE) (Ley 205/2013) se concentra en la protección de la integridad y disponibilidad de los servicios y datos ofrecidos por las empresas de telecomunicaciones griegas. [374] La ley obliga a estas y otras empresas relacionadas a construir, implementar y probar planes apropiados de continuidad del negocio e infraestructuras redundantes. [375]
El Departamento de Defensa (DoD) de EE. UU. emitió la Directiva 8570 del DoD en 2004, complementada por la Directiva 8140 del DoD, que exige que todos los empleados del DoD y todo el personal contratado del DoD involucrado en funciones y actividades de aseguramiento de la información obtengan y mantengan diversas certificaciones de tecnología de la información (TI) de la industria en un esfuerzo para garantizar que todo el personal del Departamento de Defensa involucrado en la defensa de la infraestructura de red tenga niveles mínimos de conocimientos, habilidades y capacidades (KSA) reconocidos por la industria de TI. Andersson y Reimers (2019) informan que estas certificaciones van desde A+ y Security+ de CompTIA hasta CISSP de ICS2.org, etc. [376]
Cultura
La cultura de seguridad de la información, que describe más que simplemente cuán conscientes son los empleados de la seguridad, son las ideas, costumbres y comportamientos sociales de una organización que impactan la seguridad de la información de manera tanto positiva como negativa. [377] Los conceptos culturales pueden ayudar a diferentes segmentos de la organización a trabajar de manera efectiva o trabajar en contra de la efectividad hacia la seguridad de la información dentro de una organización. La forma en que los empleados piensan y sienten acerca de la seguridad y las acciones que toman puede tener un gran impacto en la seguridad de la información en las organizaciones. Roer & Petric (2017) identifican siete dimensiones centrales de la cultura de seguridad de la información en las organizaciones: [378]
Actitudes: sentimientos y emociones de los empleados acerca de las diversas actividades relacionadas con la seguridad de la información organizacional. [379]
Comportamientos: actividades reales o previstas y acciones de riesgo de los empleados que tienen un impacto directo o indirecto en la seguridad de la información.
Cognición: conciencia, conocimientos verificables y creencias de los empleados sobre prácticas, actividades y relación de autoeficacia relacionadas con la seguridad de la información.
Comunicación: formas en que los empleados se comunican entre sí, sentido de pertenencia, apoyo en cuestiones de seguridad y notificación de incidentes.
Cumplimiento: adherencia a las políticas de seguridad de la organización, conocimiento de la existencia de dichas políticas y capacidad de recordar el contenido de dichas políticas.
Normas: percepciones de conductas y prácticas organizacionales relacionadas con la seguridad que los empleados y sus pares consideran informalmente normales o desviadas, por ejemplo, expectativas ocultas con respecto a comportamientos de seguridad y reglas no escritas con respecto al uso de tecnologías de información y comunicación.
Responsabilidades: comprensión de los empleados sobre las funciones y responsabilidades que tienen como factor crítico para mantener o poner en peligro la seguridad de la información y, por tanto, de la organización.
Andersson y Reimers (2014) descubrieron que los empleados a menudo no se ven a sí mismos como parte del "esfuerzo" de seguridad de la información de la organización y a menudo toman acciones que ignoran los mejores intereses de seguridad de la información de la organización. [380] Las investigaciones muestran que la cultura de seguridad de la información debe mejorarse continuamente. En Information Security Culture from Analysis to Change , los autores comentaron: "Es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento". Para gestionar la cultura de seguridad de la información se deben dar cinco pasos: preevaluación, planificación estratégica, planificación operativa, implementación y posevaluación. [381]
Preevaluación: identificar la conciencia sobre la seguridad de la información entre los empleados y analizar la política de seguridad actual.
Planificación estratégica: para elaborar un mejor programa de sensibilización, debemos establecer objetivos claros. Agrupar personas es útil para lograrlo.
Planificación operativa: crear una buena cultura de seguridad basada en la comunicación interna, la aceptación de la dirección, la concienciación sobre la seguridad y los programas de formación.
Implementación: debe incluir el compromiso de la gerencia, la comunicación con los miembros de la organización, cursos para todos los miembros de la organización y el compromiso de los empleados [381]
Postevaluación: para evaluar mejor la eficacia de los pasos anteriores y aprovechar la mejora continua.
Fuentes de estándares
La Organización Internacional de Normalización (ISO) es una organización internacional de normalización organizada como un consorcio de instituciones nacionales de normalización de 167 países, coordinadas a través de una secretaría en Ginebra, Suiza. ISO es el mayor desarrollador de normas internacionales del mundo. La Comisión Electrotécnica Internacional (IEC) es una organización de normalización internacional que se ocupa de la electrotecnología y coopera estrechamente con ISO. ISO/IEC 15443: "Tecnología de la información – Técnicas de seguridad – Un marco para garantizar la seguridad de TI", ISO/IEC 27002 : "Tecnología de la información – Técnicas de seguridad – Código de prácticas para la gestión de la seguridad de la información", ISO/IEC 20000 : "Tecnología de la información – Gestión de servicios" e ISO/IEC 27001 : "Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos" son de particular interés para los profesionales de la seguridad de la información.
Internet Society es una sociedad de membresía profesional con más de 100 organizaciones y más de 20.000 miembros individuales en más de 180 países. Proporciona liderazgo a la hora de abordar los problemas que enfrenta el futuro de Internet y es el hogar organizacional de los grupos responsables de los estándares de infraestructura de Internet, incluido el Grupo de Trabajo de Ingeniería de Internet (IETF) y la Junta de Arquitectura de Internet (IAB). La ISOC alberga las Solicitudes de comentarios (RFC), que incluyen los Estándares oficiales de protocolo de Internet y el Manual de seguridad del sitio RFC-2196 .
El Foro de Seguridad de la Información (ISF) es una organización global sin fines de lucro que agrupa a varios cientos de organizaciones líderes en servicios financieros, manufactura, telecomunicaciones, bienes de consumo, gobierno y otras áreas. Realiza investigaciones sobre prácticas de seguridad de la información y ofrece asesoramiento en su Estándar bianual de buenas prácticas para la seguridad de la información y avisos más detallados para sus miembros.
El Instituto de Profesionales de Seguridad de la Información (IISP) es un organismo independiente sin fines de lucro gobernado por sus miembros, con el objetivo principal de promover el profesionalismo de los profesionales de la seguridad de la información y, por lo tanto, el profesionalismo de la industria en su conjunto. El instituto desarrolló el Marco de Habilidades del IISP. Este marco describe la gama de competencias que se esperan de los profesionales de seguridad y aseguramiento de la información en el desempeño eficaz de sus funciones. Fue desarrollado a través de la colaboración entre organizaciones del sector público y privado, académicos de renombre mundial y líderes de seguridad. [382]
Los estándares BSI 100-1 a 100-4 de la Oficina Federal Alemana para la Seguridad de la Información (en alemán Bundesamt für Sicherheit in der Informationstechnik (BSI) ) son un conjunto de recomendaciones que incluyen "métodos, procesos, procedimientos, enfoques y medidas relacionadas con la seguridad de la información". ". [383] La metodología BSI-Standard 100-2 IT-Grundschutz describe cómo se puede implementar y operar la gestión de seguridad de la información. El estándar incluye una guía muy específica, los Catálogos de Protección Base de TI (también conocidos como Catálogos IT-Grundschutz). Antes de 2005, los catálogos se conocían anteriormente como " Manual de protección básica de TI ". Los catálogos son una colección de documentos útiles para detectar y combatir puntos débiles relevantes para la seguridad en el entorno de TI (clúster de TI). La colección abarca desde septiembre de 2013 más de 4.400 páginas con la introducción y los catálogos. El enfoque IT-Grundschutz está alineado con la familia ISO/IEC 2700x.
^ Curry, Michael; Marshall, Byron; Crossler, Robert E.; Correia, John (25 de abril de 2018). "Modelo de acción de procesos de InfoSec (IPAM): abordar sistemáticamente el comportamiento de seguridad individual". Base de datos ACM SIGMIS: la BASE DE DATOS para los avances en los sistemas de información . 49 (SI): 49–66. doi :10.1145/3210530.3210535. ISSN 0095-0033. S2CID 14003960.
^ Joshi, Chanchala; Singh, Umesh Kumar (agosto de 2017). "Marco de gestión de riesgos de seguridad de la información: un paso hacia la mitigación de los riesgos de seguridad en la red universitaria". Revista de Aplicaciones y Seguridad de la Información . 35 : 128-137. doi : 10.1016/j.jisa.2017.06.006. ISSN 2214-2126.
^ Fletcher, Martin (14 de diciembre de 2016). "Una introducción al riesgo de la información". Los Archivos Nacionales . Consultado el 23 de febrero de 2022 .
^ Joshi, Chanchala; Singh, Umesh Kumar (agosto de 2017). "Marco de gestión de riesgos de seguridad de la información: un paso hacia la mitigación de los riesgos de seguridad en la red universitaria". Revista de Aplicaciones y Seguridad de la Información . 35 : 128-137. doi : 10.1016/j.jisa.2017.06.006.
^ Daniel, Kent; Titman, Sheridan (agosto de 2006). "Reacciones del mercado a la información tangible e intangible". La Revista de Finanzas . 61 (4): 1605-1643. doi :10.1111/j.1540-6261.2006.00884.x. SSRN 414701.
^ Fink, Kerstin (2004). Medición del potencial de conocimiento e incertidumbre . Deutscher Universitätsverlag. ISBN978-3-322-81240-7. OCLC 851734708.
^ Keyser, Tobias (19 de abril de 2018), "Política de seguridad", The Information Governance Toolkit , CRC Press, págs. 57–62, doi :10.1201/9781315385488-13, ISBN978-1-315-38548-8, consultado el 28 de mayo de 2021
^ Dánzig, Richard; Universidad de Defensa Nacional Instituto de Estudios Estratégicos Nacionales de Washington DC (1995). "Los tres grandes: nuestros mayores riesgos de seguridad y cómo abordarlos". DTIC ADA421883.
^ Lyu, señor; Lau, LKY (2000). "Seguridad del firewall: políticas, pruebas y evaluación del desempeño". Actas de la 24ª Conferencia Anual Internacional de Aplicaciones y Software Informáticos. COMPSAC2000 . Computación IEEE. Soc. págs. 116-121. doi :10.1109/cmpsac.2000.884700. ISBN0-7695-0792-1. S2CID 11202223.
^ "Cómo la falta de estandarización de datos impide la atención médica basada en datos", Atención médica basada en datos , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., p. 29, 17 de octubre de 2015, doi :10.1002/9781119205012.ch3, ISBN978-1-119-20501-2, consultado el 28 de mayo de 2021
^ Cuaresma, Tom; Walsh, Bill (2009), "Repensar los estándares de construcción sustentable para una mejora continua integral", Puntos en común, creación de consenso y mejora continua: estándares internacionales y construcción sustentable , West Conshohocken, PA: ASTM International, págs. 1–1–10, doi :10.1520/stp47516s, ISBN978-0-8031-4507-8, consultado el 28 de mayo de 2021
^ ab Cherdantseva Y. y Hilton J.: "Seguridad de la información y garantía de la información. La discusión sobre el significado, el alcance y los objetivos". En: Dimensiones organizativas, jurídicas y tecnológicas del administrador de sistemas de información . Almeida F., Portela, I. (eds.). Publicaciones globales IGI. (2013)
^ ISO/IEC 27000:2018 (E). (2018). Tecnologías de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Visión general y vocabulario. ISO/CEI.
^ ISACA. (2008). Glosario de términos, 2008. Obtenido de http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
^ Pipkin, D. (2000). Seguridad de la información: protección de la empresa global . Nueva York: Compañía Hewlett-Packard.
^ B., McDermott, E. y Geer, D. (2001). La seguridad de la información es la gestión de riesgos de la información. En Actas del Taller de 2001 sobre nuevos paradigmas de seguridad NSPW '01, (págs. 97 - 104). ACM. doi :10.1145/508171.508187
^ Anderson, JM (2003). "Por qué necesitamos una nueva definición de seguridad de la información". Computadoras y seguridad . 22 (4): 308–313. doi :10.1016/S0167-4048(03)00407-3.
^ Venter, SA; Eloff, JHP (2003). "Una taxonomía para las tecnologías de seguridad de la información". Computadoras y seguridad . 22 (4): 299–307. doi :10.1016/S0167-4048(03)00406-1.
^ Oro, S (diciembre de 2004). "Amenazas que se ciernen más allá del perímetro". Informe Técnico de Seguridad de la Información . 9 (4): 12-14. doi :10.1016/s1363-4127(04)00047-0. ISSN 1363-4127.
^ Parker, Donn B. (enero de 1993). "Una lista completa de amenazas a la información". Seguridad de los Sistemas de Información . 2 (2): 10-14. doi :10.1080/19393559308551348. ISSN 1065-898X. S2CID 30661431.
^ Sullivant, John (2016), "El entorno de amenazas en evolución", Creación de una cultura corporativa de seguridad , Elsevier, págs. 33–50, doi :10.1016/b978-0-12-802019-7.00004-3, ISBN978-0-12-802019-7, consultado el 28 de mayo de 2021
^ Бучик, С. С.; Юдін, О. k.; Нетребко, Р. B. (21 de diciembre de 2016). "El análisis de los métodos para determinar los tipos funcionales de seguridad del sistema de información y telecomunicaciones frente a un acceso no autorizado". Problemas de Informatización y Gestión . 4 (56). doi : 10.18372/2073-4751.4.13135 . ISSN 2073-4751.
^ ab Samonas, S.; Coss, D. (2014). "La CIA contraataca: redefiniendo la confidencialidad, la integridad y la disponibilidad en seguridad". Revista de seguridad de sistemas de información . 10 (3): 21–45. Archivado desde el original el 22 de septiembre de 2018 . Consultado el 25 de enero de 2018 .
^ "Gartner dice que los disruptores digitales están afectando a todas las industrias; los KPI digitales son cruciales para medir el éxito". Garner. 2 de octubre de 2017 . Consultado el 25 de enero de 2018 .
^ "La encuesta de Gartner muestra que el 42 por ciento de los directores ejecutivos han iniciado la transformación empresarial digital". Garner. 24 de abril de 2017 . Consultado el 25 de enero de 2018 .
^ Fuerte, Darío; Power, Richard (diciembre de 2007). "Controles de referencia en algunas áreas vitales pero que a menudo se pasan por alto de su programa de protección de la información". Fraude informático y seguridad . 2007 (12): 17-20. doi :10.1016/s1361-3723(07)70170-7. ISSN 1361-3723.
^ Aparamenta y aparamenta de baja tensión. Perfiles de dispositivos para dispositivos industriales en red, BSI British Standards, doi :10.3403/bsen61915 , consultado el 28 de mayo de 2021
^ Fetzer, James; Alto relleno, Tina; Hossiso, Kassu; Howells, Thomas; Strassner, Erich; Young, Jeffrey (noviembre de 2018). "Contabilización de la heterogeneidad empresarial dentro de las industrias estadounidenses: tablas de oferta-uso ampliadas y comercio de valor agregado utilizando datos a nivel de empresa y establecimiento". Serie de documentos de trabajo. Oficina Nacional de Investigación Económica . doi :10.3386/w25249. S2CID 169324096.
^ "Estimación segura sujeta a ataques ciberestocásticos", Sistemas de control en la nube , metodologías y aplicaciones emergentes en modelado, Elsevier: 373–404, 2020, doi :10.1016/b978-0-12-818701-2.00021-4, ISBN978-0-12-818701-2, S2CID 240746156 , consultado el 28 de mayo de 2021
^ Nijmeijer, H. (2003). Sincronización de sistemas mecánicos . Científico mundial. ISBN978-981-279-497-0. OCLC 262846185.
^ "Cómo ha evolucionado el uso de las computadoras por parte de los estudiantes en los últimos años". OCDE . 8 de septiembre de 2015. págs. 31–48. doi :10.1787/9789264239555-4-en . Consultado el 30 de noviembre de 2023 .
^ "9 tipos de especializaciones en ciberseguridad".
^ Tecnología de la información. Técnicas de seguridad. Requisitos de competencia para profesionales de sistemas de gestión de seguridad de la información, BSI British Standards, doi :10.3403/30342674 , consultado el 29 de mayo de 2021
^ "Hoja informativa sobre calificaciones de seguridad de la información" (PDF) . Gobernanza de TI . Archivado desde el original (PDF) el 16 de marzo de 2018 . Consultado el 16 de marzo de 2018 .
^ Ma, Ruiqing Ray (marzo de 2016). "Las pantallas flexibles vienen en muchas formas". Visualización de información . 32 (2): 4–49. doi : 10.1002/j.2637-496x.2016.tb00883.x . ISSN 0362-0972.
^ Rahim, Noor H. (marzo de 2006). Derechos humanos y seguridad interior en Malasia: retórica y realidad . Centro de Información Técnica de Defensa. OCLC 74288358.
^ Kramer, David (14 de septiembre de 2018). "Las amenazas de robo y sabotaje nuclear siguen siendo elevadas, advierte un informe". Física hoy (9). doi : 10.1063/pt.6.2.20180914a. ISSN 1945-0699. S2CID 240223415.
^ Wilding, Edward (2 de marzo de 2017). Riesgo y seguridad de la información: prevención e investigación de delitos informáticos en el lugar de trabajo . Rutledge. ISBN978-1-351-92755-0. OCLC 1052118207.
^ Stewart, James (2012). Guía de estudio del CISSP . Canadá: John Wiley & Sons. págs. 255-257. ISBN978-1-118-31417-3.
^ "¿Por qué ha disminuido el crecimiento de la productividad?". Estudios económicos de la OCDE: Dinamarca 2009 . OCDE . 2009, págs. 65–96. doi :10.1787/eco_surveys-dnk-2009-4-en. ISBN9789264076556. Consultado el 30 de noviembre de 2023 .
^ "Robo de identidad: la industria de ataques digitales más nueva debe tomarse en serio". Problemas en los sistemas de información . 2007. doi : 10.48009/2_iis_2007_297-302 . ISSN 1529-7314.
^ Wendel-Persson, Anna; Ronnhed, Fredrik (2017). IT-säkerhet och människan: De har världens starkaste mur men porten star alltid på glänt . Universidad de Umeå, instituciones de informática. OCLC 1233659973.
^ Enge, Eric (5 de abril de 2017). "Templo de Piedra". Archivado desde el original el 27 de abril de 2018 . Consultado el 17 de noviembre de 2017 .Celulares
^ Shao, Ruodan; Skarlicki, Daniel P. (2014). "Escala de sabotaje a los clientes que maltrataron a los empleados". Conjunto de datos de PsycTESTS . doi :10.1037/t31653-000 . Consultado el 28 de mayo de 2021 .
^ Cocina, Julie (junio de 2008). "7side - Información de la empresa, constitución de empresas y búsqueda de propiedades". Gestión de Información Jurídica . 8 (2): 146. doi :10.1017/s1472669608000364. ISSN 1472-6696. S2CID 144325193.
^ Young, Courtenay (8 de mayo de 2018), "Trabajar con ataques de pánico", Ayúdese hacia la salud mental , Routledge, págs. 209-214, doi :10.4324/9780429475474-32, ISBN978-0-429-47547-4, consultado el 28 de mayo de 2021
^ "Introducción: Dentro de la amenaza interna", Amenazas internas , Cornell University Press, págs. 1 a 9, 31 de diciembre de 2017, doi :10.7591/9781501705946-003, ISBN978-1-5017-0594-6, consultado el 28 de mayo de 2021
^ Lequiller, F.; Cuchillas, D. (2014). Cuadro 7.7 Francia: Comparación de la participación en los beneficios de las sociedades no financieras y de las sociedades no financieras más empresas no constituidas en sociedad (PDF) . OCDE . pag. 217. doi :10.1787/9789264214637-en. ISBN978-92-64-21462-0. Consultado el 1 de diciembre de 2023 .
^ "¿Cómo surgió todo?", El negocio de cumplimiento y sus clientes , Basingstoke: Palgrave Macmillan, 2012, doi :10.1057/9781137271150.0007, ISBN978-1-137-27115-0
^ Gordon, Lawrence A .; Loeb, Martin P. (noviembre de 2002). "La economía de la inversión en seguridad de la información". Transacciones ACM sobre Seguridad de la Información y Sistemas . 5 (4): 438–457. doi :10.1145/581271.581274. S2CID 1500788.
^ Cho Kim, Byung; Khansa, Lara; James, Tabitha (julio de 2011). "Confianza individual y percepción de riesgo del consumidor". Revista de privacidad y seguridad de la información . 7 (3): 3–22. doi :10.1080/15536548.2011.10855915. ISSN 1553-6548. S2CID 144643691.
^ Stewart, James (2012). Guía de estudio para profesionales de seguridad de sistemas de información certificados por CISSP, sexta edición . Canadá: John Wiley & Sons, Inc. págs. 255–257. ISBN978-1-118-31417-3.
^ Gillett, John (marzo de 1994). "El coste-beneficio de la subcontratación: evaluando el coste real de su estrategia de subcontratación". Revista europea de gestión de compras y suministros . 1 (1): 45–47. doi :10.1016/0969-7012(94)90042-6. ISSN 0969-7012.
^ Larsen, Daniel (31 de octubre de 2019). "Creación de una cultura estadounidense de secreto: criptografía en la diplomacia de la era Wilson". Historia diplomática . doi :10.1093/dh/dhz046. ISSN 0145-2096.
^ "Introducción: César ha muerto. ¡Viva César!", La imagen creada por él mismo de Julio César y su dramática vida futura , Bloomsbury Academic, 2018, doi :10.5040/9781474245784.0005, ISBN978-1-4742-4578-4, consultado el 29 de mayo de 2021
^ Bronceado, Heng Chuan (2017). Hacia comunicaciones confiables y seguras en un entorno vehicular (Tesis). Universidad Tecnológica de Nanyang. doi :10.32657/10356/72758.
^ Johnson, John (1997). La evolución del signo británico: 1653-1939 . Oficina de papelería de Su Majestad. ASIN B00GYX1GX2.
^ Willison, M. (21 de septiembre de 2018). "¿Eran especiales los bancos? Puntos de vista contrastantes en la Gran Bretaña de mediados del siglo XIX". Economía monetaria: flujos financieros internacionales . doi : 10.2139/ssrn.3249510 . Consultado el 1 de diciembre de 2023 .
^ Ruppert, K. (2011). "Ley de secretos oficiales (1889; nueva de 1911; modificada en 1920, 1939, 1989)". En Hastedt, GP (ed.). Espías, escuchas telefónicas y operaciones secretas: una enciclopedia del espionaje estadounidense . vol. 2. ABC-CLIO. págs. 589–590. ISBN9781851098088.
^ "2. La Ley Clayton: una consideración de la sección 2, que define la discriminación de precios ilegal". La Ley Federal Antimonopolio . Prensa de la Universidad de Columbia. 31 de diciembre de 1930. págs. 18-28. doi :10.7312/dunn93452-003. ISBN978-0-231-89377-0. Consultado el 29 de mayo de 2021 .
^ Maer, Lucinda; Gay (30 de diciembre de 2008). «Secreto oficial» (PDF) . Federación de Científicos Americanos .
^ "La Ley de Secretos Oficiales de 1989 que reemplazó la sección 2 de la Ley de 1911", Espionaje y secreto (Routledge Revivals) , Routledge, págs. 267–282, 10 de junio de 2016, doi :10.4324/9781315542515-21 (inactivo el 31 de enero de 2024), ISBN978-1-315-54251-5{{citation}}: Mantenimiento CS1: DOI inactivo a partir de enero de 2024 ( enlace )
^ "Ley de Secretos Oficiales: qué abarca; cuándo se ha utilizado, cuestionado". El expreso indio . 8 de marzo de 2019 . Consultado el 7 de agosto de 2020 .
^ Singh, Gajendra (noviembre de 2015). ""Romper las cadenas que nos atan ": la sala de interrogatorios, el ejército nacional indio y la negación de las identidades militares, 1941-1947". Biblioteca digital de Brill de la Primera Guerra Mundial . doi : 10.1163/2352-3786_dlws1_b9789004211452_019 . Consultado el 28 de mayo de 2021 .
^ Duncanson, Dennis (junio de 1982). "La lucha por descifrar la Indochina francesa". Asuntos asiáticos . 13 (2): 161-170. doi :10.1080/03068378208730070. ISSN 0306-8374.
^ Whitman y col. 2017, págs.3.
^ "Allied Power. Movilización de la hidroelectricidad durante la Segunda Guerra Mundial de Canadá", Allied Power , University of Toronto Press, págs. 1-2, 31 de diciembre de 2015, doi :10.3138/9781442617117-003, ISBN978-1-4426-1711-7, consultado el 29 de mayo de 2021
^ Glatthaar, Joseph T. (15 de junio de 2011), "Oficiales y soldados", Soldados en el ejército de Virginia del Norte , University of North Carolina Press, págs. 83–96, doi :10.5149/9780807877869_glatthaar.11, ISBN978-0-8078-3492-3, consultado el 28 de mayo de 2021
^ ab Sebag-Montefiore, H. (2011). Enigma: La batalla por el código . Orión. pag. 576.ISBN9781780221236.
^ Whitman y col. 2017, págs. 4–5.
^ ab Whitman y col. 2017, pág. 5.
^ Dekar, Paul R. (26 de abril de 2012). Thomas Merton: Sabiduría del siglo XX para la vida del siglo XXI. La prensa de Lutterworth. págs. 160–184. doi :10.2307/j.ctt1cg4k28.13. ISBN978-0-7188-4069-3. Consultado el 29 de mayo de 2021 .
^ Murphy, Richard C. (1 de septiembre de 2009). Construcción de supercomputadoras más potentes y menos costosas utilizando el informe final LDRD de procesamiento en memoria (PIM) (Reporte). doi :10.2172/993898.
^ "Una breve historia de Internet". www.usg.edu . Consultado el 7 de agosto de 2020 .
^ "Pasear por la vista de Delft - en Internet". Computadoras y gráficos . 25 (5): 927. Octubre de 2001. doi :10.1016/s0097-8493(01)00149-2. ISSN 0097-8493.
^ DeNardis, L. (2007). "Capítulo 24: Una historia de la seguridad en Internet". En de Leeuw, KMM; Bergstra, J. (eds.). La historia de la seguridad de la información: un manual completo . Elsevier. págs. 681–704. ISBN9780080550589.
^ Parroquia, Allen; Impagliazzo, John; Raj, Rajendra K.; Santos, Henrique; Asghar, Muhammad Rizwan; Jøsang, Audun; Pereira, Teresa; Stavrou, Eliana (2 de julio de 2018). "Perspectivas globales sobre la educación en ciberseguridad para 2030: un caso a favor de una metadisciplina". Compañero de actas de la 23ª Conferencia Anual de ACM sobre Innovación y Tecnología en la Educación en Ciencias de la Computación . ACM. págs. 36–54. doi :10.1145/3293881.3295778. hdl :1822/71620. ISBN978-1-4503-6223-8. S2CID 58004425.
^ Perrin, Chad (30 de junio de 2008). "La tríada de la CIA" . Consultado el 31 de mayo de 2012 .
^ Sandhu, Ravi; Jajodia, Sushil (20 de octubre de 2000), "Seguridad de bases de datos relacionales", Manual de gestión de seguridad de la información, conjunto de cuatro volúmenes , Publicaciones Auerbach, doi :10.1201/9780203325438.ch120, ISBN978-0-8493-1068-3
^ ab Stoneburner, G.; Hayden, C.; Feringa, A. (2004). "Principios de ingeniería para la seguridad de la tecnología de la información" (PDF) . csrc.nist.gov. doi :10.6028/NIST.SP.800-27rA. Archivado desde el original (PDF) el 15 de agosto de 2011 . Consultado el 28 de agosto de 2011 .
^ AJ Neumann, N. Statland y RD Webb (1977). «Herramientas y técnicas de auditoría de posprocesamiento» (PDF) . Departamento de Comercio de EE. UU., Oficina Nacional de Normas. págs. 11-3--11-4.
^ "ocde.org" (PDF) . Archivado desde el original (PDF) el 16 de mayo de 2011 . Consultado el 17 de enero de 2014 .
^ "GSSP (Principios de seguridad del sistema generalmente aceptados): un viaje a Abilene". Computadoras y seguridad . 15 (5): 417. Enero de 1996. doi :10.1016/0167-4048(96)82630-7. ISSN 0167-4048.
^ Slade, Rob. "Blog (ICS) 2". Archivado desde el original el 17 de noviembre de 2017 . Consultado el 17 de noviembre de 2017 .
^ Aceituno, Vicente. "Modelo Abierto de Madurez de Seguridad de la Información" . Consultado el 12 de febrero de 2017 .
^ "George Cybenko - Página de inicio personal de George Cybenko" (PDF) . Archivado desde el original (PDF) el 29 de marzo de 2018 . Consultado el 5 de enero de 2018 .
^ Hughes, Jeff; Cybenko, George (21 de junio de 2018). "Métricas cuantitativas y evaluación de riesgos: el modelo de tres principios de ciberseguridad". Revisión de la gestión de la innovación tecnológica . 3 (8).
^ Teplow, Lily (julio de 2020). "¿Sus clientes están cayendo en estos mitos de seguridad de TI? [GRÁFICO]". continuo.net .
^ Beckers, K. (2015). Requisitos de patrones y seguridad: establecimiento de estándares de seguridad basado en ingeniería. Saltador. pag. 100.ISBN9783319166643.
^ Fienberg, Stephen E.; Slavković, Aleksandra B. (2011), "Privacidad y confidencialidad de los datos", Enciclopedia internacional de ciencia estadística , págs. 342–345, doi :10.1007/978-3-642-04898-2_202, ISBN978-3-642-04897-5
^ abcde Andress, J. (2014). Los fundamentos de la seguridad de la información: comprensión de los fundamentos de InfoSec en la teoría y la práctica. Singreso. pag. 240.ISBN9780128008126.
^ Boritz, J. Efrim (2005). "Opiniones de los profesionales de SI sobre conceptos básicos de integridad de la información". Revista Internacional de Sistemas de Información Contable . 6 (4). Elsevier: 260–279. doi :10.1016/j.accinf.2005.07.001.
^ Hryshko, I. (2020). "Ocupación no autorizada de terrenos y construcciones no autorizadas: conceptos y tipos de medios tácticos de investigación". Heraldo de la Universidad Humanitaria Internacional. Jurisprudencia (43): 180–184. doi : 10.32841/2307-1745.2020.43.40 . ISSN 2307-1745.
^ Kim, Bonn-Oh (21 de septiembre de 2000), "Integridad referencial para el diseño de bases de datos", Bases de datos web de alto rendimiento , Publicaciones Auerbach, págs. 427–434, doi :10.1201/9781420031560-34, ISBN978-0-429-11600-1, consultado el 29 de mayo de 2021
^ Pevnev, V. (2018). "Modelar amenazas y garantizar la integridad de la información". Sistemas y Tecnologías . 2 (56): 80–95. doi : 10.32836/2521-6643-2018.2-56.6 . ISSN 2521-6643.
^ Fanático, Lejun; Wang, Yuanzhuo; Cheng, Xueqi; Li, Jinming; Jin, Shuyuan (26 de febrero de 2013). "Análisis de colaboración multiproceso de malware de robo de privacidad". Redes de Seguridad y Comunicaciones . 8 (1): 51–67. doi : 10.1002/seg.705 . ISSN 1939-0114.
^ "Integridad, coherencia e integridad del modelo de datos". Medición de la calidad de los datos para la mejora continua . Serie MK sobre Inteligencia Empresarial. Elsevier. 2013. págs. e11-e19. doi :10.1016/b978-0-12-397033-6.00030-4. ISBN978-0-12-397033-6. Consultado el 29 de mayo de 2021 .
^ Vídeo de SPIE, la Sociedad Internacional de Óptica y Fotónica. doi : 10.1117/12.2266326.5459349132001 . Consultado el 29 de mayo de 2021 .
^ "Habilidades de comunicación utilizadas por los graduados en sistemas de información". Problemas en los sistemas de información . 2005. doi : 10.48009/1_iis_2005_311-317 . ISSN 1529-7314.
^ Cortes de suministro de energía eléctrica resultantes de fallas en los cables del sistema de Boston Edison Company (Reporte). 1 de julio de 1980. doi : 10.2172/5083196. OSTI 5083196 . Consultado el 18 de enero de 2022 .
^ Loukás, G.; Oke, G. (septiembre de 2010) [agosto de 2009]. "Protección contra ataques de denegación de servicio: una encuesta" (PDF) . Computadora. J. 53 (7): 1020-1037. doi : 10.1093/comjnl/bxp078. Archivado desde el original (PDF) el 24 de marzo de 2012 . Consultado el 28 de agosto de 2015 .
^ "Poder realizar una actividad clínica", Definiciones , Qeios, 2 de febrero de 2020, doi :10.32388/dine5x, S2CID 241238722 , consultado el 29 de mayo de 2021
^ Ohta, Mai; Fujii, Takeo (mayo de 2011). "Detección cooperativa iterativa en el espectro primario compartido para mejorar la capacidad de detección". Simposio internacional IEEE 2011 sobre redes dinámicas de acceso al espectro (DySPAN) . IEEE. págs. 623–627. doi :10.1109/dyspan.2011.5936257. ISBN978-1-4577-0177-1. S2CID 15119653.
^ Tecnología de la información. Gestión de incidentes de seguridad de la información, BSI British Standards, doi :10.3403/30387743 , consultado el 29 de mayo de 2021
^ Blum, Dan (2020), "Identificar y alinear roles relacionados con la seguridad", Ciberseguridad racional para empresas , Berkeley, CA: Apress, págs. 31–60, doi :10.1007/978-1-4842-5952-8_2, ISBN978-1-4842-5951-1, S2CID 226626983 , consultado el 29 de mayo de 2021
^ McCarthy, C. (2006). "Bibliotecas digitales: consideraciones de seguridad y preservación". En Bidgoli, H. (ed.). Manual de Seguridad, Amenazas, Vulnerabilidades, Prevención, Detección y Gestión de la Información . vol. 3. John Wiley e hijos. págs. 49–76. ISBN9780470051214.
^ Tecnología de la información. Sistemas abiertos de interconexión. Marcos de seguridad para sistemas abiertos, BSI British Standards, doi :10.3403/01110206u , consultado el 29 de mayo de 2021
^ Christofori, Ralf (1 de enero de 2014), "Así podría haber sido", Julio Rondo - Ok, Meta Memory , Wilhelm Fink Verlag, doi :10.30965/9783846757673_003, ISBN978-3-7705-5767-7
^ Atkins, D. (mayo de 2021). "Uso del algoritmo de firma digital Walnut con cifrado y firma de objetos CBOR (COSE)". Editor RFC . doi : 10.17487/rfc9021 . S2CID 182252627 . Consultado el 18 de enero de 2022 .
^ Le May, I. (2003), "Integridad estructural en la industria petroquímica", Integridad estructural integral , Elsevier, págs. 125-149, doi :10.1016/b0-08-043749-4/01001-6, ISBN978-0-08-043749-1, consultado el 29 de mayo de 2021
^ Sodjahin, Amós; Champán, Claudia; Coggins, Frank; Gillet, Roland (11 de enero de 2017). "¿Indicadores de riesgo adelantados o rezagados? El contenido informativo de las puntuaciones de desempeño extrafinanciero". Revista de gestión de activos . 18 (5): 347–370. doi :10.1057/s41260-016-0039-y. ISSN 1470-8272. S2CID 157485290.
^ Reynolds, EH (22 de julio de 1995). "El folato tiene potencial para causar daño". BMJ . 311 (6999): 257.doi : 10.1136/bmj.311.6999.257. ISSN 0959-8138. PMC 2550299 . PMID 7503870.
^ Randall, Alan (2011), "Daño, riesgo y amenaza", Riesgo y precaución , Cambridge: Cambridge University Press, págs. 31–42, doi :10.1017/cbo9780511974557.003, ISBN978-0-511-97455-7, consultado el 29 de mayo de 2021
^ Grama, JL (2014). Cuestiones legales en seguridad de la información. Aprendizaje de Jones y Bartlett. pag. 550.ISBN9781284151046.
^ Cannon, David L. (4 de marzo de 2016). "Proceso de auditoría". CISA: Guía de estudio para auditores certificados de sistemas de información (Cuarta ed.). págs. 139-214. doi :10.1002/9781119419211.ch3. ISBN9781119056249.
^ Manual de revisión de CISA 2006 . Asociación de Auditoría y Control de Sistemas de Información. 2006. pág. 85.ISBN978-1-933284-15-6.
^ Kadlec, Jaroslav (2 de noviembre de 2012). "Modelado de procesos bidimensionales (2DPM)". Diario de gestión de procesos de negocio . 18 (6): 849–875. doi :10.1108/14637151211283320. ISSN 1463-7154.
^ "Todas las contramedidas tienen algún valor, pero ninguna contramedida es perfecta", Beyond Fear , Nueva York: Springer-Verlag, págs. 207–232, 2003, doi :10.1007/0-387-21712-6_14, ISBN0-387-02620-7, consultado el 29 de mayo de 2021
^ "Violación de datos: Deloitte sufre un grave impacto mientras surgen más detalles sobre Equifax y Yahoo". Fraude informático y seguridad . 2017 (10): 1–3. Octubre de 2017. doi :10.1016/s1361-3723(17)30086-6. ISSN 1361-3723.
^ Espagnoletti, Paolo; Resca A. (2008). "La dualidad de la Gestión de la Seguridad de la Información: luchar contra amenazas predecibles e impredecibles". Revista de seguridad de sistemas de información . 4 (3): 46–62.
^ Yusoff, ni Hashim; Yusof, Mohd Radzuan (4 de agosto de 2009). "Gestión del riesgo de HSE en entornos hostiles". Todos los días . SPE. doi : 10.2118/122545-ms.
^ Baxter, Wesley (2010). Agotado: cómo las áreas de mejora empresarial del centro de Ottawa han asegurado y valorizado el espacio urbano (Tesis). Universidad de Carleton. doi :10.22215/etd/2010-09016.
^ de Souza, André; Lynch, Anthony (junio de 2012). "¿Varía el rendimiento de los fondos mutuos a lo largo del ciclo económico?". Cambridge, MA. doi :10.3386/w18137. S2CID 262620435.
^ Kiountouzis, EA; Kokolakis, SA (31 de mayo de 1996). Seguridad de los sistemas de información: de cara a la sociedad de la información del siglo XXI . Londres: Chapman & Hall, Ltd. ISBN978-0-412-78120-9.
^ Newsome, B. (2013). Una introducción práctica a la seguridad y la gestión de riesgos . Publicaciones SAGE. pag. 208.ISBN9781483324852.
^ ab Whitman, YO; Mattord, HJ (2016). Gestión de la Seguridad de la Información (5ª ed.). Aprendizaje Cengage. pag. 592.ISBN9781305501256.
^ "Hardware, telas, adhesivos y otros suministros teatrales", Guía ilustrada de producción teatral , Routledge, págs. 203–232, 20 de marzo de 2013, doi :10.4324/9780080958392-20, ISBN978-0-08-095839-2, consultado el 29 de mayo de 2021
^ Reason, James (2 de marzo de 2017), "Percepciones de actos inseguros", The Human Contribution , CRC Press, págs. 69-103, doi :10.1201/9781315239125-7, ISBN978-1-315-23912-5, consultado el 29 de mayo de 2021
^ "Procedimientos y estándares de seguridad de la información", Políticas, procedimientos y estándares de seguridad de la información , Boca Raton, FL: Publicaciones Auerbach, págs. 81–92, 27 de marzo de 2017, doi :10.1201/9781315372785-5, ISBN978-1-315-37278-5, consultado el 29 de mayo de 2021
^ Zhuang, Haifeng; Chen, Yu; Sheng, Xianfu; Hong, Lili; Gao, Ruilan; Zhuang, Xiaofen (25 de junio de 2020). "Figura S1: Análisis del impacto pronóstico de cada gen característico". PeerJ . 8 : e9437. doi : 10.7717/peerj.9437/supp-1 .
^ Standaert, B.; Ethgen, O.; Emerson, RA (junio de 2012). "Análisis de rentabilidad del CO4: ¿apropiado para todas las situaciones?". Valor en Salud . 15 (4): A2. doi : 10.1016/j.jval.2012.03.015 . ISSN 1098-3015.
^ "Las marquesinas de GRP brindan una protección rentable sobre las puertas". Plásticos Reforzados . 40 (11): 8 de noviembre de 1996. doi :10.1016/s0034-3617(96)91328-4. ISSN 0034-3617.
^ "Figura 2.3. Riesgo relativo de tener un desempeño bajo según las circunstancias personales (2012)". doi : 10.1787/888933171410 . Consultado el 29 de mayo de 2021 .
^ Quemador de piedras, Gary; Goguen, Alice; Feringa, Alexis (2002). "Guía de gestión de riesgos NIST SP 800-30 para sistemas de tecnología de la información". doi : 10.6028/NIST.SP.800-30 . Consultado el 18 de enero de 2022 .
^ "¿Puedo elegir? ¿Puedo elegir? Opresión y elección", Una teoría de la libertad , Palgrave Macmillan, 2012, doi :10.1057/9781137295026.0007, ISBN978-1-137-29502-6
^ Parker, Donn B. (enero de 1994). "Una guía para seleccionar e implementar controles de seguridad". Seguridad de los Sistemas de Información . 3 (2): 75–86. doi :10.1080/10658989409342459. ISSN 1065-898X.
^ Zoccali, Carmín; Mallamaci, Francesca; Tripepi, Giovanni (25 de septiembre de 2007). "Editor invitado: Rajiv Agarwal: la evaluación del perfil de riesgo cardiovascular y el control de la medicación deben ser lo primero". Seminarios en Diálisis . 20 (5): 405–408. doi :10.1111/j.1525-139x.2007.00317.x. ISSN 0894-0959. PMID 17897245. S2CID 33256127.
^ Guía para la implementación y auditoría de controles SGSI basados en ISO/IEC 27001. Londres: BSI British Standards. 1 de noviembre de 2013. doi :10.3403/9780580829109. ISBN978-0-580-82910-9.
^ Johnson, L. (2015). Manual de evaluación, pruebas y valoración de controles de seguridad. Singreso. pag. 678.ISBN9780128025642.
^ Tecnología de la información. Técnicas de seguridad. Mapeo de las ediciones revisadas de ISO/IEC 27001 e ISO/IEC 27002, BSI British Standards, doi :10.3403/30310928 , consultado el 29 de mayo de 2021
^ abc "Controles administrativos", Ergonomía ocupacional , CRC Press, págs. 443–666, 26 de marzo de 2003, doi :10.1201/9780203507933-6, ISBN978-0-429-21155-3, consultado el 29 de mayo de 2021
^ Chen, J.; Demers, EA; Lev, B. (junio de 2013). "Cómo influye la hora del día en las conversaciones comerciales". doi : 10.13007/141 . Consultado el 18 de enero de 2022 .
^ "Apéndice D", Desarrollo de políticas de seguridad de la información para el cumplimiento , Publicaciones Auerbach, págs. 117-136, 22 de marzo de 2013, doi :10.1201/b13922-12, ISBN978-1-4665-8058-9
^ "Firewalls, sistemas de detección de intrusiones y evaluación de vulnerabilidades: ¿una conjunción superior?". Seguridad de la red . 2002 (9): 8-11. Septiembre de 2002. doi :10.1016/s1353-4858(02)09009-8. ISSN 1353-4858.
^ Rescate, J.; Misra, A. (2013). Seguridad central del software: seguridad en el origen. Prensa CRC. págs. 40–41. ISBN9781466560956.
^ Weik, Martin H. (2000), "principio de privilegio mínimo", Diccionario de informática y comunicaciones , p. 883, doi :10.1007/1-4020-0613-6_10052, ISBN978-0-7923-8425-0
^ Emir, Astra (septiembre de 2018). "19. Deberes de los ex empleados". Tesoro de leyes . doi :10.1093/he/9780198814849.003.0019. ISBN978-0-19-185251-0.
^ Guía para privilegios de acceso a la información de salud, ASTM International, doi :10.1520/e1986-09 , consultado el 29 de mayo de 2021
^ Drury, Bill (1 de enero de 2009), "Entorno físico", Manual de técnicas de control, accionamientos y controles , Institución de Ingeniería y Tecnología, págs. 355–381, doi :10.1049/pbpo057e_chb3, ISBN978-1-84919-013-8, consultado el 29 de mayo de 2021
^ Sistemas de detección y alarma de incendios, BSI British Standards, doi :10.3403/30266863 , consultado el 29 de mayo de 2021
^ Silverman, Arnold B. (noviembre de 2001). "Entrevistas de salida de empleados: un procedimiento importante pero que con frecuencia se pasa por alto". JOM . 53 (11): 48. Código bibliográfico : 2001JOM....53k..48S. doi :10.1007/s11837-001-0195-4. ISSN 1047-4838. S2CID 137528079.
^ "Muchos farmacéuticos empleados deberían poder beneficiarse". La revista farmacéutica . 2013. doi : 10.1211/pj.2013.11124182. ISSN 2053-6186.
^ "Matriz de Control de Segregación de Funciones". ISACA. 2008. Archivado desde el original el 3 de julio de 2011 . Consultado el 30 de septiembre de 2008 .
^ "Los residentes deben proteger su información privada". JAMA . 279 (17): 1410B. 6 de mayo de 1998. doi : 10.1001/jama.279.17.1410 . ISSN 0098-7484.
^ "Sistemas de apoyo a la sabiduría grupal: agregar los conocimientos de muchos a través de la tecnología de la información". Problemas en los sistemas de información . 2008. doi : 10.48009/2_iis_2008_343-350 . ISSN 1529-7314.
^ "INTERDEPENDENCIAS DE LOS SISTEMAS DE INFORMACIÓN", Lecciones aprendidas: protección de la infraestructura de información crítica , IT Governance Publishing, págs. 34-37, 2018, doi :10.2307/j.ctt1xhr7hq.13, ISBN978-1-84928-958-0, consultado el 29 de mayo de 2021
^ "Gestión de la seguridad de la red", Seguridad perimetral de la red , Publicaciones Auerbach, págs. 17–66, 27 de octubre de 2003, doi :10.1201/9780203508046-3, ISBN978-0-429-21157-7, consultado el 29 de mayo de 2021
^ Kakareka, A. (2013). "Capítulo 31: ¿Qué es la evaluación de vulnerabilidad?". En Vacca, JR (ed.). Manual de seguridad informática y de la información (2ª ed.). Elsevier. págs. 541–552. ISBN9780123946126.
^ Duque, Pensilvania; Howard, IP (17 de agosto de 2012). "Procesamiento de disparidades de tamaño verticales en distintos planos de profundidad". Revista de Visión . 12 (8): 10. doi :10.1167/12.8.10. ISSN 1534-7362. PMID 22904355.
^ "Scripts de control cebolla de seguridad". Monitoreo de seguridad de red aplicado . Elsevier. 2014, págs. 451–456. doi :10.1016/b978-0-12-417208-1.09986-4. ISBN978-0-12-417208-1. Consultado el 29 de mayo de 2021 .
^ Saia, Sergio; Fragasso, Mariagiovanna; Vita, Pasquale De; Beleggia, Romina. "La metabolómica proporciona información valiosa para el estudio del trigo duro: una revisión". Diario de la química agrícola y alimentaria . doi : 10.1021/acs.jafc.8b07097.s001 . Consultado el 29 de mayo de 2021 .
^ "Descripción general", Políticas, procedimientos y estándares de seguridad de la información , Publicaciones Auerbach, 20 de diciembre de 2001, doi :10.1201/9780849390326.ch1, ISBN978-0-8493-1137-6
^ Relés de protección eléctrica. Información y requisitos para todos los relés de protección, normas británicas BSI, doi :10.3403/bs142-1 , consultado el 29 de mayo de 2021.
^ Dibattista, José D.; Reimer, James D.; Estadísticas, Michael; Masucci, Giovanni D.; Biondi, Piera; Brauwer, Maarten De; Bunce, Michael (6 de febrero de 2019). "Información complementaria 4: Lista de todas las familias combinadas en orden alfabético asignadas en MEGAN versiones 5.11.3". PeerJ . 7 : e6379. doi : 10.7717/peerj.6379/supp-4 .
^ Kim, Sung-Won (31 de marzo de 2006). "Un análisis cuantitativo de clases de clasificación y recursos de información clasificada de directorio". Revista de Gestión de la Información . 37 (1): 83–103. doi : 10.1633/jim.2006.37.1.083 . ISSN 0254-3621.
^ ab Bayuk, J. (2009). "Capítulo 4: Clasificación de la información". En Axelrod, CW; Bayuk, JL; Schutzer, D. (eds.). Seguridad y privacidad de la información empresarial . Casa Artech. págs. 59–70. ISBN9781596931916.
^ "Bienvenidos a la era de la información", ¡Sobrecarga! , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 43–65, 11 de septiembre de 2015, doi :10.1002/9781119200642.ch5, ISBN978-1-119-20064-2, consultado el 29 de mayo de 2021
^ Ladrones, S. (2006). "102. Estudio de caso: cuando los esfuerzos de control de la exposición anulan otras consideraciones de diseño importantes". AIHce 2006 . AIHA. doi :10.3320/1.2759009 (inactivo el 4 de febrero de 2024).{{cite book}}: Mantenimiento CS1: DOI inactivo a partir de febrero de 2024 ( enlace )
^ "Modelo de negocio para la seguridad de la información (BMIS)". ISACA. Archivado desde el original el 26 de enero de 2018 . Consultado el 25 de enero de 2018 .
^ McAuliffe, Leo (enero de 1987). "Alto secreto/secreto comercial: acceso y salvaguardia de información restringida". Información gubernamental trimestral . 4 (1): 123–124. doi :10.1016/0740-624x(87)90068-2. ISSN 0740-624X.
^ Iqbal, Javaid; Soroya, Saira Hanif; Mahmood, Khalid (5 de enero de 2023). "Comportamiento de seguridad de la información financiera en la banca online". Desarrollo de información : 026666692211493. doi : 10.1177/02666669221149346. ISSN 0266-6669. S2CID 255742685.
^ Khairuddin, Ismail Mohd; Sidek, Shahrul Naim; Abdul Majeed, Anwar PP; Razman, Mohd Azraai Mohd; Puzi, Asmarani Ahmad; Yusof, Hazlina Md (25 de febrero de 2021). "Figura 7: Precisión de clasificación de cada modelo para todas las funciones". PeerJ Ciencias de la Computación . 7 : e379. doi : 10.7717/peerj-cs.379/fig-7 .
^ "Clasificación de activos", Fundamentos de seguridad de la información , Publicaciones Auerbach, págs. 327–356, 16 de octubre de 2013, doi :10.1201/b15573-18, ISBN978-0-429-13028-1, consultado el 1 de junio de 2021
^ ab Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). "¡Autorizado! ¡Acceso denegado, no autorizado! Acceso concedido". Actas de la VI Conferencia Internacional sobre Seguridad de la Información y las Redes . Pecado '13. Nueva York, Nueva York, Estados Unidos: ACM Press. págs. 363–367. doi :10.1145/2523514.2523612. ISBN978-1-4503-2498-4. S2CID 17260474.
^ ab Peiss, Kathy (2020), "El país de la mente también debe atacar", Cazadores de información , Oxford University Press, págs. 16-39, doi :10.1093/oso/9780190944612.003.0003, ISBN978-0-19-094461-2, consultado el 1 de junio de 2021
^ Fugini, MG; Martella, G. (enero de 1988). "Un modelo petri-net de mecanismos de control de acceso". Sistemas de información . 13 (1): 53–63. doi :10.1016/0306-4379(88)90026-9. ISSN 0306-4379.
^ Tecnología de la información. Identificación personal. Permiso de conducir que cumple con ISO, estándares británicos BSI, doi :10.3403/30170670u , consultado el 1 de junio de 2021
^ Santos, Omar (2015). Ccna seguridad 210-260 guía oficial de certificados . Prensa de Cisco. ISBN978-1-58720-566-8. OCLC 951897116.
^ "¿Qué es la afirmación?", ENTRENAMIENTO DE ASERCIÓN , Abingdon, Reino Unido: Taylor & Francis, págs. 1–7, 1991, doi :10.4324/9780203169186_chapter_one, ISBN978-0-203-28556-5, consultado el 1 de junio de 2021
^ Cierta, John (1960). "La temporada de campo en Illinois comienza el 2 de mayo". Horizontes del suelo . 1 (2): 10. doi :10.2136/sh1960.2.0010. ISSN 2163-2812.
^ Leech, M. (marzo de 1996). "Autenticación de nombre de usuario/contraseña para SOCKS V5". doi : 10.17487/rfc1929 . Consultado el 18 de enero de 2022 .
^ Kirk, Juan; Wall, Christine (2011), "Cajero, vendedor, activista sindical: formación de clases y cambio de identidades de los trabajadores bancarios", Trabajo e identidad , Londres: Palgrave Macmillan Reino Unido, págs. 124-148, doi :10.1057/9780230305625_6, ISBN978-1-349-36871-6, consultado el 1 de junio de 2021
^ Dewi, Mila Nurmala (23 de diciembre de 2020). "Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri". Nisbah: Jurnal Perbankan Syariah . 6 (2): 75. doi :10.30997/jn.v6i2.1932. ISSN 2528-6633. S2CID 234420571.
^ Vile, John (2013), "Verificaciones de licencia", Enciclopedia de la Cuarta Enmienda , Washington DC: CQ Press, doi :10.4135/9781452234243.n462, ISBN978-1-60426-589-7, consultado el 1 de junio de 2021
^ "Él dijo/ella dijo", Mi fantasma tiene un nombre , University of South Carolina Press, págs. 17–32, doi :10.2307/j.ctv6wgjjv.6, ISBN978-1-61117-827-2, consultado el 29 de mayo de 2021
^ Bacigalupo, Sonny A.; Dixon, Linda K.; Gubbins, Simón; Kucharski, Adam J.; Drewe, Julian A. (26 de octubre de 2020). "Información complementaria 8: Métodos utilizados para monitorear diferentes tipos de contacto". PeerJ . 8 : e10221. doi : 10.7717/peerj.10221/supp-8 .
^ Igelnik, Boris M.; Zurada, Jacek (2013). Métodos de eficiencia y escalabilidad para el intelecto computacional . Referencia de ciencias de la información. ISBN978-1-4666-3942-3. OCLC 833130899.
^ "La Superbill de seguros debe tener su nombre como proveedor", antes de ver a su primer cliente , Routledge, págs. 37–38, 1 de enero de 2005, doi :10.4324/9780203020289-11, ISBN978-0-203-02028-9, consultado el 1 de junio de 2021
^ Kissell, Joe. Tome el control de sus contraseñas . ISBN978-1-4920-6638-5. OCLC 1029606129.
^ "Se anunció la nueva licencia de conducir inteligente de Queensland". Tecnología de tarjetas hoy . 21 (7): 5 de julio de 2009. doi :10.1016/s0965-2590(09)70126-4. ISSN 0965-2590.
^ Laboratorio Nacional Lawrence Livermore. Estados Unidos. Departamento de Energía. Oficina de Información Científica y Técnica (1995). Una evaluación ergonómica y de ingeniería humana de la interfaz del panel de acceso de seguridad . Estados Unidos. Departamento de Energía. OCLC 727181384.
^ Lee, Paul (abril de 2017). "Impresiones encantadoras: cómo las huellas dactilares son pioneras en la biometría convencional". La tecnología biométrica hoy . 2017 (4): 8-11. doi :10.1016/s0969-4765(17)30074-7. ISSN 0969-4765.
^ Landrock, Peter (2005). "Autenticación de dos factores". Enciclopedia de Criptografía y Seguridad . pag. 638. doi :10.1007/0-387-23483-7_443. ISBN978-0-387-23473-1.
^ "Figura 1.5. El matrimonio sigue siendo la forma más común de unión entre parejas, 2000-07". doi : 10.1787/888932392533 . Consultado el 1 de junio de 2021 .
^ Akpeninor, James Ohwofasa (2013). Conceptos modernos de seguridad. Bloomington, IN: AuthorHouse. pag. 135.ISBN978-1-4817-8232-6. Consultado el 18 de enero de 2018 .
^ Richards, G. (abril de 2012). "Autenticación previa de contraseña de un solo uso (OTP)". doi :10.17487/rfc6560.
^ Schumacher, Dietmar (3 de abril de 2016). "Exploración geoquímica de superficie después de 85 años: qué se ha logrado y qué más queda por hacer". Conferencia y Exposición Internacional, Barcelona, España, 3-6 de abril de 2016 . Resúmenes de la reunión global de SEG. Sociedad de Geofísicos de Exploración y Asociación Estadounidense de Geólogos del Petróleo. pag. 100. doi :10.1190/ice2016-6522983.1.
^ "Programa de autorización y aprobación", Políticas y procedimientos de control interno , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 69–72, 23 de octubre de 2015, doi :10.1002/9781119203964.ch10, ISBN978-1-119-20396-4, consultado el 1 de junio de 2021
^ "¿Qué respuestas y en qué condiciones?", Políticas locales y el Fondo Social Europeo , Policy Press, págs. 81-102, 2 de octubre de 2019, doi :10.2307/j.ctvqc6hn1.12, ISBN978-1-4473-4652-4, S2CID 241438707 , consultado el 1 de junio de 2021
^ Cheng, Liang; Zhang, Yang; Han, Zhihui (junio de 2013). "Medir cuantitativamente los mecanismos de control de acceso en diferentes sistemas operativos". 2013 IEEE Séptima Conferencia Internacional sobre Seguridad y Confiabilidad del Software . IEEE. págs. 50–59. doi :10.1109/sere.2013.12. ISBN978-1-4799-0406-8. S2CID 13261344.
^ ab Weik, Martin H. (2000), "control de acceso discrecional", Diccionario de informática y comunicaciones , p. 426, doi :10.1007/1-4020-0613-6_5225, ISBN978-0-7923-8425-0
^ Agricultor, C.; Balani, P.; Weidenfeller, C.; Bartusel, T.; Zhen Tao; Rauen, T. (10 de agosto de 2005). "Las subunidades individuales del homotrímero EAAC1 del transportador de glutamato funcionan independientemente unas de otras". Bioquímica . 44 (35): 11913–11923. doi :10.1021/bi050987n. PMC 2459315 . PMID 16128593.
^ Ellis Ormrod, Jeanne (2012). Fundamentos de la psicología educativa: grandes ideas para guiar una enseñanza eficaz . Pearson. ISBN978-0-13-136727-2. OCLC 663953375.
^ Belim, SV; Bogachenko, NF; Kabanov, AN (noviembre de 2018). "Nivel de gravedad de los permisos en el control de acceso basado en roles". 2018 Dinámica de Sistemas, Mecanismos y Máquinas (Dinámica) . IEEE. págs. 1 a 5. arXiv : 1812.11404 . doi : 10.1109/dinámica.2018.8601460. ISBN978-1-5386-5941-0. S2CID 57189531.
^ "Configuración de TACACS y TACACS extendido", Protección y control de enrutadores Cisco , Publicaciones de Auerbach, 15 de mayo de 2002, doi :10.1201/9781420031454.ch11, ISBN978-0-8493-1290-8
^ "Desarrollo de políticas de seguridad efectivas", Análisis de riesgos y selección de contramedidas de seguridad , CRC Press, págs. 261–274, 18 de diciembre de 2009, doi :10.1201/9781420078718-18, ISBN978-0-429-24979-2, consultado el 1 de junio de 2021
^ "El uso de seguimientos de auditoría para monitorear redes y sistemas clave debería seguir siendo parte de la debilidad material de la seguridad informática". www.tesoro.gov . Consultado el 6 de octubre de 2017 .
^ "arreglar-el-régimen-de-acceso-a-los-medicamentos-de-canada-lo-que-necesita-saber-sobre-el-bill-c398". Documentos de Derechos Humanos en línea . doi : 10.1163/2210-7975_hrd-9902-0152 . Consultado el 1 de junio de 2021 .
^ Salazar, Mary K. (enero de 2006). "Afrontar riesgos inciertos: cuándo aplicar el principio de precaución". Revista AAOHN . 54 (1): 11-13. doi :10.1177/216507990605400102. ISSN 0891-0162. S2CID 87769508.
^ "Necesitamos saber más sobre cómo el gobierno censura a sus empleados". Documentos de derechos humanos en línea . doi : 10.1163/2210-7975_hrd-9970-2016117 . Consultado el 1 de junio de 2021 .
^ Pournelle, Jerry (22 de abril de 2004), "1001 palabras informáticas que necesita saber", 1001 palabras informáticas que necesita saber: la guía definitiva sobre el lenguaje de las computadoras , Oxford Scholarship Online, Oxford University Press, doi :10.1093/ oso/9780195167757.003.0007, ISBN978-0-19-516775-7, consultado el 30 de julio de 2021
^ Easttom, William (2021), "Criptografía de curva elíptica", Criptografía moderna , Cham: Springer International Publishing, págs. 245–256, doi :10.1007/978-3-030-63115-4_11, ISBN978-3-030-63114-7, S2CID 234106555 , consultado el 1 de junio de 2021
^ Follman, Rebecca (1 de marzo de 2014). De alguien que ha estado allí: búsqueda de información en la tutoría. Actas del IConference 2014 (Tesis). iEscuelas. doi :10.9776/14322. hdl : 1903/14292. ISBN978-0-9884900-1-7.
^ Weiss, Jason (2004), "Resúmenes de mensajes, códigos de autenticación de mensajes y firmas digitales", Extensiones de criptografía de Java , Elsevier, págs. 101-118, doi :10.1016/b978-012742751-5/50012-8, ISBN978-0-12-742751-5, consultado el 5 de junio de 2021
^ Bider, D. (marzo de 2018). "Uso de claves RSA con SHA-256 y SHA-512 en el protocolo Secure Shell (SSH)" (PDF) . La serie RFC. doi : 10.17487/RFC8332 . Consultado el 30 de noviembre de 2023 .
^ No, Jaewon; Kim, Jeehyeong; Kwon, Giwon; Cho, Sunghyun (octubre de 2016). "Esquema de intercambio de claves seguro para WPA/WPA2-PSK mediante criptografía de clave pública". Conferencia internacional IEEE de 2016 sobre electrónica de consumo-Asia (ICCE-Asia) . IEEE. págs. 1–4. doi :10.1109/icce-asia.2016.7804782. ISBN978-1-5090-2743-9. S2CID 10595698.
^ Van Buren, Roy F. (mayo de 1990). "Cómo puede utilizar el estándar de cifrado de datos para cifrar sus archivos y bases de datos". Revisión de ACM SIGSAC . 8 (2): 33–39. doi :10.1145/101126.101130. ISSN 0277-920X.
^ Bonneau, Joseph (2016), "¿Por qué comprar cuando se puede alquilar?", Criptografía financiera y seguridad de datos , Apuntes de conferencias sobre informática, vol. 9604, Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 19–26, doi :10.1007/978-3-662-53357-4_2, ISBN978-3-662-53356-7, S2CID 18122687 , consultado el 5 de junio de 2021
^ Coleman, brezo; Andron, Jeff (1 de agosto de 2015), "Lo que los expertos en SIG y los profesionales de políticas necesitan saber sobre el uso de Marxan en procesos de planificación multiobjetivo", Ocean Solutions, Earth Solutions , Esri Press, doi :10.17128/9781589483651_2, ISBN978-1-58948-365-1, consultado el 5 de junio de 2021
^ ab Landrock, Peter (2005), "Clave de cifrado de clave", Enciclopedia de criptografía y seguridad , págs. 326–327, doi :10.1007/0-387-23483-7_220, ISBN978-0-387-23473-1
^ Giri, Debasis; Barua, Prithayan; Srivastava, PD; Jana, Biswapati (2010), "Un criptosistema para el cifrado y descifrado de mensajes confidenciales largos", Seguridad y garantía de la información, Comunicaciones en informática y ciencias de la información, vol. 76, Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 86–96, Bibcode :2010isa..conf...86G, doi :10.1007/978-3-642-13365-7_9, ISBN978-3-642-13364-0, consultado el 5 de junio de 2021
^ Vallabhaneni, SR (2008). Mejores Prácticas de Gestión, Gobierno y Ética Corporativa. John Wiley e hijos. pag. 288.ISBN9780470255803.
^ Boncardo, Robert (20 de septiembre de 2018). "Mallarmé de Jean-Claude Milner: no ha sucedido nada". Prensa de la Universidad de Edimburgo . 1 . doi : 10.3366/edimburgo/9781474429528.003.0005. S2CID 172045429.
^ "La importancia de la debida diligencia operativa", Debida diligencia operativa de fondos de cobertura , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 49–67, 16 de octubre de 2015, doi :10.1002/9781119197485.ch2, ISBN978-1-119-19748-5, consultado el 5 de junio de 2021
^ Hall, Gaylord C. (marzo de 1917). "Algunos puntos de diagnóstico importantes que el médico general [sic] debe conocer sobre la nariz". Revista médica del sur . 10 (3): 211. doi :10.1097/00007611-191703000-00007. ISSN 0038-4348.
^ Renés, J. (1999). Landschappen van Maas en Peel: un pasado histórico-geografisch onderzoek en el streekplangebied Noord- en Midden-Limburg . Eisma. ISBN90-74252-84-2. OCLC 782897414.
^ Thomas, Brook (22 de junio de 2017). "Teniendo en cuenta los pasos anteriores dados". Beca Oxford en línea . doi :10.1093/acprof:oso/9780190456368.003.0002. ISBN978-0-19-045639-9.
^ Lundgren, Regina E. (2018). Comunicación de riesgos: un manual para comunicar riesgos ambientales, de seguridad y de salud . Wiley. ISBN978-1-119-45613-1. OCLC 1043389392.
^ Jensen, Eric Talbot (3 de diciembre de 2020), "Debida diligencia en actividades cibernéticas", Debida diligencia en el orden jurídico internacional , Oxford University Press, págs. 252-270, doi :10.1093/oso/9780198869900.003.0015, ISBN978-0-19-886990-0, consultado el 5 de junio de 2021
^ "Estándar de análisis de riesgos del deber de diligencia". DoCRA . Archivado desde el original el 14 de agosto de 2018 . Consultado el 15 de agosto de 2018 .
^ Sutton, Adán; Cherney, Adrián; White, Rob (2008), "Evaluación de la prevención del delito", Prevención del delito , Cambridge: Cambridge University Press, págs. 70–90, doi :10.1017/cbo9780511804601.006, ISBN978-0-511-80460-1, consultado el 5 de junio de 2021
^ Cheque, Erika (15 de septiembre de 2004). "La FDA considera los riesgos de los antidepresivos para los niños". Naturaleza . doi : 10.1038/noticias040913-15. ISSN 0028-0836.
^ Auckland, Cressida (16 de agosto de 2017). "Protegerme de mis directivas: garantizar las salvaguardias adecuadas para las directivas anticipadas en la demencia". Revisión de derecho médico . 26 (1): 73–97. doi : 10.1093/medlaw/fwx037. ISSN 0967-0742. PMID 28981694.
^ Takach, George S. (2016), "Preparación para un litigio por violación", Preparación y respuesta a la violación de datos , Elsevier, págs. 217-230, doi :10.1016/b978-0-12-803451-4.00009-5, ISBN978-0-12-803451-4, consultado el 5 de junio de 2021
^ Westby, JR; Allen, JH (agosto de 2007). "Guía de implementación de gobernanza para la seguridad empresarial (GES)" (PDF) . Instituto de Ingeniería de Software . Consultado el 25 de enero de 2018 .
^ Fowler, Kevvie (2016), "Desarrollo de un plan de respuesta a incidentes de seguridad informática", Preparación y respuesta a violaciones de datos , Elsevier, págs. 49–77, doi :10.1016/b978-0-12-803451-4.00003-4, ISBN978-0-12-803451-4, consultado el 5 de junio de 2021
^ Bisogni, Fabio (2016). "Demostración de los límites de las leyes estatales de notificación de violaciones de datos: ¿es una ley federal la solución más adecuada?". Revista de Política de Información . 6 : 154-205. doi :10.5325/jinfopoli.6.2016.0154. JSTOR 10.5325/jinfopoli.6.2016.0154.
^ "Comprensión del plan para cada parte", Turbo Flow , Productivity Press, págs. 21 a 30, 27 de julio de 2017, doi :10.1201/b10336-5, ISBN978-0-429-24603-6, consultado el 5 de junio de 2021
^ ab Wills, Leonard (27 de febrero de 2019). "Una breve guía para manejar un incidente cibernético". Asociación de Abogados de Estados Unidos .
^ Johnson, Leighton R. (2014), "Parte 1. Equipo de respuesta a incidentes", Gestión del equipo forense y de respuesta a incidentes informáticos , Elsevier, págs. 17-19, doi :10.1016/b978-1-59749-996-5.00038-8 , ISBN978-1-59749-996-5, consultado el 5 de junio de 2021
^ "Gestión del equipo forense y de respuesta a incidentes informáticos". Seguridad de la red . 2014 (2): 4 de febrero de 2014. doi :10.1016/s1353-4858(14)70018-2. ISSN 1353-4858.
^ "Panorama de amenazas a la ciberseguridad y tendencias futuras", Ciberseguridad , Routledge, págs. 304–343, 16 de abril de 2015, doi :10.1201/b18335-12, ISBN978-0-429-25639-4, consultado el 5 de junio de 2021
^ Tecnología de la información. Técnicas de seguridad. Gestión de incidentes de seguridad de la información, BSI British Standards, doi :10.3403/30268878u , consultado el 5 de junio de 2021
^ Turner, Tim (7 de septiembre de 2011), "Nuestro comienzo: miembros del equipo que comenzaron la historia de éxito", Un equipo en todos los niveles , Productivity Press, págs. 9–36, doi :10.4324/9781466500020-2, ISBN978-0-429-25314-0, consultado el 5 de junio de 2021
^ "de la calle principal de Belgrado. El evento tuvo lugar en absoluto", Radical Street Performance , Routledge, págs. 81–83, 5 de noviembre de 2013, doi :10.4324/9781315005140-28, ISBN978-1-315-00514-0, consultado el 5 de junio de 2021
^ "Por qué la elección es tan importante y qué se puede hacer para preservarla". La manipulación de la elección . Palgrave Macmillan. 2013. doi :10.1057/9781137313577.0010. ISBN978-1-137-31357-7.
^ abc "Guía de manejo de incidentes de seguridad informática" (PDF) . Nist.gov . 2012.
^ Borgström, Pernilla; Strengbom, Joaquín; Viketoft, María; Bommarco, Riccardo (4 de abril de 2016). "Tabla S3: Resultados de modelos lineales mixtos donde no se han eliminado parámetros [sic] no significativos". PeerJ . 4 : e1867. doi : 10.7717/peerj.1867/supp-3 .
^ Penfold, David (2000), "Seleccionar, copiar, mover y eliminar archivos y directorios", Módulo 2 de ECDL: uso de la computadora y administración de archivos , Londres: Springer London, págs. 86–94, doi :10.1007/978-1 -4471-0491-9_6, ISBN978-1-85233-443-7
^ Gumus, Onur (2018). ÁSPID. NET Core 2 Fundamentals: cree aplicaciones multiplataforma y servicios web dinámicos con este marco de aplicaciones web del lado del servidor . Packt Publishing Ltd. ISBN978-1-78953-355-2. OCLC 1051139482.
^ "¿Entienden los estudiantes lo que están aprendiendo?", Solución de problemas de su enseñanza , Routledge, págs. 36–40, 25 de febrero de 2005, doi :10.4324/9780203416907-8, ISBN978-0-203-41690-7, consultado el 5 de junio de 2021
^ "¿Dónde se restauran las películas, de dónde vienen y quién las restaura?", Restauración de películas , Palgrave Macmillan, 2013, doi :10.1057/9781137328724.0006, ISBN978-1-137-32872-4
^ Liao, Qi; Li, Zhen; Striegel, Aaron (24 de enero de 2011). "¿Podrían ser públicas las reglas del firewall? Una perspectiva teórica del juego". Redes de Seguridad y Comunicaciones . 5 (2): 197–210. doi : 10.1002/seg.307. ISSN 1939-0114.
^ Boeckman, Felipe; Greenwald, David J.; Von Bismarck, Nilufer (2013). Duodécimo instituto anual sobre regulación de valores en Europa: superar los desafíos de la negociación en los mercados actuales . Instituto de Derecho en ejercicio. ISBN978-1-4024-1932-4. OCLC 825824220.
^ "Gráfico 1.8. El gasto en seguridad social ha ido creciendo, mientras que el autofinanciamiento ha ido cayendo". doi : 10.1787/888932459242 . Consultado el 5 de junio de 2021 .
^ "Gobernanza de la información: el primer paso crucial", Protección de documentos electrónicos críticos , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 13 a 24, 19 de septiembre de 2015, doi :10.1002/9781119204909.ch2, ISBN978-1-119-20490-9, consultado el 5 de junio de 2021
^ Él, Ying (1 de diciembre de 2017). "Desafíos del aprendizaje de incidentes de seguridad de la información: un estudio de caso industrial en una organización sanitaria china" (PDF) . Informática para la Salud y la Atención Social . 42 (4): 394–395. doi :10.1080/17538157.2016.1255629. PMID 28068150. S2CID 20139345.
^ Kampfner, Roberto R. (1985). "Especificación formal de requisitos de sistemas de información". Procesamiento y gestión de información . 21 (5): 401–414. doi :10.1016/0306-4573(85)90086-x. ISSN 0306-4573.
^ Jenner, HA (1995). Evaluación de riesgos ecotoxicológicos de la lixiviación de elementos de cenizas de carbón pulverizado . sn] OCLC 905474381.
^ "Computadoras de escritorio: software". Informática Práctica de Patología . Nueva York: Springer-Verlag. 2006, págs. 51–82. doi :10.1007/0-387-28058-8_3. ISBN0-387-28057-X. Consultado el 5 de junio de 2021 .
^ Wilby, RL; Orr, HG; Hedger, M.; Adelante, D.; Blackmore, M. (diciembre de 2006). "Riesgos que plantea el cambio climático para el cumplimiento de los objetivos de la Directiva marco del agua en el Reino Unido". Medio Ambiente Internacional . 32 (8): 1043-1055. Código Bib : 2006EnInt..32.1043W. doi :10.1016/j.envint.2006.06.017. ISSN 0160-4120. PMID 16857260.
^ Campbell, T. (2016). "Capítulo 14: Desarrollo de sistemas seguros". Gestión práctica de la seguridad de la información: una guía completa para la planificación y la implementación . Presione. pag. 218.ISBN9781484216859.
^ Koppelman, Kent L. (2011). Comprender las diferencias humanas: educación multicultural para una América diversa . Pearson/Allyn y tocino. OCLC 1245910610.
^ "Postprocesamiento". Escena simple, toma sensacional . Rutledge. 12 de abril de 2013. págs. 128-147. doi :10.4324/9780240821351-9. ISBN978-0-240-82135-1. Consultado el 5 de junio de 2021 .
^ Kumar, Binay; Mahto, Tulsi; Kumari, Vinita; Ravi, Binod Kumar; Deepmala (2016). "Charlatanería: cómo puede resultar fatal incluso en casos aparentemente simples: informe de un caso". Actualización Médico-Legal . 16 (2): 75. doi :10.5958/0974-1283.2016.00063.3. ISSN 0971-720X.
^ Sacerdote, Sally (22 de febrero de 2019). "Roles y responsabilidades compartidas en la gestión del riesgo de inundaciones". Revista de gestión del riesgo de inundaciones . 12 (1): e12528. Código Bib : 2019JFRM...12E2528P. doi :10.1111/jfr3.12528. ISSN 1753-318X. S2CID 133789858.
^ Estados Unidos. Departamento de Energía. Oficina del Inspector General. Oficina de Información Científica y Técnica (2009). Informe de auditoría, "Deficiencias de protección contra incendios en el Laboratorio Nacional de Los Álamos". . Estados Unidos. Departamento de Energía. OCLC 727225166.
^ Toms, Elaine G. (enero de 1992). "Gestión del cambio en bibliotecas y servicios de información; un enfoque de sistemas". Procesamiento y gestión de información . 28 (2): 281–282. doi :10.1016/0306-4573(92)90052-2. ISSN 0306-4573.
^ Abolhassan, Ferri (2003). "El proceso de gestión del cambio implementado en IDS Scheer". Gestión de cambios de procesos de negocio . Berlín, Heidelberg: Springer Berlín Heidelberg. págs. 15-22. doi :10.1007/978-3-540-24703-6_2. ISBN978-3-642-05532-4. Consultado el 5 de junio de 2021 .
^ Dawson, Chris (1 de julio de 2020). Liderando el cambio cultural. doi :10.1515/9780804774673. ISBN9780804774673. S2CID 242348822.
^ McCormick, Douglas P. (22 de marzo de 2016). Family Inc.: utilizar principios empresariales para maximizar la riqueza de su familia . John Wiley e hijos. ISBN978-1-119-21976-7. OCLC 945632737.
^ Schuler, Rainer (agosto de 1995). "Algunas propiedades de conjuntos manejables bajo cada distribución computable en tiempo polinomial". Cartas de Procesamiento de Información . 55 (4): 179–184. doi :10.1016/0020-0190(95)00108-o. ISSN 0020-0190.
↑ «Gráfico 12.2. Proporción de trabajadores por cuenta propia que generalmente no tienen más de un cliente» (Excel) . doi : 10.1787/888933881610 . Consultado el 5 de junio de 2021 .
^ "Servidor de archivos multiusuario para LAN DOS". Comunicaciones informáticas . 10 (3): 153. Junio de 1987. doi :10.1016/0140-3664(87)90353-7. ISSN 0140-3664.
^ "Definición de cambio organizacional", Cambio organizacional , Oxford, Reino Unido: Wiley-Blackwell, págs. 21–51, 19 de abril de 2011, doi :10.1002/9781444340372.ch1, ISBN978-1-4443-4037-2, consultado el 5 de junio de 2021
^ Kirchmer, Mathías; Scheer, August-Wilhelm (2003), "Gestión del cambio: clave para la excelencia de los procesos empresariales", Gestión del cambio de procesos empresariales , Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 1 a 14, doi :10.1007/978-3-540-24703 -6_1, ISBN978-3-642-05532-4, consultado el 5 de junio de 2021
^ Más, José; Stieber, Anthony J.; Liu, Chris (2016), "Nivel 2: Mesa de ayuda avanzada: Supervisor de la mesa de ayuda", Irrumpiendo en la seguridad de la información , Elsevier, págs. 111-113, doi :10.1016/b978-0-12-800783-9.00029-x, ISBN978-0-12-800783-9, consultado el 5 de junio de 2021
^ "Una aplicación de redes bayesianas en la puntuación automatizada de tareas de simulación computarizada", Puntuación automatizada de tareas complejas en pruebas por computadora , Routledge, págs. 212–264, 4 de abril de 2006, doi :10.4324/9780415963572-10, ISBN978-0-415-96357-2, consultado el 5 de junio de 2021
^ Kavanagh, Michael J. (junio de 1994). "Cambio, cambio, cambio". Gestión de grupos y organizaciones . 19 (2): 139-140. doi :10.1177/1059601194192001. ISSN 1059-6011. S2CID 144169263.
^ Taylor, J. (2008). "Capítulo 10: Comprensión del proceso de cambio del proyecto". Programación de Proyectos y Control de Costos: Planificación, Seguimiento y Control de la Línea Base . Publicación J. Ross. págs. 187-214. ISBN9781932159110.
^ "17. Innovación y cambio: ¿alguien puede hacer esto?", Entre bastidores en una burocracia , University of Hawaii Press, págs. 87–96, 31 de diciembre de 2017, doi :10.1515/9780824860936-019, ISBN978-0-8248-6093-6, consultado el 5 de junio de 2021
^ Braun, Adam (3 de febrero de 2015). La promesa de un lápiz: cómo una persona corriente puede crear un cambio extraordinario . Simón y Schuster. ISBN978-1-4767-3063-9. OCLC 902912775.
^ "Descripción del cambio intrapersonal a lo largo del tiempo", Análisis longitudinal , Routledge, págs. 235–306, 30 de enero de 2015, doi :10.4324/9781315744094-14, ISBN978-1-315-74409-4, consultado el 5 de junio de 2021
^ Ingraham, Carolyn; Prohibición, Patricia W. (1984). Legislar el cambio burocrático : Ley de reforma de la función pública de 1978 . Prensa de la Universidad Estatal de Nueva York. ISBN0-87395-886-1. OCLC 10300171.
^ Wei, J. (4 de mayo de 2000). "Solicitud de cambio preliminar para el anillo compatible con SNS 1,3 GeV". OSTI.GOV . doi :10.2172/1157253. OSTI 1157253 . Consultado el 18 de enero de 2022 .
^ Chen Liang (mayo de 2011). “Asignación prioritaria de gestión de recursos hídricos agrícolas basada en la teoría del agua virtual”. 2011 Congreso Internacional de Gestión Empresarial e Información Electrónica . vol. 1. IEEE. págs. 644–647. doi :10.1109/icbmei.2011.5917018. ISBN978-1-61284-108-3. S2CID 29137725.
^ "Riesgos de cambio y mejores prácticas en la gestión de cambios empresariales El riesgo de cambios no gestionados genera problemas para la gestión de cambios", Liderando e implementando la gestión de cambios empresariales , Routledge, págs. 32–74, 18 de julio de 2013, doi :10.4324/9780203073957-9 ( inactivo el 31 de enero de 2024), ISBN978-0-203-07395-7{{citation}}: Mantenimiento CS1: DOI inactivo a partir de enero de 2024 ( enlace )
^ Bragg, Steven M. (2016). Mejores Prácticas Contables . Wiley. ISBN978-1-118-41780-5. OCLC 946625204.
^ "Un cambio exitoso requiere más que gestión del cambio". Compendio internacional de gestión de recursos humanos . 16 (7). 17 de octubre de 2008. doi :10.1108/hrmid.2008.04416gad.005. ISSN 0967-0734.
^ "Planificación de los recursos hídricos bajo el cambio climático", Planificación espacial y cambio climático , Routledge, págs. 287–313, 13 de septiembre de 2010, doi :10.4324/9780203846537-20, ISBN978-0-203-84653-7, consultado el 5 de junio de 2021
^ Rowan, John (enero de 1967). "Contestando la computadora". Decisión de gestión . 1 (1): 51–54. doi :10.1108/eb000776. ISSN 0025-1747.
^ Biswas, Margaret R.; Biswas, Asit K. (febrero de 1981). "Cambio climático y producción de alimentos". Agricultura y Medio Ambiente . 5 (4): 332. doi :10.1016/0304-1131(81)90050-3. ISSN 0304-1131.
^ Weik, Martin H. (2000), "backout", Diccionario de informática y comunicaciones , p. 96, doi :10.1007/1-4020-0613-6_1259, ISBN978-0-7923-8425-0
^ "Junta de Revisión y Asesoramiento Editorial", Negocios y Sostenibilidad: Conceptos, Estrategias y Cambios , Estudios Críticos sobre Responsabilidad Corporativa, Gobernanza y Sostenibilidad, vol. 3, Emerald Group Publishing Limited, págs. xv-xvii, 6 de diciembre de 2011, doi :10.1108/s2043-9059(2011)0000003005, ISBN978-1-78052-438-2, consultado el 5 de junio de 2021
^ "Donde alguna vez estuvo un espejismo, debe estar la vida", Poemas nuevos y seleccionados , University of South Carolina Press, p. 103, 2014, doi :10.2307/j.ctv6sj8d1.65, ISBN978-1-61117-323-9, consultado el 5 de junio de 2021
^ Campana, Marvin (1983). "Dos, cuando podrían haber sido tres". La revisión de Antioquía . 41 (2): 209. doi : 10.2307/4611230. JSTOR 4611230.
^ "También podemos hacer cambios". Documentos de derechos humanos en línea . doi : 10.1163/2210-7975_hrd-0148-2015175 . Consultado el 5 de junio de 2021 .
^ Mazikana, Anthony Tapiwa (5 de noviembre de 2020). "'El cambio es la ley de la vida. y aquellos que miran sólo al pasado o al presente seguramente se perderán el futuro: John F. Kennedy evalúa esta declaración con referencias a organizaciones en Zimbabwe que se han visto afectadas por el cambio ". SSRN 3725707.
^ Ramanadham, VV (ed.). Privatización en el Reino Unido . ISBN978-0-429-19973-8. OCLC 1085890184.
^ "Se debe implementar una reología más compleja/realista; se deben realizar pruebas de convergencia numérica". "Debates sobre el desarrollo de modelos geoloscientíficos" . 22 de septiembre de 2020. doi : 10.5194/gmd-2020-107-rc2 . S2CID 241597573.
^ Piedra, Eduardo. Colección Edward C. Stone . OCLC 733102101.
^ Lientz, B (2002). "Desarrolle su plan de implementación de mejoras". Lograr una mejora duradera del proceso . Elsevier. págs. 151-171. doi :10.1016/b978-0-12-449984-3.50011-8. ISBN978-0-12-449984-3. Consultado el 5 de junio de 2021 .
^ Smeets, Peter (2009). Expeditie agroparken: ontwerpend onderzoek naar metropolitane landbouw y duurzame ontwikkeling . sn] ISBN978-90-8585-515-6. OCLC 441821141.
^ "Figura 1.3. Aproximadamente el 50 por ciento de las recomendaciones de Going for Growth se han implementado o están en proceso de implementación". doi : 10.1787/888933323735 . Consultado el 5 de junio de 2021 .
^ Kekes, John (21 de febrero de 2019), "¿Debe hacerse justicia a toda costa?", Preguntas difíciles , Oxford University Press, págs. 98-126, doi :10.1093/oso/9780190919986.003.0005, ISBN978-0-19-091998-6, consultado el 5 de junio de 2021
^ Forrester, Kellie (2014). Implicaciones macroeconómicas de los cambios en la composición de la fuerza laboral . Universidad de California, Santa Bárbara. ISBN978-1-321-34938-2. OCLC 974418780.
^ Choudhury, Gagan L.; Rappaport, Stephen S. (octubre de 1981). "La demanda asignó múltiples sistemas de acceso utilizando canales de solicitud de tipo colisión". Revisión de comunicación por computadora ACM SIGCOMM . 11 (4): 136-148. doi : 10.1145/1013879.802667. ISSN 0146-4833.
^ Crinson, Mark (2013). ""Ciertas cosas viejas y hermosas, cuyo significado es abstracto, anticuado ": James Stirling y la nostalgia". Cambian con el tiempo . 3 (1): 116-135. doi :10.1353/cot.2013.0000. ISSN 2153-0548. S2CID 144451363.
^ Ahwidy, Mansour; Pemberton, Lyn (2016). "¿Qué cambios se deben realizar dentro del LNHS para que los sistemas de esalud se implementen con éxito?". Actas de la Conferencia Internacional sobre Tecnologías de la Información y las Comunicaciones para un Envejecimiento Bien y Salud Electrónica . Scitepress. págs. 71–79. doi :10.5220/0005620400710079. ISBN978-989-758-180-9.
^ Mortimer, John (abril de 2010). El paraíso pospuesto . Pingüino Adulto. ISBN978-0-14-104952-6. OCLC 495596392.
^ ab Cobey, Sarah; Larremore, Daniel B.; Graduado, Yonatan H.; Lipsitch, Marc (2021). "Las preocupaciones sobre la evolución del SARS-CoV-2 no deberían frenar los esfuerzos para ampliar la vacunación". Inmunología de Reseñas de la Naturaleza . 21 (5): 330–335. doi :10.1038/s41577-021-00544-9. PMC 8014893 . PMID 33795856.
^ Frampton, Michael (26 de diciembre de 2014), "Procesamiento de datos con Map Reduce", Big Data Made Easy , Berkeley, CA: Apress, págs. 85-120, doi :10.1007/978-1-4842-0094-0_4, ISBN978-1-4842-0095-7, consultado el 5 de junio de 2021
^ "Buen estudio en general, pero es necesario corregir varios procedimientos" (PDF) . Debates sobre hidrología y ciencias del sistema terrestre . 23 de febrero de 2016. doi : 10.5194/hess-2015-520-rc2 . Consultado el 18 de enero de 2022 .
^ Harrison, Kent; Artesanía, Walter M.; Hiller, Jack; McCluskey, Michael R.; BDM Federal Inc Seaside CA (julio de 1996). "Borrador de coordinación de revisión por pares. Análisis de tareas para realizar la planificación de inteligencia (función de combate crítica 1): realizado por un grupo de trabajo de batallón". DTIC ADA313949.
^ itpi.org Archivado el 10 de diciembre de 2013 en Wayback Machine.
^ "resumen del libro The Visible Ops Handbook: Implementación de ITIL en 4 pasos prácticos y auditables". wikisummaries.org . Consultado el 22 de junio de 2016 .
^ Bigelow, Michelle (23 de septiembre de 2020), "Control de cambios y gestión de cambios", Implementación de la seguridad de la información en la atención médica , HIMSS Publishing, págs. 203-214, doi :10.4324/9781003126294-17, ISBN978-1-003-12629-4, S2CID 224866307 , consultado el 5 de junio de 2021
^ Gestión de la continuidad del negocio. Orientación sobre la recuperación de la organización después de incidentes disruptivos, BSI British Standards, doi :10.3403/30194308 , consultado el 5 de junio de 2021.
^ Hoanh, Chu Thai (1996). Desarrollo de una ayuda computarizada para la planificación integrada del uso de la tierra (cailup) a nivel regional en áreas irrigadas: un estudio de caso para la región de Quan Lo Phung Hiep en el delta del Mekong, Vietnam . TIC. ISBN90-6164-120-9. OCLC 906763535.
^ 1 Hibberd, Gary (11 de septiembre de 2015), "Desarrollo de una estrategia de BCM en línea con la estrategia empresarial", The Definitive Handbook of Business Continuity Management , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 30, doi :10.1002/9781119205883.ch2, ISBN 978-1-119-20588-3, consultado el 5 de junio de 2021
^ Hotchkiss, Estuardo (2010). Gestión de la continuidad del negocio: en la práctica . BCS Aprendizaje y Desarrollo Limitado. ISBN978-1-906124-72-4.[ página necesaria ]
^ "Identificación de posibles causas de fallas", Análisis de fallas de sistemas , ASM International, págs. 25-33, 2009, doi :10.31399/asm.tb.sfa.t52780025, ISBN978-1-62708-268-6, consultado el 5 de junio de 2021
^ Clemens, Jeffrey. Riesgos para los retornos de la innovación médica: el caso de la miríada de genética . OCLC 919958196.
^ Goatcher, Genevieve (2013), "Interrupción máxima aceptable", Enciclopedia de gestión de crisis , Thousand Oaks, CA: SAGE Publications, Inc., doi :10.4135/9781452275956.n204, ISBN978-1-4522-2612-5, consultado el 5 de junio de 2021
^ "Compensaciones de diseño de segmentos", Software Radio Architecture , Nueva York, EE. UU.: John Wiley & Sons, Inc., págs. 236–243, 17 de enero de 2002, doi :10.1002/047121664x.ch6, ISBN978-0-471-21664-3, consultado el 5 de junio de 2021
^ Blundell, S. (1998). "EN EMERGENCIA - Gestión integrada de incidencias, asistencia sanitaria de emergencia y vigilancia ambiental en redes viarias". Seminario IEE Uso de ITS en Transporte Público y en Servicios de Emergencia . vol. 1998. EEI. pag. 9. doi :10.1049/ic:19981090.
^ Rey, Jonathan R. (enero de 1993). “Planes de Contingencia y Recuperación Empresarial”. Gestión de Sistemas de Información . 10 (4): 56–59. doi :10.1080/10580539308906959. ISSN 1058-0530.
^ Phillips, Brenda D.; Landahl, Mark (2021), "Fortalecimiento y prueba de su plan de continuidad empresarial", Planificación de continuidad empresarial , Elsevier, págs. 131-153, doi :10.1016/b978-0-12-813844-1.00001-4, ISBN978-0-12-813844-1, S2CID 230582246 , consultado el 5 de junio de 2021
^ Schnurr, Stephanie (2009), "El 'otro' lado del discurso de liderazgo: el humor y la realización de actividades de liderazgo relacional", Discurso de liderazgo en el trabajo , Londres: Palgrave Macmillan Reino Unido, págs. 42–60, doi :10.1057/9780230594692_3 , ISBN978-1-349-30001-3, consultado el 5 de junio de 2021
^ Relés de tiempo especificados para uso industrial, BSI British Standards, doi :10.3403/02011580u , consultado el 5 de junio de 2021
^ "Ejemplo de plan y procedimiento genéricos: plan de recuperación ante desastres (DRP) para operaciones/centro de datos". Violencia en el trabajo . Elsevier. 2010. págs. 253–270. doi :10.1016/b978-1-85617-698-9.00025-4. ISBN978-1-85617-698-9. Consultado el 5 de junio de 2021 .
^ "Plan de recuperación de desastres de tecnología de la información". Planificación de desastres para bibliotecas . Serie profesional de información de Chandos. Elsevier. 2015, págs. 187-197. doi :10.1016/b978-1-84334-730-9.00019-3. ISBN978-1-84334-730-9. Consultado el 5 de junio de 2021 .
^ "El plan de recuperación ante desastres". Instituto Sans . Consultado el 7 de febrero de 2012 .
^ ab OCDE (2016). "Figura 1.10. Las regulaciones en el sector no manufacturero tienen un impacto significativo en el sector manufacturero". "Reformas de la política económica 2016: Informe provisional en pos del crecimiento" . Reformas de la política económica. París: Publicaciones de la OCDE. doi :10.1787/crecimiento-2016-es. ISBN9789264250079. Consultado el 5 de junio de 2021 .
^ Ahupuaʻa [recurso electrónico]: Congreso Mundial de Recursos Hídricos y Medio Ambiente 2008, 12 al 16 de mayo de 2008, Honolulu, Hawaiʻi . Sociedad Estadounidense de Ingenieros Civiles. 2008.ISBN978-0-7844-0976-3. OCLC 233033926.
^ Gran Bretaña. Parlamento. Cámara de los Comunes (2007). Protección de datos [HL] Un proyecto de ley [modificado en el comité permanente d] instituyó una ley para establecer nuevas disposiciones para la regulación del procesamiento de información relacionada con individuos, incluida la obtención, posesión, uso o divulgación de dicha información . Proquest LLC. OCLC 877574826.
^ "Protección de datos, acceso a la información personal y protección de la privacidad", Gobierno y derechos de la información: la ley relativa al acceso, la divulgación y su regulación , Bloomsbury Professional, 2019, doi :10.5040/9781784518998.chapter-002, ISBN978-1-78451-896-7, S2CID 239376648 , consultado el 5 de junio de 2021
^ Lehtonen, Lasse A. (5 de julio de 2017). "La Información Genética y la Directiva de Protección de Datos de la Unión Europea". La Directiva de protección de datos y la investigación médica en Europa . Rutledge. págs. 103-112. doi :10.4324/9781315240350-8. ISBN978-1-315-24035-0. Consultado el 5 de junio de 2021 .
^ "Ley de protección de datos de 1998". legislación.gov.uk . Los Archivos Nacionales . Consultado el 25 de enero de 2018 .
^ "Ley de uso indebido de computadoras de 1990". Estatutos de Derecho Penal 2011-2012 . Rutledge. 17 de junio de 2013. págs. 114-118. doi :10.4324/9780203722763-42. ISBN978-0-203-72276-3. Consultado el 5 de junio de 2021 .
^ Dharmapala, Dhammika; Hines, James (diciembre de 2006). "¿Qué países se convierten en paraísos fiscales?". Serie de documentos de trabajo. Cambridge, MA. doi :10.3386/w12802.
^ "Gráfico 1.14. Las tasas de participación han aumentado pero el crecimiento de la fuerza laboral se ha desacelerado en varios países". doi : 10.1787/888933367391 . Consultado el 5 de junio de 2021 .
^ "Ley de uso indebido de computadoras de 1990". legislación.gov.uk . Los Archivos Nacionales . Consultado el 25 de enero de 2018 .
^ "Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006". EUR-Lex . Unión Europea. 15 de marzo de 2006 . Consultado el 25 de enero de 2018 .
^ "Difamación, registros estudiantiles y la Ley federal de privacidad y derechos educativos de la familia". Ley de Educación Superior . Rutledge. 14 de diciembre de 2010. págs. 361–394. doi :10.4324/9780203846940-22. ISBN978-0-203-84694-0. Consultado el 5 de junio de 2021 .
^ ab "Las escuelas de Alabama reciben una subvención NCLB para mejorar el rendimiento estudiantil". Conjunto de datos PsycEXTRA . 2004.doi : 10.1037 /e486682006-001 . Consultado el 5 de junio de 2021 .
^ Turner-Gottschang, Karen (1987). Con destino a China: una guía para la vida y el trabajo académicos en la República Popular China: para el Comité de Comunicación Académica con la República Popular China, la Academia Nacional de Ciencias, el Consejo Estadounidense de Sociedades Cultas, el Consejo de Investigación en Ciencias Sociales . Prensa de la Academia Nacional. ISBN0-309-56739-4. OCLC 326709779.
^ "Folleto de auditoría". Manual de examen de tecnología de la información . FFIEC . Consultado el 25 de enero de 2018 .
^ Ray, Amy W. (2004). "Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA)". Enciclopedia de gestión de la atención sanitaria . Thousand Oaks, CA: SAGE Publications, Inc. doi :10.4135/9781412950602.n369. ISBN978-0-7619-2674-0. Consultado el 5 de junio de 2021 .
^ "Ley Pública 104 - 191 - Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996". Oficina de Publicaciones del Gobierno de EE. UU . Consultado el 25 de enero de 2018 .
^ "Ley Pública 106 - 102 - Ley Gramm-Leach-Bliley de 1999" (PDF) . Oficina de Publicaciones del Gobierno de EE. UU . Consultado el 25 de enero de 2018 .
^ Por desgracia, Abayomi Oluwatosin (2016). El impacto de la Ley Sarbanes-Oxley (SOX) en las pequeñas empresas que cotizan en bolsa y sus comunidades (Tesis). Biblioteca de la Universidad del Noreste. doi :10.17760/d20204801.
^ Solís, Lupita (2019). Tendencias educativas y profesionales de los directores financieros (Tesis). Biblioteca de la Universidad Estatal de Portland. doi : 10.15760/honores.763.
^ "Ley Pública 107 - 204 - Ley Sarbanes-Oxley de 2002". Oficina de Publicaciones del Gobierno de EE. UU . Consultado el 25 de enero de 2018 .
^ "Glosario, abreviaturas y acrónimos de Pci Dss", Manual del estándar de seguridad de datos de la industria de tarjetas de pago , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 185-199, 18 de septiembre de 2015, doi :10.1002/9781119197218 .brillo, ISBN978-1-119-19721-8, consultado el 5 de junio de 2021
^ "Desglose de PCI (objetivos de control y estándares asociados)", Manual de estándares de seguridad de datos de la industria de tarjetas de pago , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., p. 61, 18 de septiembre de 2015, doi :10.1002/9781119197218.part2, ISBN978-1-119-19721-8, consultado el 5 de junio de 2021
^ Ravallion, Martín; Chen, Shaohua (agosto de 2017). "Medidas de pobreza global coherentes con el bienestar". Serie de documentos de trabajo. doi : 10.3386/w23739 . Consultado el 18 de enero de 2022 .
^ "Estándar de seguridad de datos de la industria de tarjetas de pago (PCI): requisitos y procedimientos de evaluación de seguridad - Versión 3.2" (PDF) . Consejo de Normas de Seguridad. Abril de 2016 . Consultado el 25 de enero de 2018 .
^ "Leyes de notificación de infracciones de seguridad". Conferencia Nacional de Legislaturas Estatales. 12 de abril de 2017 . Consultado el 25 de enero de 2018 .
^ Stein, Stuart G.; Schaberg, Richard A.; Biddle, Laura R., eds. (23 de junio de 2015). Libro de respuestas de instituciones financieras, 2015: derecho, gobernanza, cumplimiento . Instituto de Derecho en ejercicio. ISBN978-1-4024-2405-2. OCLC 911952833.
^ "Información personal y protección de datos", Protección de la información personal , Hart Publishing, 2019, doi :10.5040/9781509924882.ch-002, ISBN978-1-5099-2485-1, S2CID 239275871 , consultado el 5 de junio de 2021
^ Capítulo 5. Una ley para apoyar y promover el comercio electrónico protegiendo la información personal que se recopila, utiliza o divulga en determinadas circunstancias, previendo el uso de medios electrónicos para comunicar o registrar información o transacciones y modificando la Ley de pruebas de Canadá. la Ley de Instrumentos Estatutarios y la Ley de Revisión de Estatutos . Impresora de Queen para Canadá. 2000. OCLC 61417862.
^ "Comentarios". Revisión de la ley de estatutos . 5 (1): 184–188. 1984. doi : 10.1093/slr/5.1.184. ISSN 0144-3593.
^ "Ley de Protección de Información Personal y Documentos Electrónicos" (PDF) . Ministro de Justicia de Canadá . Consultado el 25 de enero de 2018 .
^ Werner, Martín (11 de mayo de 2011). "Comunicación protegida por privacidad para servicios basados en la ubicación". Redes de Seguridad y Comunicaciones . 9 (2): 130-138. doi : 10.1002/seg.330. ISSN 1939-0114.
^ "Reglamento para el Aseguramiento de la Confidencialidad en las Comunicaciones Electrónicas" (PDF) . Boletín Oficial de la República Helénica . Autoridad Helénica para la Seguridad y Privacidad de las Comunicaciones. 17 de noviembre de 2011 . Consultado el 25 de enero de 2018 .
^ de Guise, Preston (29 de abril de 2020), "Consideraciones de seguridad, privacidad, éticas y legales", Protección de datos , Publicaciones Auerbach, págs. 91-108, doi :10.1201/9780367463496-9, ISBN978-0-367-46349-6, S2CID 219013948 , consultado el 5 de junio de 2021
^ "Αριθμ. απόφ. 205/2013" (PDF) . Boletín Oficial de la República Helénica . Autoridad Helénica para la Seguridad y Privacidad de las Comunicaciones. 15 de julio de 2013 . Consultado el 25 de enero de 2018 .
^ Andersson y Reimers, 2019, POLÍTICA DE EMPLEO DE SEGURIDAD CIBERNÉTICA Y DEMANDA EN EL LUGAR DE TRABAJO EN EL GOBIERNO DE EE. UU., Actas de EDULEARN19, Año de publicación: 2019 Páginas: 7858-7866 https://library.iated.org/view/ANDERSON2019CYB
^ "Definición de cultura de seguridad". El marco de la cultura de seguridad . 9 de abril de 2014.
^ Roer, Kai; Petric, Gregor (2017). Informe sobre cultura de seguridad de 2017: información detallada sobre el factor humano . CLTRe North America, Inc. págs. 42–43. ISBN978-1544933948.
^ Akhtar, Salman, ed. (21 de marzo de 2018). Buenos sentimientos. Rutledge. doi :10.4324/9780429475313. ISBN9780429475313.
^ Anderson, D., Reimers, K. y Barretto, C. (marzo de 2014). Seguridad de la red de educación postsecundaria: resultados de abordar el desafío del usuario final. fecha de publicación 11 de marzo de 2014 descripción de la publicación INTED2014 (Conferencia Internacional sobre Tecnología, Educación y Desarrollo)
^ ab Schlienger, Thomas; Teufel, Stephanie (diciembre de 2003). "Cultura de seguridad de la información: del análisis al cambio". Sociedad Sudafricana de Informática (SAICSIT) . 2003 (31): 46–52. hdl :10520/EJC27949.
^ "Marco de habilidades del IISP". Archivado desde el original el 15 de marzo de 2014 . Consultado el 27 de abril de 2014 .
^ "Estándares BSI". BSI. Archivado desde el original el 3 de diciembre de 2013 . Consultado el 29 de noviembre de 2013 .
Otras lecturas
Anderson, K., "Los profesionales de la seguridad de TI deben evolucionar para adaptarse al mercado cambiante", SC Magazine , 12 de octubre de 2006.
Aceituno, V., “Sobre los paradigmas de seguridad de la información”, Revista AISS , septiembre de 2005.
Lambo, T., "ISO/IEC 27001: El futuro de la certificación infosec", ISSA Journal , noviembre de 2006.
Dustin, D., "Conciencia sobre cómo se utilizan sus datos y qué hacer al respecto", "Blog de CDR", mayo de 2017.
Dhillon, G., "El núcleo intelectual de la seguridad de los sistemas de información", Journal of Information Systems Security , vol. 19, nº 2.
Bibliografía
Allen, Julia H. (2001). La guía CERT para prácticas de seguridad de sistemas y redes. Boston, MA: Addison-Wesley. ISBN 978-0-201-73723-3.
Krutz, Ronald L.; Russell Dean Vines (2003). La guía de preparación de CISSP (edición dorada). Indianápolis, IN: Wiley. ISBN 978-0-471-26802-4.
Layton, Timothy P. (2007). Seguridad de la información: diseño, implementación, medición y cumplimiento . Boca Raton, FL: Publicaciones de Auerbach. ISBN 978-0-8493-7087-8.
McNab, Chris (2004). Evaluación de seguridad de la red . Sebastopol, CA: O'Reilly. ISBN 978-0-596-00611-2.
Peltier, Thomas R. (2001). Análisis de Riesgos de Seguridad de la Información . Boca Raton, FL: Publicaciones de Auerbach. ISBN 978-0-8493-0880-2.
Peltier, Thomas R. (2002). Políticas, procedimientos y estándares de seguridad de la información: pautas para una gestión eficaz de la seguridad de la información . Boca Raton, FL: Publicaciones de Auerbach. ISBN 978-0-8493-1137-6.
Blanco, Gregory (2003). Guía de examen de certificación Security+ todo en uno . Emeryville, California: McGraw-Hill/Osborne. ISBN 978-0-07-222633-1.
Dhillon, Gurpreet (2007). Principios de Seguridad de los Sistemas de Información: texto y casos . Nueva York: John Wiley & Sons. ISBN 978-0-471-45056-6.
Whitman, Michael; Mattord, Herbert (2017). Principios de Seguridad de la Información . Cengaje . ISBN 978-1337102063.
enlaces externos
Wikimedia Commons tiene medios relacionados con la seguridad de la información .
Cuadro de políticas de IA del Departamento de Defensa Archivado el 6 de septiembre de 2011 en Wayback Machine en el sitio web del Centro de análisis de tecnología de aseguramiento de la información del Departamento de Defensa.
patrones y prácticas Ingeniería de seguridad explicada
Arquitectura de seguridad abierta: controles y patrones para proteger los sistemas de TI
IWS - Capítulo de seguridad de la información Archivado el 8 de noviembre de 2019 en Wayback Machine.
El libro de Ross Anderson "Ingeniería de seguridad"