La seguridad de la información , a veces abreviada como infosec , es la práctica de proteger la información mitigando los riesgos de la información. Forma parte de la gestión de riesgos de la información . [1] Por lo general, implica prevenir o reducir la probabilidad de acceso no autorizado / inadecuado a los datos , o el uso ilegal, divulgación , interrupción, eliminación, corrupción, modificación, inspección, registro o devaluación de la información. [2] También incluye acciones destinadas a reducir los impactos adversos de tales incidentes. La información protegida puede tomar cualquier forma, por ejemplo, electrónica o física, tangible (por ejemplo, papeleo ) o intangible (por ejemplo,conocimiento ). [3] [4] El enfoque principal de la seguridad de la información es la protección equilibrada de la confidencialidad, integridad y disponibilidad de los datos (también conocida como la tríada CIA) mientras se mantiene un enfoque en la implementación eficiente de políticas , todo sin obstaculizar la productividad de la organización . [5] Esto se logra en gran medida mediante un proceso estructurado de gestión de riesgos que implica:
- identificar información y activos relacionados , además de posibles amenazas , vulnerabilidades e impactos;
- evaluar los riesgos;
- decidir cómo abordar o tratar los riesgos, es decir, evitarlos, mitigarlos, compartirlos o aceptarlos;
- cuando se requiera mitigación de riesgos, seleccionar o diseñar controles de seguridad apropiados e implementarlos;
- monitorear las actividades, hacer los ajustes necesarios para abordar cualquier problema, cambio y oportunidad de mejora. [6]
Para estandarizar esta disciplina, académicos y profesionales colaboran para ofrecer orientación, políticas y estándares de la industria sobre contraseñas , software antivirus , firewall , software de cifrado , responsabilidad legal , concientización y capacitación en seguridad , etc. [7] Esta estandarización puede estar impulsada por una amplia variedad de leyes y regulaciones que afectan la forma en que se accede, procesa, almacena, transfiere y destruye los datos. [8] Sin embargo, la implementación de cualquier estándar y orientación dentro de una entidad puede tener un efecto limitado si no se adopta una cultura de mejora continua . [9]
Definición
A continuación se sugieren varias definiciones de seguridad de la información, resumidas de diferentes fuentes:
- "Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota: Además, también pueden estar involucradas otras propiedades, como la autenticidad, la responsabilidad, el no repudio y la confiabilidad". (ISO / IEC 27000: 2009) [11]
- "La protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados con el fin de brindar confidencialidad, integridad y disponibilidad". (CNSS, 2010) [12]
- "Garantiza que solo los usuarios autorizados (confidencialidad) tengan acceso a información precisa y completa (integridad) cuando sea necesario (disponibilidad)". (ISACA, 2008) [13]
- "La seguridad de la información es el proceso de proteger la propiedad intelectual de una organización". (Pipkin, 2000) [14]
- "... la seguridad de la información es una disciplina de gestión de riesgos, cuyo trabajo es gestionar el costo del riesgo de información para el negocio". (McDermott y Geer, 2001) [15]
- "Una sensación bien informada de seguridad de que los riesgos y los controles de la información están en equilibrio". (Anderson, J., 2003) [16]
- "La seguridad de la información es la protección de la información y minimiza el riesgo de exponer la información a partes no autorizadas". (Venter y Eloff, 2003) [17]
- "La Seguridad de la Información es un área multidisciplinar de estudio y actividad profesional que se preocupa por el desarrollo e implementación de los mecanismos de seguridad de todos los tipos disponibles (técnicos, organizacionales, orientados al ser humano y legales) con el fin de mantener la información en todas sus ubicaciones (dentro y fuera de fuera del perímetro de la organización) y, en consecuencia, los sistemas de información, donde la información se crea, procesa, almacena, transmite y destruye, libre de amenazas. [18] Las amenazas a la información y los sistemas de información pueden ser categorizadas y puede definirse un objetivo de seguridad correspondiente para cada categoría de amenazas. [19] Un conjunto de objetivos de seguridad, identificados como resultado de un análisis de amenazas, debe revisarse periódicamente para asegurar su adecuación y conformidad con el entorno en evolución. [20] El conjunto de objetivos de seguridad actualmente relevantes puede incluir : confidencialidad, integridad, disponibilidad, privacidad, autenticidad y confiabilidad, no repudio, responsabilidad y auditabilidad. "(Cherdantseva y Hilton, 2013) [10]
- La seguridad de la información y los recursos de información mediante el uso de sistemas o dispositivos de telecomunicaciones significa proteger la información, los sistemas de información o los libros del acceso no autorizado, daños, robo o destrucción (Kurose y Ross, 2010). [21]
Descripción general
En el núcleo de la seguridad de la información está el aseguramiento de la información, el acto de mantener la confidencialidad, integridad y disponibilidad (CIA) de la información, asegurando que la información no se vea comprometida de ninguna manera cuando surjan problemas críticos. [22] Estos problemas incluyen, entre otros, desastres naturales, mal funcionamiento de la computadora / servidor y robo físico. Si bien las operaciones comerciales basadas en papel todavía prevalecen y requieren su propio conjunto de prácticas de seguridad de la información, las iniciativas digitales empresariales se están enfatizando cada vez más, [23] [24] y la garantía de la información ahora generalmente se ocupa de especialistas en seguridad de tecnología de la información (TI). Estos especialistas aplican la seguridad de la información a la tecnología (por lo general, alguna forma de sistema informático). Vale la pena señalar que una computadora no significa necesariamente un escritorio doméstico. [25] Una computadora es cualquier dispositivo con un procesador y algo de memoria. Dichos dispositivos pueden variar desde dispositivos independientes no conectados en red, tan simples como calculadoras, hasta dispositivos informáticos móviles conectados en red, como teléfonos inteligentes y tabletas. [26] Los especialistas en seguridad de TI casi siempre se encuentran en cualquier empresa / establecimiento importante debido a la naturaleza y el valor de los datos dentro de las empresas más grandes. [27] Son responsables de mantener toda la tecnología dentro de la empresa a salvo de ataques cibernéticos maliciosos que a menudo intentan adquirir información privada crítica o hacerse con el control de los sistemas internos. [28] [29]
El campo de la seguridad de la información ha crecido y evolucionado significativamente en los últimos años. [30] Ofrece muchas áreas de especialización, incluida la protección de redes e infraestructura conexa, protección de aplicaciones y bases de datos , pruebas de seguridad , auditoría de sistemas de información , planificación de la continuidad del negocio , descubrimiento de registros electrónicos y análisis forense digital . [ cita requerida ] Los profesionales de la seguridad de la información son muy estables en su empleo. [31] A partir de 2013[actualizar]más del 80 por ciento de los profesionales no tuvo cambios de empleador o empleo durante un período de un año, y se proyecta que la cantidad de profesionales crecerá continuamente más del 11 por ciento anual de 2014 a 2019. [32]
Amenazas
Las amenazas a la seguridad de la información se presentan de muchas formas diferentes. [33] [34] Algunas de las amenazas más comunes en la actualidad son los ataques de software, el robo de propiedad intelectual, el robo de identidad, el robo de equipos o información, el sabotaje y la extorsión de información. [35] [36] La mayoría de la gente ha experimentado algún tipo de ataques de software. Virus , [37] gusanos , ataques de phishing y caballos de Troya son algunos ejemplos comunes de ataques de software. El robo de propiedad intelectual también ha sido un problema extenso para muchas empresas en el campo de la tecnología de la información ( TI ). [38] El robo de identidad es el intento de actuar como otra persona generalmente para obtener la información personal de esa persona o aprovechar su acceso a información vital a través de la ingeniería social . [39] [40] El robo de equipo o información es cada vez más frecuente hoy en día debido al hecho de que la mayoría de los dispositivos de hoy son móviles, [41] son propensos al robo y también se han vuelto mucho más deseables a medida que aumenta la cantidad de capacidad de datos. El sabotaje generalmente consiste en la destrucción del sitio web de una organización en un intento de causar pérdida de confianza por parte de sus clientes. [42] La extorsión de información consiste en el robo de la propiedad o información de una empresa como un intento de recibir un pago a cambio de devolver la información o la propiedad a su propietario, como ocurre con el ransomware . [43] Hay muchas formas de protegerse de algunos de estos ataques, pero una de las precauciones más funcionales es realizar una concientización periódica del usuario. [44] La amenaza número uno para cualquier organización son los usuarios o empleados internos, también se les llama amenazas internas. [45]
Los gobiernos , el ejército , las corporaciones , las instituciones financieras , los hospitales , las organizaciones sin fines de lucro y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigación y estado financiero. [46] Si la información confidencial sobre los clientes o las finanzas de una empresa o una nueva línea de productos cayera en manos de un competidor o un pirata informático de sombrero negro , una empresa y sus clientes podrían sufrir pérdidas financieras generalizadas e irreparables, así como daños a la empresa. reputación. [47] Desde una perspectiva empresarial, la seguridad de la información debe equilibrarse con el costo; el modelo Gordon-Loeb proporciona un enfoque económico matemático para abordar esta preocupación. [48]
Para el individuo, la seguridad de la información tiene un efecto significativo en la privacidad , que se ve de manera muy diferente en varias culturas . [49]
Respuestas a amenazas
Las posibles respuestas a una amenaza o riesgo de seguridad son: [50]
- Reducir / mitigar: implementar salvaguardas y contramedidas para eliminar vulnerabilidades o bloquear amenazas.
- Asignar / transferir: colocar el costo de la amenaza en otra entidad u organización, como la compra de un seguro o la subcontratación.
- aceptar: evaluar si el costo de la contramedida supera el posible costo de la pérdida debida a la amenaza [51]
Historia
Desde los primeros días de la comunicación, los diplomáticos y los mandos militares entendieron que era necesario proporcionar algún mecanismo para proteger la confidencialidad de la correspondencia y tener algún medio para detectar la manipulación . [52] A Julio César se le atribuye la invención del cifrado César c. 50 a.C., que fue creado para evitar que sus mensajes secretos fueran leídos en caso de que un mensaje cayera en las manos equivocadas. [53] Sin embargo, la mayor parte de la protección se logró mediante la aplicación de controles de manejo de procedimientos. [54] [55] La información confidencial se marcó para indicar que debería ser protegida y transportada por personas de confianza, custodiada y almacenada en un entorno seguro o caja fuerte. [56] A medida que se expandieron los servicios postales, los gobiernos crearon organizaciones oficiales para interceptar, descifrar, leer y volver a sellar cartas (por ejemplo, la Oficina Secreta del Reino Unido, fundada en 1653 [57] ).
A mediados del siglo XIX se desarrollaron sistemas de clasificación más complejos para permitir a los gobiernos gestionar su información de acuerdo con el grado de sensibilidad. [58] Por ejemplo, el gobierno británico codificó esto, hasta cierto punto, con la publicación de la Ley de Secretos Oficiales en 1889. [59] La sección 1 de la ley se refería al espionaje y la divulgación ilegal de información, mientras que la sección 2 trataba de las confianza oficial. [60] Pronto se agregó una defensa de interés público para defender las divulgaciones en interés del estado. [61] En la India se aprobó una ley similar en 1889, la Ley de Secretos Oficiales de la India, que se asoció con la era colonial británica y se utilizó para reprimir a los periódicos que se oponían a las políticas del Raj. [62] En 1923 se aprobó una versión más reciente que se extendió a todos los asuntos de información confidencial o secreta para el gobierno. [63]
En el momento de la Primera Guerra Mundial , se utilizaron sistemas de clasificación de varios niveles para comunicar información hacia y desde varios frentes, lo que alentó un mayor uso de la creación de códigos y las secciones de ruptura en los cuarteles generales diplomáticos y militares. [64] La codificación se volvió más sofisticada entre las guerras a medida que se empleaban máquinas para codificar y descifrar información. [65] El volumen de información compartido por los países aliados durante la Segunda Guerra Mundial requirió una alineación formal de los sistemas de clasificación y los controles de procedimiento. [66] Se desarrolló una gama misteriosa de marcas para indicar quién podía manejar documentos (generalmente oficiales en lugar de tropas alistadas) y dónde deberían almacenarse a medida que se desarrollaban cajas de seguridad e instalaciones de almacenamiento cada vez más complejas. [67] La Máquina Enigma , que fue empleada por los alemanes para cifrar los datos de la guerra y fue descifrada con éxito por Alan Turing , puede considerarse como un ejemplo sorprendente de creación y uso de información segura. [68] Los procedimientos evolucionaron para asegurar que los documentos fueran destruidos adecuadamente, y fue el incumplimiento de estos procedimientos lo que llevó a algunos de los mayores golpes de inteligencia de la guerra (por ejemplo, la captura del U-570 [68] ).
El final del siglo XX y los primeros años del siglo XXI fueron testigos de rápidos avances en las telecomunicaciones , el hardware y software de computación y el cifrado de datos . [69] La disponibilidad de equipos informáticos más pequeños, más potentes y menos costosos hizo que el procesamiento de datos electrónicos estuviera al alcance de las pequeñas empresas y los usuarios domésticos. [70] El establecimiento del Protocolo de control de transferencia / Protocolo de internetwork (TCP / IP) a principios de la década de 1980 permitió que diferentes tipos de computadoras se comunicaran. [71] Estas computadoras se interconectaron rápidamente a través de Internet . [72]
El rápido crecimiento y el uso generalizado del procesamiento de datos electrónicos y los negocios electrónicos realizados a través de Internet, junto con numerosos casos de terrorismo internacional , impulsaron la necesidad de mejores métodos para proteger las computadoras y la información que almacenan, procesan y transmiten. [73] Las disciplinas académicas de seguridad informática y aseguramiento de la información surgieron junto con numerosas organizaciones profesionales, todas compartiendo los objetivos comunes de garantizar la seguridad y confiabilidad de los sistemas de información . [ cita requerida ]
Principios básicos
Conceptos clave
La tríada de la CIA de confidencialidad, integridad y disponibilidad está en el corazón de la seguridad de la información. [74] (Los miembros de la tríada clásica de InfoSec (confidencialidad, integridad y disponibilidad) se denominan indistintamente en la literatura como atributos de seguridad, propiedades, objetivos de seguridad, aspectos fundamentales, criterios de información, características de información crítica y bloques de construcción básicos). [75] Sin embargo, continúa el debate sobre si esta tríada de la CIA es suficiente para abordar los requisitos comerciales y tecnológicos que cambian rápidamente, con recomendaciones para considerar expandir las intersecciones entre disponibilidad y confidencialidad, así como la relación entre seguridad y privacidad. [22] En ocasiones se han propuesto otros principios, como la "responsabilidad"; Se ha señalado que cuestiones como el no repudio no encajan bien dentro de los tres conceptos centrales. [76]
La tríada parece haber sido mencionada por primera vez en una publicación del NIST en 1977. [77]
En 1992 y revisada en 2002, la OCDE 's Directrices para la seguridad de los sistemas y redes de información [78] propusieron los nueve principios generalmente aceptados: la conciencia , la responsabilidad, la respuesta, la ética, la democracia, la evaluación de riesgos, diseño de la seguridad y la implementación, gestión de la seguridad y reevaluación. [79] Sobre la base de esos, en 2004 el NIST 's Principios de Ingeniería de Tecnología de la Información de Seguridad [76] propusieron 33 principios. De cada una de estas pautas y prácticas derivadas.
En 1998, Donn Parker propuso un modelo alternativo para la tríada clásica de la CIA que llamó los seis elementos atómicos de la información . Los elementos son confidencialidad , posesión , integridad , autenticidad , disponibilidad y utilidad . Los méritos del Parkerian Hexad son un tema de debate entre los profesionales de la seguridad. [80]
En 2011, The Open Group publicó el estándar de gestión de seguridad de la información O-ISM3 . [81] Esta norma propuso una definición operativa de los conceptos clave de seguridad, con elementos denominados "objetivos de seguridad", relacionados con el control de acceso (9), la disponibilidad (3), la calidad de los datos (1), el cumplimiento y los aspectos técnicos (4). . En 2009, la Iniciativa de Protección de Software del DoD lanzó los Tres Principios de Ciberseguridad que son Susceptibilidad del Sistema, Acceso a la Falla y Capacidad para Explotar la Falla. [82] [83] [84] Ninguno de estos modelos se ha adoptado de forma generalizada.
Confidencialidad
En seguridad de la información, la confidencialidad "es propiedad de que la información no se pone a disposición ni se divulga a personas, entidades o procesos no autorizados". [85] Si bien es similar a "privacidad", las dos palabras no son intercambiables. Más bien, la confidencialidad es un componente de la privacidad que se implementa para proteger nuestros datos de espectadores no autorizados. [86] Ejemplos de confidencialidad de datos electrónicos comprometidos incluyen el robo de computadoras portátiles, el robo de contraseñas o el envío de correos electrónicos confidenciales a las personas incorrectas. [87]
Integridad
En la seguridad de TI, la integridad de los datos significa mantener y garantizar la precisión y la integridad de los datos durante todo su ciclo de vida. [88] Esto significa que los datos no se pueden modificar de forma no autorizada o sin ser detectados. [89] Esto no es lo mismo que la integridad referencial en las bases de datos , aunque puede verse como un caso especial de consistencia como se entiende en el modelo clásico ACID de procesamiento de transacciones . [90] Los sistemas de seguridad de la información normalmente incorporan controles para garantizar su propia integridad, en particular protegiendo el núcleo o las funciones centrales contra amenazas tanto deliberadas como accidentales. [91] Los sistemas informáticos multipropósito y multiusuario tienen como objetivo compartimentar los datos y el procesamiento de manera que ningún usuario o proceso pueda afectar negativamente a otro: los controles pueden no tener éxito, sin embargo, como vemos en incidentes como infecciones de malware, piratería informática, datos robo, fraude y violaciones de la privacidad. [92]
En términos más generales, la integridad es un principio de seguridad de la información que involucra la integridad humana / social, de procesos y comercial, así como la integridad de los datos. Como tal, toca aspectos como la credibilidad, la coherencia, la veracidad, la integridad, la precisión, la actualidad y la seguridad. [93]
Disponibilidad
Para que cualquier sistema de información cumpla su propósito, la información debe estar disponible cuando se necesite. [94] Esto significa que los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerla y los canales de comunicación utilizados para acceder a ella deben estar funcionando correctamente. [95] Los sistemas de alta disponibilidad tienen como objetivo permanecer disponibles en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallas de hardware y actualizaciones del sistema. [96] Asegurar la disponibilidad también implica prevenir ataques de denegación de servicio , como una avalancha de mensajes entrantes al sistema de destino, que esencialmente lo obliga a cerrarse. [97]
En el ámbito de la seguridad de la información, la disponibilidad a menudo puede verse como una de las partes más importantes de un programa de seguridad de la información exitoso. [ cita requerida ] En última instancia, los usuarios finales deben poder realizar funciones laborales; al garantizar la disponibilidad, una organización puede desempeñarse de acuerdo con los estándares que esperan las partes interesadas de la organización. [98] Esto puede involucrar temas como configuraciones de proxy, acceso web externo, la capacidad de acceder a unidades compartidas y la capacidad de enviar correos electrónicos. [99] Los ejecutivos a menudo no comprenden el aspecto técnico de la seguridad de la información y ven la disponibilidad como una solución fácil, pero esto a menudo requiere la colaboración de muchos equipos organizacionales diferentes, como operaciones de red, operaciones de desarrollo, respuesta a incidentes y gestión de políticas / cambios. . [100] Un equipo de seguridad de la información exitoso implica muchos roles clave diferentes para combinar y alinear para que la tríada de la CIA se brinde de manera efectiva. [101]
No repudio
En la ley, el no repudio implica la intención de uno de cumplir con sus obligaciones en un contrato. También implica que una de las partes de una transacción no puede negar haber recibido una transacción, ni la otra parte puede negar haber enviado una transacción. [102]
Es importante señalar que, si bien la tecnología, como los sistemas criptográficos, puede ayudar en los esfuerzos de no repudio, el concepto es, en esencia, un concepto legal que trasciende el ámbito de la tecnología. [103] Por ejemplo, no es suficiente demostrar que el mensaje coincide con una firma digital firmada con la clave privada del remitente y, por lo tanto, solo el remitente podría haber enviado el mensaje y nadie más podría haberlo alterado en tránsito ( integridad de los datos ). [104] El presunto remitente podría a cambio demostrar que el algoritmo de firma digital es vulnerable o defectuoso, o alegar o probar que su clave de firma ha sido comprometida. [105] La culpa de estas violaciones puede o no recaer en el remitente, y tales afirmaciones pueden o no eximir al remitente de responsabilidad, pero la afirmación invalidaría la afirmación de que la firma necesariamente prueba autenticidad e integridad. Como tal, el remitente puede repudiar el mensaje (porque la autenticidad y la integridad son requisitos previos para el no repudio). [106]
Gestión de riesgos
En términos generales, el riesgo es la probabilidad de que suceda algo malo que cause daño a un activo informativo (o la pérdida del activo). [107] Una vulnerabilidad es una debilidad que podría usarse para poner en peligro o causar daño a un activo informativo. Una amenaza es cualquier cosa (hecha por el hombre o acto de la naturaleza ) que tiene el potencial de causar daño. [108] La probabilidad de que una amenaza utilice una vulnerabilidad para causar daño crea un riesgo. Cuando una amenaza usa una vulnerabilidad para infligir daño, tiene un impacto. [109] En el contexto de la seguridad de la información, el impacto es una pérdida de disponibilidad, integridad y confidencialidad, y posiblemente otras pérdidas (pérdida de ingresos, pérdida de vidas, pérdida de bienes inmuebles). [110]
El Manual de revisión del auditor de sistemas de información certificado (CISA) de 2006 define la gestión de riesgos como "el proceso de identificar las vulnerabilidades y amenazas a los recursos de información utilizados por una organización para lograr los objetivos comerciales, y decidir qué contramedidas , [111] si las hay, adoptar. reducir el riesgo a un nivel aceptable, basado en el valor del recurso de información para la organización ". [112]
Hay dos cosas en esta definición que pueden necesitar alguna aclaración. En primer lugar, el proceso de gestión de riesgos es un proceso iterativo continuo . Debe repetirse indefinidamente. El entorno empresarial cambia constantemente y cada día surgen nuevas amenazas y vulnerabilidades . [113] En segundo lugar, la elección de las contramedidas ( controles ) que se utilizan para gestionar los riesgos debe lograr un equilibrio entre la productividad, el costo, la eficacia de la contramedida y el valor del activo de información que se protege. [114] Además, estos procesos tienen limitaciones ya que las brechas de seguridad son generalmente raras y surgen en un contexto específico que puede no ser fácilmente duplicado. [115] Por lo tanto, cualquier proceso y contramedida debe evaluarse en sí mismo en busca de vulnerabilidades. [116] No es posible identificar todos los riesgos, ni es posible eliminar todos los riesgos. El riesgo restante se denomina "riesgo residual [117] ".
La evaluación de riesgos es realizada por un equipo de personas que tienen conocimiento de áreas específicas del negocio. [118] La pertenencia al equipo puede variar con el tiempo a medida que se evalúan las diferentes partes de la empresa. [119] La evaluación puede utilizar un análisis cualitativo subjetivo basado en una opinión informada, o cuando se dispone de cifras fiables en dólares e información histórica, el análisis puede utilizar un análisis cuantitativo .
La investigación ha demostrado que el punto más vulnerable en la mayoría de los sistemas de información es el usuario, operador, diseñador u otro ser humano. [120] El Código de prácticas ISO / IEC 27002: 2005 para la gestión de la seguridad de la información recomienda que se examine lo siguiente durante una evaluación de riesgos:
- política de seguridad ,
- organización de la seguridad de la información,
- gestión de activos ,
- seguridad de los recursos humanos ,
- seguridad física y ambiental ,
- gestión de comunicaciones y operaciones,
- control de acceso ,
- adquisición, desarrollo y mantenimiento de sistemas de información,
- gestión de incidentes de seguridad de la información ,
- gestión de la continuidad del negocio
- Cumplimiento normativo.
En términos generales, el proceso de gestión de riesgos consta de: [121] [122]
- Identificación de activos y estimación de su valor. Incluya: personas, edificios, hardware, software, datos (electrónicos, impresos, otros), suministros. [123]
- Realice una evaluación de amenazas . Incluya: Actos de la naturaleza, actos de guerra, accidentes, actos dolosos originados dentro o fuera de la organización. [124]
- Realice una evaluación de la vulnerabilidad y, para cada vulnerabilidad, calcule la probabilidad de que sea explotada. Evaluar políticas, procedimientos, estándares, capacitación, seguridad física , control de calidad , seguridad técnica. [125]
- Calcule el impacto que tendría cada amenaza en cada activo. Utilice análisis cualitativo o análisis cuantitativo. [126]
- Identificar, seleccionar e implementar controles apropiados. Brinda una respuesta proporcional. Considere la productividad, la rentabilidad y el valor del activo. [127]
- Evaluar la efectividad de las medidas de control. Asegúrese de que los controles brinden la protección rentable requerida sin una pérdida perceptible de productividad. [128]
Para cualquier riesgo dado, la administración puede optar por aceptar el riesgo basándose en el valor relativamente bajo del activo, la frecuencia relativamente baja de ocurrencia y el impacto relativamente bajo en el negocio. [129] O el liderazgo puede optar por mitigar el riesgo seleccionando e implementando medidas de control apropiadas para reducir el riesgo. En algunos casos, el riesgo se puede transferir a otra empresa comprando un seguro o subcontratando a otra empresa. [130] Puede discutirse la realidad de algunos riesgos. En tales casos, el liderazgo puede optar por negar el riesgo. [131]
Controles de seguridad
Seleccionar e implementar controles de seguridad adecuados ayudará inicialmente a una organización a reducir el riesgo a niveles aceptables. [132] La selección del control debe seguir y debe basarse en la evaluación de riesgos. [133] Los controles pueden variar en naturaleza, pero fundamentalmente son formas de proteger la confidencialidad, integridad o disponibilidad de la información. ISO / IEC 27001 ha definido controles en diferentes áreas. [134] Las organizaciones pueden implementar controles adicionales según los requisitos de la organización. [135] ISO / IEC 27002 ofrece una guía para los estándares de seguridad de la información organizacional. [136]
Administrativo
Los controles administrativos (también llamados controles de procedimiento) consisten en políticas, procedimientos, estándares y pautas por escrito aprobados. Los controles administrativos forman el marco para el funcionamiento de la empresa y la gestión de personas. [137] Informan a las personas sobre cómo se va a administrar el negocio y cómo se llevarán a cabo las operaciones diarias. Las leyes y regulaciones creadas por organismos gubernamentales también son un tipo de control administrativo porque informan a la empresa. [138] Algunos sectores industriales tienen políticas, procedimientos, estándares y directrices que deben seguirse; el Estándar de seguridad de datos de la industria de tarjetas de pago [139] (PCI DSS) exigido por Visa y MasterCard es un ejemplo. Otros ejemplos de controles administrativos incluyen la política de seguridad corporativa, la política de contraseñas , las políticas de contratación y las políticas disciplinarias. [140]
Los controles administrativos forman la base para la selección e implementación de controles lógicos y físicos. Los controles lógicos y físicos son manifestaciones de los controles administrativos, que son de suma importancia. [137]
Lógico
Los controles lógicos (también llamados controles técnicos) utilizan software y datos para monitorear y controlar el acceso a la información y los sistemas informáticos. [ cita requerida ] Las contraseñas, la red y los firewalls basados en host, los sistemas de detección de intrusiones en la red , las listas de control de acceso y el cifrado de datos son ejemplos de controles lógicos. [141]
Un control lógico importante que con frecuencia se pasa por alto es el principio de privilegio mínimo, que requiere que a un individuo, programa o proceso del sistema no se le otorguen más privilegios de acceso de los necesarios para realizar la tarea. [142] Un ejemplo flagrante del incumplimiento del principio de privilegio mínimo es iniciar sesión en Windows como administrador de usuario para leer el correo electrónico y navegar por la web. Las violaciones de este principio también pueden ocurrir cuando una persona obtiene privilegios de acceso adicionales a lo largo del tiempo. [143] Esto sucede cuando las obligaciones laborales de los empleados cambian, los empleados son promovidos a un nuevo puesto o los empleados son transferidos a otro departamento. [144] Los privilegios de acceso requeridos por sus nuevas funciones se agregan con frecuencia a sus privilegios de acceso ya existentes, que pueden ya no ser necesarios o apropiados. [145]
Físico
Los controles físicos monitorean y controlan el entorno del lugar de trabajo y las instalaciones informáticas. [146] También monitorean y controlan el acceso hacia y desde dichas instalaciones e incluyen puertas, cerraduras, calefacción y aire acondicionado, alarmas de humo y contra incendios, sistemas de extinción de incendios, cámaras, barricadas, cercas, guardias de seguridad, candados de cable, etc. La red y el lugar de trabajo en áreas funcionales también son controles físicos. [147]
Un control físico importante que con frecuencia se pasa por alto es la separación de funciones, que asegura que un individuo no pueda completar una tarea crítica por sí mismo. [148] Por ejemplo, un empleado que presenta una solicitud de reembolso tampoco debería poder autorizar el pago o imprimir el cheque. [149] Un programador de aplicaciones no debe ser también el administrador del servidor o el administrador de la base de datos ; estos roles y responsabilidades deben estar separados unos de otros. [150]
Defensa en profundidad
La seguridad de la información debe proteger la información a lo largo de su vida útil, desde la creación inicial de la información hasta la eliminación final de la información. [151] La información debe protegerse en movimiento y en reposo. Durante su vida útil, la información puede pasar a través de muchos sistemas de procesamiento de información diferentes y a través de muchas partes diferentes de los sistemas de procesamiento de información. [152] Hay muchas formas diferentes en que los sistemas de información y de información pueden verse amenazados. Para proteger completamente la información durante su vida, cada componente del sistema de procesamiento de información debe tener sus propios mecanismos de protección. [153] La construcción, superposición y superposición de medidas de seguridad se denomina "defensa en profundidad". [154] En contraste con una cadena de metal, que es famosa solo tan fuerte como su eslabón más débil, la estrategia de defensa en profundidad apunta a una estructura donde, si una medida defensiva falla, otras medidas continuarán brindando protección. [155]
Recuerde la discusión anterior sobre controles administrativos, controles lógicos y controles físicos. Los tres tipos de controles se pueden utilizar para formar la base sobre la cual construir una estrategia de defensa en profundidad. [137] Con este enfoque, la defensa en profundidad puede conceptualizarse como tres capas o planos distintos colocados uno encima del otro. [156] Se puede obtener información adicional sobre la defensa en profundidad si se considera que forma las capas de una cebolla, con datos en el núcleo de la cebolla, personas en la siguiente capa externa de la cebolla y seguridad de la red , seguridad basada en el host. y seguridad de aplicación que forma las capas más externas de la cebolla. [157] Ambas perspectivas son igualmente válidas y cada una proporciona información valiosa sobre la implementación de una buena estrategia de defensa en profundidad. [158]
Clasificación de seguridad para la información
Un aspecto importante de la seguridad de la información y la gestión de riesgos es reconocer el valor de la información y definir los procedimientos y requisitos de protección adecuados para la información. [159] No toda la información es igual, por lo que no toda la información requiere el mismo grado de protección. [160] Esto requiere que se asigne a la información una clasificación de seguridad . [161] El primer paso en la clasificación de la información es identificar a un miembro de la alta dirección como propietario de la información particular que se va a clasificar. A continuación, desarrolle una política de clasificación. [162] La política debe describir las diferentes etiquetas de clasificación, definir los criterios para que se asigne una etiqueta en particular a la información y enumerar los controles de seguridad requeridos para cada clasificación. [163]
Algunos factores que influyen en qué información de clasificación debe asignarse incluyen el valor que tiene esa información para la organización, la antigüedad de la información y si la información se ha vuelto obsoleta o no. [164] Las leyes y otros requisitos reglamentarios también son consideraciones importantes al clasificar la información. [165] La Asociación de Control y Auditoría de Sistemas de Información (ISACA) y su Modelo de Negocio para la Seguridad de la Información también sirve como una herramienta para que los profesionales de la seguridad examinen la seguridad desde una perspectiva de sistemas, creando un entorno donde la seguridad se puede administrar de manera integral, permitiendo que los riesgos reales Ser dirigido. [166]
El tipo de etiquetas de clasificación de seguridad de la información seleccionadas y utilizadas dependerá de la naturaleza de la organización, con ejemplos: [163]
- En el sector empresarial, etiquetas como: Público, Sensible, Privado, Confidencial.
- En el sector gubernamental, etiquetas como: No clasificado, No oficial, Protegido, Confidencial, Secreto, Alto secreto y sus equivalentes en otros idiomas distintos del inglés. [167]
- En formaciones intersectoriales, el Protocolo de Semáforo , que consta de: Blanco, Verde, Ámbar y Rojo.
Todos los empleados de la organización, así como los socios comerciales, deben estar capacitados en el esquema de clasificación y comprender los controles de seguridad requeridos y los procedimientos de manejo para cada clasificación. [168] La clasificación de un activo de información en particular que ha sido asignado debe revisarse periódicamente para asegurar que la clasificación sigue siendo apropiada para la información y para asegurar que los controles de seguridad requeridos por la clasificación estén en su lugar y se sigan en sus procedimientos correctos. [169]
Control de acceso
El acceso a la información protegida debe estar restringido a las personas autorizadas a acceder a la información. [170] Los programas informáticos, y en muchos casos las computadoras que procesan la información, también deben estar autorizados. [171] Esto requiere que existan mecanismos para controlar el acceso a la información protegida. [171] La sofisticación de los mecanismos de control de acceso debe estar en paridad con el valor de la información protegida; Cuanto más sensible o valiosa sea la información, más sólidos deben ser los mecanismos de control. [172] La base sobre la que se construyen los mecanismos de control de acceso comienza con la identificación y autenticación . [173]
El control de acceso generalmente se considera en tres pasos: identificación, autenticación y autorización . [174] [87]
Identificación
La identificación es una afirmación de quién es alguien o qué es algo. Si una persona hace la afirmación "Hola, mi nombre es John Doe ", está afirmando quiénes son. [175] Sin embargo, su afirmación puede ser cierta o no. Antes de que se le pueda otorgar acceso a la información protegida a John Doe, será necesario verificar que la persona que dice ser John Doe realmente es John Doe. [176] Normalmente, la reclamación tiene la forma de un nombre de usuario. Al ingresar ese nombre de usuario, afirmas "Soy la persona a la que pertenece el nombre de usuario". [177]
Autenticación
La autenticación es el acto de verificar una declaración de identidad. Cuando John Doe entra en un banco para hacer un retiro, le dice al cajero del banco que es John Doe, un reclamo de identidad. [178] El cajero del banco pide ver una identificación con foto, por lo que le entrega al cajero su licencia de conducir . [179] El cajero del banco verifica la licencia para asegurarse de que tenga John Doe impreso y compara la fotografía de la licencia con la persona que dice ser John Doe. [180] Si la foto y el nombre coinciden con la persona, entonces el cajero ha autenticado que John Doe es quien dice ser. De manera similar, al ingresar la contraseña correcta, el usuario está proporcionando evidencia de que él / ella es la persona a la que pertenece el nombre de usuario. [181]
Hay tres tipos diferentes de información que se pueden utilizar para la autenticación: [182] [183]
- Algo que sabe: cosas como un PIN, una contraseña o el apellido de soltera de su madre [184] [185]
- Algo que tienes: una licencia de conducir o una tarjeta magnética [186] [187]
- Algo que está: biometría , incluyendo huellas de las palmas , las huellas dactilares , huellas vocales , y la retina (ojo) exploraciones [188]
La autenticación sólida requiere proporcionar más de un tipo de información de autenticación (autenticación de dos factores). [189] El nombre de usuario es la forma más común de identificación en los sistemas informáticos en la actualidad y la contraseña es la forma más común de autenticación. [190] Los nombres de usuario y las contraseñas han cumplido su propósito, pero son cada vez más inadecuados. [191] Los nombres de usuario y las contraseñas se están reemplazando o complementando lentamente con mecanismos de autenticación más sofisticados, como los algoritmos de contraseñas de un solo uso basados en el tiempo . [192]
Autorización
Después de que una persona, programa o computadora haya sido identificada y autenticada con éxito, se debe determinar a qué recursos de información se les permite acceder y qué acciones se les permitirá realizar (ejecutar, ver, crear, eliminar o cambiar). [193] Esto se llama autorización . La autorización para acceder a la información y otros servicios informáticos comienza con las políticas y los procedimientos administrativos. [194] Las políticas prescriben a qué información y servicios informáticos se puede acceder, quién lo hace y en qué condiciones. Luego, los mecanismos de control de acceso se configuran para hacer cumplir estas políticas. [195] Los diferentes sistemas informáticos están equipados con diferentes tipos de mecanismos de control de acceso. Algunos incluso pueden ofrecer una selección de diferentes mecanismos de control de acceso. [196] El mecanismo de control de acceso que ofrece un sistema se basará en uno de los tres enfoques del control de acceso, o puede derivarse de una combinación de los tres enfoques. [87]
El enfoque no discrecional consolida todo el control de acceso bajo una administración centralizada. [197] El acceso a la información y otros recursos generalmente se basa en la función (rol) del individuo en la organización o en las tareas que debe realizar el individuo. [198] [199] El enfoque discrecional otorga al creador o propietario del recurso de información la capacidad de controlar el acceso a esos recursos. [197] En el enfoque de control de acceso obligatorio, el acceso se concede o deniega basándose en la clasificación de seguridad asignada al recurso de información. [170]
Entre los ejemplos de mecanismos de control de acceso comunes que se utilizan en la actualidad se incluyen el control de acceso basado en roles , disponible en muchos sistemas avanzados de gestión de bases de datos; permisos de archivo simples proporcionados en los sistemas operativos UNIX y Windows; [200] Objetos de política de grupo proporcionados en los sistemas de red de Windows; y Kerberos , RADIUS , TACACS y las listas de acceso simples que se utilizan en muchos firewalls y enrutadores . [201]
Para ser eficaces, las políticas y otros controles de seguridad deben ser ejecutables y respetados. Las políticas efectivas garantizan que las personas rindan cuentas de sus acciones. [202] Las directrices del Tesoro de los Estados Unidos para sistemas que procesan información confidencial o patentada, por ejemplo, establecen que todos los intentos de autenticación y acceso fallidos y exitosos deben registrarse, y todo acceso a la información debe dejar algún tipo de rastro de auditoría . [203]
Además, el principio de necesidad de saber debe estar en vigor cuando se habla de control de acceso. Este principio otorga derechos de acceso a una persona para realizar sus funciones laborales. [204] Este principio se utiliza en el gobierno cuando se trata de compensaciones de diferencias. [205] A pesar de que dos empleados de diferentes departamentos tienen una autorización de alto secreto , deben tener una necesidad de saber para poder intercambiar información. Dentro del principio de necesidad de saber, los administradores de red otorgan al empleado la menor cantidad de privilegios para evitar que los empleados accedan a más de lo que se supone que deben. [206] La necesidad de saber ayuda a reforzar la tríada confidencialidad-integridad-disponibilidad. La necesidad de saber impacta directamente en el área confidencial de la tríada. [207]
Criptografía
La seguridad de la información utiliza la criptografía para transformar la información utilizable en una forma que la haga inutilizable por cualquier persona que no sea un usuario autorizado; este proceso se llama cifrado . [208] La información que se ha cifrado (inutilizable) puede ser transformada de nuevo a su forma utilizable original por un usuario autorizado que posea la clave criptográfica , mediante el proceso de descifrado. [209] La criptografía se utiliza en la seguridad de la información para proteger la información de la divulgación no autorizada o accidental mientras la información está en tránsito (ya sea electrónica o físicamente) y mientras la información está almacenada. [87]
La criptografía también proporciona seguridad de la información con otras aplicaciones útiles, incluidos métodos de autenticación mejorados, resúmenes de mensajes, firmas digitales, no repudio y comunicaciones de red encriptadas. [210] Las aplicaciones más antiguas y menos seguras, como Telnet y el Protocolo de transferencia de archivos (FTP), están siendo reemplazadas lentamente por aplicaciones más seguras como Secure Shell (SSH) que utilizan comunicaciones de red cifradas. [211] Las comunicaciones inalámbricas se pueden cifrar utilizando protocolos como WPA / WPA2 o el WEP más antiguo (y menos seguro) . Las comunicaciones por cable (como ITU-T G.hn ) se protegen mediante AES para el cifrado y X.1035 para la autenticación y el intercambio de claves. [212] Se pueden utilizar aplicaciones de software como GnuPG o PGP para cifrar archivos de datos y correo electrónico. [213]
La criptografía puede presentar problemas de seguridad cuando no se implementa correctamente. [214] Las soluciones criptográficas deben implementarse utilizando soluciones aceptadas por la industria que han sido sometidas a una rigurosa revisión por pares por parte de expertos independientes en criptografía. [215] La longitud y la fuerza de la clave de cifrado también es una consideración importante. [216] Una clave débil o demasiado corta producirá un cifrado débil. [216] Las claves utilizadas para el cifrado y descifrado deben protegerse con el mismo grado de rigor que cualquier otra información confidencial. [217] Deben estar protegidos contra la divulgación y la destrucción no autorizadas, y deben estar disponibles cuando sea necesario. [218] Las soluciones de infraestructura de clave pública (PKI) abordan muchos de los problemas que rodean la administración de claves . [87]
Proceso
Los términos "persona razonable y prudente", " debido cuidado " y "debida diligencia" se han utilizado en los campos de las finanzas, los valores y el derecho durante muchos años. En los últimos años, estos términos se han abierto camino en los campos de la seguridad informática y de la información. [122] Las Directrices Federales de Sentencia de los Estados Unidos ahora permiten responsabilizar a los funcionarios corporativos por no ejercer el debido cuidado y la debida diligencia en la gestión de sus sistemas de información. [219]
En el mundo empresarial, los accionistas, los clientes, los socios comerciales y los gobiernos tienen la expectativa de que los funcionarios corporativos dirijan el negocio de acuerdo con las prácticas comerciales aceptadas y de conformidad con las leyes y otros requisitos reglamentarios. Esto se describe a menudo como la regla de la "persona razonable y prudente". Una persona prudente se asegura de que se haga todo lo necesario para operar el negocio de acuerdo con principios comerciales sólidos y de manera legal y ética. Una persona prudente también es diligente (consciente, atenta, continua) en el debido cuidado del negocio.
En el campo de la seguridad de la información, Harris [220] ofrece las siguientes definiciones de debida diligencia y debida diligencia:
"El debido cuidado son los pasos que se toman para demostrar que una empresa ha asumido la responsabilidad de las actividades que tienen lugar dentro de la corporación y ha tomado las medidas necesarias para ayudar a proteger a la empresa, sus recursos y empleados [221] ". Y, [la debida diligencia son las] "actividades continuas que aseguran que los mecanismos de protección se mantengan y funcionen continuamente". [222]
Debe prestarse atención a dos puntos importantes de estas definiciones. [223] [224] Primero, con el debido cuidado, se toman las medidas necesarias para mostrar; esto significa que los pasos se pueden verificar, medir o incluso producir artefactos tangibles. [225] [226] En segundo lugar, en la debida diligencia, hay actividades continuas; esto significa que la gente realmente está haciendo cosas para monitorear y mantener los mecanismos de protección, y estas actividades están en curso. [227]
Las organizaciones tienen la responsabilidad de practicar el deber de cuidado al aplicar la seguridad de la información. La Norma de análisis de riesgos del deber de cuidado (DoCRA) [228] proporciona principios y prácticas para evaluar el riesgo. [229] Considera todas las partes que podrían verse afectadas por esos riesgos. [230] DoCRA ayuda a evaluar las salvaguardas si son apropiadas para proteger a otros de daños mientras presentan una carga razonable. [231] Con el aumento de los litigios por violación de datos, las empresas deben equilibrar los controles de seguridad, el cumplimiento y su misión. [232]
Gobernanza de seguridad
El Instituto de Ingeniería de Software en la Universidad Carnegie Mellon , en una publicación titulada Administración de Empresa de Seguridad (GES) guía de implementación , define las características de gobierno efectivo de seguridad. Estos incluyen: [233]
- Un problema de toda la empresa
- Los líderes son responsables
- Visto como un requisito comercial
- Basado en riesgo
- Definición de roles, responsabilidades y segregación de funciones
- Abordado y aplicado en la política
- Recursos adecuados comprometidos
- Personal consciente y capacitado
- Un requisito del ciclo de vida del desarrollo
- Planificado, gestionado, medible y medido
- Revisado y auditado
Planes de respuesta a incidentes
Un plan de respuesta a incidentes es un grupo de políticas que dictan la reacción de una organización ante un ciberataque. Una vez que se ha identificado una brecha de seguridad, se inicia el plan. [234] Es importante tener en cuenta que puede haber implicaciones legales para una violación de datos. Conocer las leyes locales y federales es fundamental. [235] Cada plan es exclusivo de las necesidades de la organización y puede involucrar conjuntos de habilidades que no forman parte de un equipo de TI. [236] Por ejemplo, un abogado puede estar incluido en el plan de respuesta para ayudar a navegar las implicaciones legales de una violación de datos. [237]
Como se mencionó anteriormente, cada plan es único, pero la mayoría de los planes incluirán lo siguiente: [238]
Preparación
Una buena preparación incluye el desarrollo de un equipo de respuesta a incidentes (IRT). [239] Las habilidades que debe utilizar este equipo serían, pruebas de penetración, análisis forense informático, seguridad de red, etc. [240] Este equipo también debe realizar un seguimiento de las tendencias en ciberseguridad y estrategias de ataque modernas. [241] Un programa de formación para los usuarios finales es importante, así como la mayoría de las estrategias de ataque modernas se dirigen a los usuarios de la red. [238]
Identificación
Esta parte del plan de respuesta a incidentes identifica si hubo un evento de seguridad. [242] Cuando un usuario final reporta información o un administrador nota irregularidades, se inicia una investigación. Un registro de incidentes es una parte crucial de este paso. [243] Todos los miembros del equipo deben actualizar este registro para garantizar que la información fluya lo más rápido posible. [244] Si se ha identificado que se ha producido una violación de seguridad, se debe activar el siguiente paso. [245]
Contención
En esta fase, el IRT trabaja para aislar las áreas donde se produjo la infracción para limitar el alcance del evento de seguridad. [246] Durante esta fase es importante preservar la información de forma forense para que pueda ser analizada más adelante en el proceso. [247] La contención podría ser tan simple como contener físicamente una sala de servidores o tan compleja como segmentar una red para no permitir la propagación de un virus. [248]
Erradicación
Aquí es donde la amenaza que se identificó se elimina de los sistemas afectados. [249] Esto podría incluir la eliminación de archivos maliciosos, la cancelación de cuentas comprometidas o la eliminación de otros componentes. [250] [251] Algunos eventos no requieren este paso, sin embargo, es importante comprender completamente el evento antes de pasar a este paso. [252] Esto ayudará a garantizar que la amenaza se elimine por completo. [248]
Recuperación
Esta etapa es donde los sistemas se restauran a su funcionamiento original. [253] Esta etapa podría incluir la recuperación de datos, cambiar la información de acceso del usuario o actualizar las reglas o políticas del firewall para evitar una infracción en el futuro. [254] [255] Sin ejecutar este paso, el sistema aún podría ser vulnerable a futuras amenazas de seguridad. [248]
Lecciones aprendidas
En este paso, la información que se ha recopilado durante este proceso se utiliza para tomar decisiones futuras sobre seguridad. [256] Este paso es crucial para garantizar que se eviten eventos futuros. El uso de esta información para capacitar aún más a los administradores es fundamental para el proceso. [257] Este paso también se puede utilizar para procesar información que se distribuye desde otras entidades que han experimentado un evento de seguridad. [258]
Gestión del cambio
La gestión de cambios es un proceso formal para dirigir y controlar las alteraciones en el entorno de procesamiento de la información. [259] [260] Esto incluye alteraciones en las computadoras de escritorio, la red, los servidores y el software. [261] Los objetivos de la gestión del cambio son reducir los riesgos que plantean los cambios en el entorno de procesamiento de la información y mejorar la estabilidad y confiabilidad del entorno de procesamiento a medida que se realizan los cambios. [262] No es el objetivo de la gestión del cambio evitar u obstaculizar la implementación de los cambios necesarios. [263] [264]
Cualquier cambio en el entorno de procesamiento de la información introduce un elemento de riesgo. [265] Incluso cambios aparentemente simples pueden tener efectos inesperados. [266] Una de las muchas responsabilidades de la dirección es la gestión del riesgo. [267] [268] La gestión de cambios es una herramienta para gestionar los riesgos introducidos por los cambios en el entorno de procesamiento de la información. [269] Parte del proceso de gestión de cambios garantiza que los cambios no se implementen en momentos inoportunos cuando pueden interrumpir los procesos comerciales críticos o interferir con otros cambios que se están implementando. [270]
No es necesario gestionar todos los cambios. [271] [272] Algunos tipos de cambios son parte de la rutina diaria del procesamiento de información y se adhieren a un procedimiento predefinido, lo que reduce el nivel general de riesgo para el entorno de procesamiento. [273] La creación de una nueva cuenta de usuario o la implementación de una nueva computadora de escritorio son ejemplos de cambios que generalmente no requieren administración de cambios. [274] Sin embargo, la reubicación de los archivos compartidos de los usuarios o la actualización del servidor de correo electrónico representan un nivel de riesgo mucho mayor para el entorno de procesamiento y no son una actividad diaria normal. [275] Los primeros pasos críticos en la gestión del cambio son (a) definir el cambio (y comunicar esa definición) y (b) definir el alcance del sistema de cambio. [276]
La gestión del cambio generalmente es supervisado por una junta de revisión de cambio integrado por representantes de las áreas clave del negocio, [277] la seguridad, la creación de redes, administradores de sistemas, administración de bases de datos, desarrolladores de aplicaciones, soporte de escritorio y la mesa de ayuda. [278] Las tareas de la junta de revisión de cambios se pueden facilitar con el uso de la aplicación de flujo de trabajo automatizado. [279] La responsabilidad de la junta de revisión de cambios es garantizar que se sigan los procedimientos de gestión de cambios documentados de la organización. [280] El proceso de gestión del cambio es el siguiente [281]
- Solicitud: Cualquiera puede solicitar un cambio. [282] [283] La persona que hace la solicitud de cambio puede ser o no la misma persona que realiza el análisis o implementa el cambio. [284] [285] Cuando se recibe una solicitud de cambio, puede someterse a una revisión preliminar para determinar si el cambio solicitado es compatible con el modelo de negocio y las prácticas de la organización , y para determinar la cantidad de recursos necesarios para implementar el cambio. [286]
- Aprobar: la administración dirige el negocio y controla la asignación de recursos, por lo tanto, la administración debe aprobar las solicitudes de cambios y asignar una prioridad para cada cambio. [287] La dirección puede optar por rechazar una solicitud de cambio si el cambio no es compatible con el modelo comercial, los estándares de la industria o las mejores prácticas. [288] [289] La administración también puede optar por rechazar una solicitud de cambio si el cambio requiere más recursos de los que se pueden asignar para el cambio. [290]
- Planificar: planificar un cambio implica descubrir el alcance y el impacto del cambio propuesto; analizar la complejidad del cambio; asignación de recursos y desarrollo, prueba y documentación tanto de la implementación como de los planes de retirada. [291] Necesidad de definir los criterios sobre los que se tomará la decisión de retirarse. [292]
- Prueba: cada cambio debe probarse en un entorno de prueba seguro, que refleje fielmente el entorno de producción real, antes de que el cambio se aplique al entorno de producción. [293] También debe probarse el plan de retirada. [294]
- Programación: parte de la responsabilidad de la junta de revisión de cambios es ayudar en la programación de cambios mediante la revisión de la fecha de implementación propuesta para detectar posibles conflictos con otros cambios programados o actividades comerciales críticas. [295]
- Comunicar: Una vez que se ha programado un cambio, se debe comunicar. [296] La comunicación es para darles a otros la oportunidad de recordar a la junta de revisión de cambios sobre otros cambios o actividades comerciales críticas que podrían haberse pasado por alto al programar el cambio. [297] La comunicación también sirve para que el servicio de asistencia técnica y los usuarios sean conscientes de que está a punto de producirse un cambio. [298] Otra responsabilidad de la junta de revisión de cambios es asegurar que los cambios programados se hayan comunicado adecuadamente a aquellos que se verán afectados por el cambio o que de otro modo tengan interés en el cambio. [299] [300]
- Implementar: En la fecha y hora señaladas, los cambios deben implementarse. [301] [302] Parte del proceso de planificación fue desarrollar un plan de implementación, un plan de prueba y un plan de respaldo. [303] [304] Si la implementación del cambio falla o las pruebas posteriores a la implementación fallan o si se cumplen otros criterios de "caída muerta", se debe implementar el plan de retroceso. [305]
- Documento: todos los cambios deben estar documentados. [306] [307] La documentación incluye la solicitud inicial de cambio, su aprobación, la prioridad asignada, la implementación, [308] pruebas y planes de retroceso, los resultados de la crítica de la junta de revisión de cambios, la fecha / hora en que se implementó el cambio, [309] quién lo implementó y si el cambio se implementó con éxito, falló o se pospuso. [310] [311]
- Revisión posterior al cambio: la junta de revisión de cambios debe realizar una revisión posterior a la implementación de los cambios. [312] Es particularmente importante revisar los cambios fallidos y cancelados. La junta de revisión debe tratar de comprender los problemas que se encontraron y buscar áreas de mejora. [312]
Los procedimientos de gestión de cambios que son simples de seguir y fáciles de usar pueden reducir en gran medida los riesgos generales que se crean cuando se realizan cambios en el entorno de procesamiento de la información. [313] Los buenos procedimientos de gestión del cambio mejoran la calidad general y el éxito de los cambios a medida que se implementan. [314] Esto se logra mediante la planificación, la revisión por pares, la documentación y la comunicación. [315]
ISO / IEC 20000 , The Visible OPS Handbook: Implementing ITIL in 4 Practical and Auditable Steps [316] (resumen completo del libro), [317] e ITIL proporcionan una guía valiosa sobre la implementación de un programa de gestión de cambios eficiente y eficaz en la seguridad de la información. [318]
Continuidad del negocio
La gestión de la continuidad del negocio ( BCM ) se refiere a los acuerdos que tienen como objetivo proteger las funciones comerciales críticas de una organización de la interrupción debido a incidentes, o al menos minimizar los efectos. [319] [320] BCM es esencial para que cualquier organización mantenga la tecnología y los negocios en línea con las amenazas actuales para la continuación de los negocios como de costumbre. [321] El BCM debe incluirse en un plan de análisis de riesgos de la organización para garantizar que todas las funciones comerciales necesarias tengan lo que necesitan para continuar en caso de cualquier tipo de amenaza a cualquier función comercial. [322]
Abarca:
- Análisis de requisitos, por ejemplo, identificación de funciones comerciales críticas, dependencias y puntos de falla potenciales, amenazas potenciales y, por lo tanto, incidentes o riesgos que preocupan a la organización; [323] [324]
- Especificación, por ejemplo, períodos de interrupción máximos tolerables; objetivos de punto de recuperación (períodos máximos aceptables de pérdida de datos); [325]
- Arquitectura y diseño, p. Ej., Una combinación adecuada de enfoques que incluyan resiliencia (p. Ej., Diseñar sistemas y procesos de TI para lograr una alta disponibilidad, [326] evitar o prevenir situaciones que puedan interrumpir el negocio), gestión de incidentes y emergencias (p. Ej., Evacuar las instalaciones, llamar al servicios de emergencia, evaluación de triaje / situación [327] e invocación de planes de recuperación), recuperación (p. ej., reconstrucción) y gestión de contingencias (capacidades genéricas para afrontar positivamente lo que ocurra utilizando los recursos disponibles); [328]
- Implementación, por ejemplo, configurar y programar copias de seguridad, transferencias de datos, etc., duplicar y fortalecer elementos críticos; contratación con proveedores de servicios y equipos;
- Pruebas, por ejemplo, ejercicios de continuidad del negocio de varios tipos, costos y niveles de garantía; [329]
- Gestión, por ejemplo, definir estrategias, establecer objetivos y metas; planificar y dirigir el trabajo; asignar fondos, personas y otros recursos; priorización en relación con otras actividades; formación de equipos, liderazgo, control, motivación y coordinación con otras funciones y actividades comerciales [330] (por ejemplo, TI, instalaciones, recursos humanos, gestión de riesgos, riesgo y seguridad de la información, operaciones); monitorear la situación, verificar y actualizar los arreglos cuando las cosas cambian; madurar el enfoque a través de la mejora continua, el aprendizaje y la inversión adecuada; [ cita requerida ]
- Aseguramiento, por ejemplo, pruebas contra requisitos especificados; medir, analizar y reportar parámetros clave; realizar pruebas, revisiones y auditorías adicionales para tener mayor confianza en que los arreglos irán según lo planeado si se invocan. [331]
Mientras que BCM adopta un enfoque amplio para minimizar los riesgos relacionados con desastres al reducir tanto la probabilidad como la gravedad de los incidentes, un plan de recuperación de desastres (DRP) se centra específicamente en reanudar las operaciones comerciales lo más rápido posible después de un desastre. [332] Un plan de recuperación ante desastres, que se invoca poco después de que ocurre un desastre, establece los pasos necesarios para recuperar la infraestructura crítica de tecnologías de la información y las comunicaciones (TIC). [333] La planificación de la recuperación ante desastres incluye el establecimiento de un grupo de planificación, la evaluación de riesgos, el establecimiento de prioridades, el desarrollo de estrategias de recuperación, la preparación de inventarios y documentación del plan, el desarrollo de criterios y procedimientos de verificación y, por último, la implementación del plan. [334]
Leyes y regulaciones
A continuación se muestra una lista parcial de las leyes y regulaciones gubernamentales en varias partes del mundo que han tenido, o tendrán, un efecto significativo en el procesamiento de datos y la seguridad de la información. [335] [336] También se han incluido importantes reglamentaciones del sector industrial cuando tienen un impacto significativo en la seguridad de la información. [335]
- La Ley de Protección de Datos del Reino Unido de 1998 establece nuevas disposiciones para la regulación del procesamiento de información relacionada con personas, incluida la obtención, tenencia, uso o divulgación de dicha información. [337] [338] La Directiva de protección de datos de la Unión Europea (EUDPD) exige que todos los miembros de la UE adopten normativas nacionales para estandarizar la protección de la privacidad de los datos para los ciudadanos en toda la UE [339] [340]
- La Ley de uso indebido de computadoras de 1990 es una ley del Parlamento del Reino Unido que tipifica los delitos informáticos (p. Ej., Piratería) como delito. [341] La ley se ha convertido en un modelo en el que varios otros países, [342] incluidos Canadá y la República de Irlanda , se han inspirado al redactar posteriormente sus propias leyes de seguridad de la información. [343] [344]
- La Directiva de retención de datos de la UE (anulada) requería que los proveedores de servicios de Internet y las compañías telefónicas mantuvieran los datos de cada mensaje electrónico enviado y llamada telefónica realizada entre seis meses y dos años. [345]
- La Ley de Privacidad y Derechos Educativos de la Familia (FERPA) ( 20 USC § 1232 g; 34 CFR Parte 99) es una ley federal de los EE. UU. Que protege la privacidad de los registros educativos de los estudiantes. [346] La ley se aplica a todas las escuelas que reciben fondos en virtud de un programa aplicable del Departamento de Educación de EE. UU. [347] Generalmente, las escuelas deben tener un permiso por escrito del padre o del estudiante elegible [347] [348] para poder divulgar cualquier información del expediente educativo del estudiante. [349]
- Las pautas de seguridad para auditores del Consejo Federal de Examen de Instituciones Financieras (FFIEC) especifican los requisitos para la seguridad de la banca en línea. [350]
- La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de 1996 requiere la adopción de estándares nacionales para transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de seguro médico y empleadores. [351] Además, requiere que los proveedores de atención médica, los proveedores de seguros y los empleadores salvaguarden la seguridad y la privacidad de los datos médicos. [352]
- La Ley Gramm-Leach-Bliley de 1999 (GLBA), también conocida como Ley de Modernización de Servicios Financieros de 1999, protege la privacidad y seguridad de la información financiera privada que las instituciones financieras recopilan, conservan y procesan. [353]
- La Sección 404 de la Ley Sarbanes-Oxley de 2002 (SOX) requiere que las empresas que cotizan en bolsa evalúen la eficacia de sus controles internos para la presentación de informes financieros en los informes anuales que presentan al final de cada año fiscal. [354] Los directores de información son responsables de la seguridad, precisión y confiabilidad de los sistemas que administran y reportan los datos financieros. [355] La ley también requiere que las empresas que cotizan en bolsa se comprometan con auditores independientes que deben dar fe de la validez de sus evaluaciones e informar al respecto. [356]
- El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) establece requisitos completos para mejorar la seguridad de los datos de las cuentas de pago. [357] Fue desarrollado por las marcas de pago fundadoras del PCI Security Standards Council, incluidas American Express , Discover Financial Services , JCB, MasterCard Worldwide, [358] y Visa International , para ayudar a facilitar la amplia adopción de medidas de seguridad de datos coherentes en a nivel mundial. [359] El PCI DSS es un estándar de seguridad multifacético que incluye requisitos para la gestión de la seguridad, políticas, procedimientos, arquitectura de red , diseño de software y otras medidas de protección críticas. [360]
- Las leyes estatales de notificación de violaciones de la seguridad (California y muchas otras) requieren que las empresas, las organizaciones sin fines de lucro y las instituciones estatales notifiquen a los consumidores cuando la "información personal" no cifrada puede haber sido comprometida, perdida o robada. [361]
- La Ley de protección de la información personal y documentos electrónicos ( PIPEDA ) de Canadá apoya y promueve el comercio electrónico al proteger la información personal que se recopila, utiliza o divulga en determinadas circunstancias, [362] [363] al disponer el uso de medios electrónicos para comunicarse o registrar información o transacciones y enmendar la Ley de Pruebas de Canadá , la Ley de Instrumentos Estatutarios y la Ley de Revisión de Estatutos. [364] [365] [366]
- La Autoridad Griega para la Seguridad y Privacidad de las Comunicaciones (ADAE) de Grecia (Ley 165/2011) establece y describe los controles mínimos de seguridad de la información que deben implementar todas las empresas que proporcionan redes y / o servicios de comunicaciones electrónicas en Grecia para proteger la confidencialidad de los clientes. . [367] Estos incluyen controles administrativos y técnicos (por ejemplo, los registros de registro deben almacenarse durante dos años). [368]
- La Autoridad griega para la seguridad y privacidad de las comunicaciones (ADAE) (Ley 205/2013) de Grecia se concentra en la protección de la integridad y disponibilidad de los servicios y datos ofrecidos por las empresas de telecomunicaciones griegas. [369] La ley obliga a estas y otras empresas relacionadas a construir, desplegar y probar planes de continuidad de negocio apropiados e infraestructuras redundantes. [370]
Cultura de seguridad de la información
Al describir más que simplemente cuán conscientes son los empleados de la seguridad, la cultura de seguridad de la información son las ideas, costumbres y comportamientos sociales de una organización que impactan la seguridad de la información tanto de manera positiva como negativa. [371] Los conceptos culturales pueden ayudar a diferentes segmentos de la organización a trabajar eficazmente o contrarrestar la eficacia hacia la seguridad de la información dentro de una organización. La forma en que los empleados piensan y sienten acerca de la seguridad y las acciones que toman pueden tener un gran impacto en la seguridad de la información en las organizaciones. Roer y Petric (2017) identifican siete dimensiones centrales de la cultura de seguridad de la información en las organizaciones: [372]
- Actitudes: sentimientos y emociones de los empleados sobre las diversas actividades que pertenecen a la seguridad organizacional de la información. [373]
- Comportamientos: actividades reales o previstas y acciones de riesgo de los empleados que tienen un impacto directo o indirecto en la seguridad de la información.
- Cognición: Conciencia, conocimiento verificable y creencias de los empleados sobre prácticas, actividades y relación de autoeficacia relacionadas con la seguridad de la información.
- Comunicación: las formas en que los empleados se comunican entre sí, el sentido de pertenencia, el apoyo a los problemas de seguridad y la notificación de incidentes.
- Cumplimiento: adherencia a las políticas de seguridad de la organización, conocimiento de la existencia de dichas políticas y capacidad para recordar la esencia de dichas políticas.
- Normas: Percepciones de conductas y prácticas organizativas relacionadas con la seguridad que los empleados y sus compañeros consideran informalmente normales o desviadas, por ejemplo, expectativas ocultas con respecto a comportamientos de seguridad y reglas no escritas con respecto a los usos de las tecnologías de la información y la comunicación.
- Responsabilidades: La comprensión de los empleados de las funciones y responsabilidades que tienen como factor crítico para mantener o poner en peligro la seguridad de la información y, por lo tanto, la organización.
Andersson y Reimers (2014) encontraron que los empleados a menudo no se ven a sí mismos como parte del "esfuerzo" de seguridad de la información de la organización y, a menudo, toman acciones que ignoran los mejores intereses de seguridad de la información de la organización. [374] Las investigaciones muestran que la cultura de la seguridad de la información debe mejorarse continuamente. En Cultura de seguridad de la información del análisis al cambio , los autores comentaron: "Es un proceso sin fin, un ciclo de evaluación y cambio o mantenimiento". Para gestionar la cultura de seguridad de la información se deben dar cinco pasos: pre-evaluación, planificación estratégica, planificación operativa, implementación y post-evaluación. [375]
- Evaluación previa: para identificar la conciencia de la seguridad de la información dentro de los empleados y analizar la política de seguridad actual.
- Planificación estratégica: para elaborar un mejor programa de sensibilización, debemos establecer objetivos claros. Agrupar personas es útil para lograrlo
- Planificación operativa: cree una buena cultura de seguridad basada en la comunicación interna, la aceptación de la administración, la conciencia de seguridad y los programas de capacitación.
- Implementación: debe incluir el compromiso de la administración, la comunicación con los miembros de la organización, cursos para todos los miembros de la organización y el compromiso de los empleados [375]
- Evaluación posterior: para evaluar mejor la eficacia de los pasos anteriores y aprovechar la mejora continua.
Fuentes de estándares
La Organización Internacional de Normalización (ISO) es un consorcio de institutos nacionales de normalización de 157 países, coordinados a través de una secretaría en Ginebra, Suiza. ISO es el desarrollador de estándares más grande del mundo. ISO 15443: "Tecnología de la información - Técnicas de seguridad - Un marco para el aseguramiento de la seguridad de TI", ISO / IEC 27002 : "Tecnología de la información - Técnicas de seguridad - Código de prácticas para la gestión de la seguridad de la información", ISO-20000 : "Tecnología de la información - Gestión de servicios" e ISO / IEC 27001 : "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos" son de particular interés para los profesionales de la seguridad de la información.
El Instituto Nacional de Estándares y Tecnología de EE. UU . (NIST) es una agencia federal no reguladora dentro del Departamento de Comercio de EE. UU . La División de Seguridad Informática del NIST desarrolla estándares, métricas, pruebas y programas de validación, así como también publica estándares y pautas para aumentar la planificación, implementación, administración y operación de TI seguras. NIST también es el custodio de las publicaciones del Estándar de procesamiento de información federal (FIPS) de EE. UU .
Internet Society es una sociedad de membresía profesional con más de 100 organizaciones y más de 20.000 miembros individuales en más de 180 países. Proporciona liderazgo para abordar los problemas que enfrentan el futuro de Internet, y es el hogar organizativo de los grupos responsables de los estándares de infraestructura de Internet, incluido el Grupo de Trabajo de Ingeniería de Internet (IETF) y la Junta de Arquitectura de Internet (IAB). El ISOC aloja las solicitudes de comentarios (RFC) que incluyen los estándares oficiales de protocolo de Internet y el manual de seguridad del sitio RFC-2196 .
El Information Security Forum (ISF) es una organización global sin fines de lucro de varios cientos de organizaciones líderes en servicios financieros, manufactura, telecomunicaciones, bienes de consumo, gobierno y otras áreas. Lleva a cabo investigaciones sobre las prácticas de seguridad de la información y ofrece asesoramiento en su Estándar de Buenas Prácticas semestral y avisos más detallados para los miembros.
El Instituto de Profesionales de la Seguridad de la Información (IISP) es un organismo independiente sin fines de lucro dirigido por sus miembros, con el objetivo principal de promover el profesionalismo de los profesionales de la seguridad de la información y, por lo tanto, el profesionalismo de la industria en su conjunto. El instituto desarrolló el Marco de Habilidades de IISP. Este marco describe la gama de competencias que se esperan de los profesionales de la seguridad de la información y el aseguramiento de la información en el desempeño eficaz de sus funciones. Fue desarrollado a través de la colaboración entre organizaciones del sector público y privado, académicos de renombre mundial y líderes de seguridad. [376]
La Oficina Federal Alemana para la Seguridad de la Información (en alemán Bundesamt für Sicherheit in der Informationstechnik (BSI) ) Los estándares BSI 100-1 a 100-4 son un conjunto de recomendaciones que incluyen "métodos, procesos, procedimientos, enfoques y medidas relacionados con la seguridad de la información ". [377] La metodología BSI-Standard 100-2 IT-Grundschutz describe cómo se puede implementar y operar la gestión de la seguridad de la información. El estándar incluye una guía muy específica, los catálogos de protección básica de TI (también conocidos como catálogos de IT-Grundschutz). Antes de 2005, los catálogos se conocían anteriormente como " Manual de protección básica de TI ". Los catálogos son una colección de documentos útiles para detectar y combatir los puntos débiles relevantes para la seguridad en el entorno de TI (clúster de TI). La colección abarca desde septiembre de 2013 más de 4.400 páginas con la introducción y los catálogos. El enfoque de IT-Grundschutz está alineado con la familia ISO / IEC 2700x.
El Instituto Europeo de Normas de Telecomunicaciones estandarizó un catálogo de indicadores de seguridad de la información , encabezado por el Grupo de Especificación Industrial (ISG) ISI.
Ver también
- Respaldo
- Seguridad basada en capacidad
- Filtración de datos
- Seguridad centrada en datos
- Arquitectura de seguridad de la información empresarial
- Seguridad basada en identidad
- Infraestructura de información
- Auditoría de seguridad de la información
- Indicadores de seguridad de la información
- Gestión de la seguridad de la información
- Estándares de seguridad de la información
- Tecnologías de la información
- Auditoría de seguridad de la tecnología de la información
- Riesgo de TI
- Gestión de seguridad ITIL
- Matar cadena
- Lista de certificaciones de seguridad informática
- Seguridad móvil
- Servicios de seguridad de red
- Ingeniería de privacidad
- Software de privacidad
- Tecnologías que mejoran la privacidad
- Error de seguridad
- Convergencia de seguridad
- Gestión de la información de seguridad
- Gestión del nivel de seguridad
- Ley de seguridad de la información
- Servicio de seguridad (telecomunicaciones)
- Inicio de sesión único
- Verificación y validación
Referencias
- ^ Joshi, Chanchala; Singh, Umesh Kumar (agosto de 2017). "Marco de gestión de riesgos de seguridad de la información - Un paso hacia la mitigación de los riesgos de seguridad en la red universitaria" . Revista de aplicaciones y seguridad de la información . 35 : 128-137. doi : 10.1016 / j.jisa.2017.06.006 . ISSN 2214-2126 .
- ^ "Instituto SANS: Recursos de seguridad de la información" . www.sans.org . Consultado el 31 de octubre de 2020 .
- ^ Daniel, Kent D .; Titman, Sheridan (2001). "Reacciones del mercado a la información tangible e intangible" . Diario electrónico SSRN . doi : 10.2139 / ssrn.274204 . ISSN 1556-5068 . S2CID 154366253 .
- ^ Kerstin., Fink (2004). Medición del potencial de conocimiento e incertidumbre . Deutscher Universitätsverlag. ISBN 978-3-322-81240-7. OCLC 851734708 .
- ^ Keyser, Tobias (2018-04-19), "Política de seguridad" , The Information Governance Toolkit , CRC Press, págs. 57–62, doi : 10.1201 / 9781315385488-13 , ISBN 978-1-315-38548-8, consultado el 28 de mayo de 2021
- ^ Danzig, Richard (1 de junio de 1995). "Los tres grandes: nuestros mayores riesgos de seguridad y cómo abordarlos" . Fort Belvoir, VA. doi : 10.21236 / ada421883 . Cite journal requiere
|journal=
( ayuda ) - ^ Lyu, MR; Lau, LKY (2000). "Seguridad de firewall: políticas, pruebas y evaluación de desempeño" . Actas 24th Annual International Computer Software and Applications Conference. COMPSAC2000 . Computación IEEE. Soc: 116-121. doi : 10.1109 / cmpsac.2000.884700 . ISBN 0-7695-0792-1. S2CID 11202223 .
- ^ "¿Cómo la falta de salud basadas en datos de datos Normalización Impide" , impulsado por datos de Salud , Hoboken, Nueva Jersey, EE.UU.: John Wiley & Sons, Inc., p. 29 de octubre de 2015, doi : 10.1002 / 9781119205012.ch3 , ISBN 978-1-119-20501-2, consultado el 28 de mayo de 2021
- ^ Cuaresma, Tom; Walsh, Bill (2009), "Repensar los estándares de construcción ecológica para una mejora continua integral" , Common Ground, Consensus Building and Continual Improvement: International Standards and Sustainable Building , 100 Barr Harbor Drive, PO Box C700, West Conshohocken, PA 19428-2959: ASTM International, págs. 1–1–10, doi : 10.1520 / stp47516s , ISBN 978-0-8031-4507-8, consultado el 28 de mayo de 2021Mantenimiento de CS1: ubicación ( enlace )
- ^ a b Cherdantseva Y. y Hilton J .: "Seguridad de la información y garantía de la información. La discusión sobre el significado, el alcance y los objetivos". En: Dimensión Organizacional, Legal y Tecnológica del Administrador de Sistemas de Información . Almeida F., Portela, I. (eds.). Publicaciones globales de IGI. (2013)
- ^ ISO / IEC 27000: 2009 (E). (2009). Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Visión general y vocabulario. ISO / IEC.
- ^ Comité de Sistemas de Seguridad Nacional : Glosario de Aseguramiento de la Información Nacional (IA), Instrucción CNSS No. 4009, 26 de abril de 2010.
- ^ ISACA. (2008). Glosario de términos, 2008. Obtenido de http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
- ^ Pipkin, D. (2000). Seguridad de la información: protección de la empresa global . Nueva York: Hewlett-Packard Company.
- ^ B., McDermott, E. y Geer, D. (2001). La seguridad de la información es la gestión de riesgos de la información. En Actas del Taller de 2001 sobre nuevos paradigmas de seguridad NSPW '01, (págs. 97-104). ACM. doi : 10.1145 / 508171.508187
- ^ Anderson, JM (2003). "Por qué necesitamos una nueva definición de seguridad de la información". Computadoras y seguridad . 22 (4): 308–313. doi : 10.1016 / S0167-4048 (03) 00407-3 .
- ^ Venter, HS; Eloff, JHP (2003). "Una taxonomía para las tecnologías de seguridad de la información". Computadoras y seguridad . 22 (4): 299-307. doi : 10.1016 / S0167-4048 (03) 00406-1 .
- ^ GOLD, S (diciembre de 2004). "Amenazas que se asoman más allá del perímetro" . Informe técnico de seguridad de la información . 9 (4): 12-14. doi : 10.1016 / s1363-4127 (04) 00047-0 . ISSN 1363-4127 .
- ^ Parker, Donn B. (enero de 1993). "Una lista completa de amenazas a la información" . Seguridad de los sistemas de información . 2 (2): 10–14. doi : 10.1080 / 19393559308551348 . ISSN 1065-898X .
- ^ Sullivant, John (2016), "The Evolving Threat Environment" , Building a Corporate Culture of Security , Elsevier, págs. 33–50, doi : 10.1016 / b978-0-12-802019-7.00004-3 , ISBN 978-0-12-802019-7, consultado el 28 de mayo de 2021
- ^ Бучик, С. С .; Юдін, О. К .; Нетребко, Р. В. (21 de diciembre de 2016). "El análisis de métodos de determinación de tipos funcionales de seguridad del sistema de información-telecomunicaciones frente a un acceso no autorizado" . Problemas de informatización y gestión . 4 (56). doi : 10.18372 / 2073-4751.4.13135 . ISSN 2073-4751 .
- ^ a b Samonas, S .; Coss, D. (2014). "La CIA contraataca: redefiniendo la confidencialidad, integridad y disponibilidad en seguridad" . Revista de seguridad del sistema de información . 10 (3): 21–45. Archivado desde el original el 22 de septiembre de 2018 . Consultado el 25 de enero de 2018 .
- ^ "Gartner dice que los disruptores digitales están afectando a todas las industrias; los KPI digitales son cruciales para medir el éxito" . Gartner. 2 de octubre de 2017 . Consultado el 25 de enero de 2018 .
- ^ "La encuesta de Gartner muestra que el 42 por ciento de los directores ejecutivos han comenzado la transformación empresarial digital" . Gartner. 24 de abril de 2017 . Consultado el 25 de enero de 2018 .
- ^ Forte, Dario; Power, Richard (diciembre de 2007). "Controles de referencia en algunas áreas vitales pero que a menudo se pasan por alto de su programa de protección de la información" . Fraude informático y seguridad . 2007 (12): 17-20. doi : 10.1016 / s1361-3723 (07) 70170-7 . ISSN 1361-3723 .
- ^ Aparamenta de baja tensión. Perfiles de dispositivos para dispositivos industriales en red , estándares británicos de BSI, doi : 10.3403 / bsen61915 , consultado el 28 de mayo de 2021
- ^ Fetzer, James; Highfill, Tina; Hossiso, Kassu; Howells, Thomas; Strassner, Erich; Young, Jeffrey (noviembre de 2018). "Contabilización de la heterogeneidad de la empresa dentro de las industrias estadounidenses: tablas de oferta-uso extendidas y comercio de valor agregado utilizando datos de nivel de empresa y establecimiento" . Cambridge, MA. doi : 10.3386 / w25249 . S2CID 169324096 . Cite journal requiere
|journal=
( ayuda ) - ^ "Estimación segura sujeta a ataques ciber estocásticos" , Cloud Control Systems , Elsevier: 373–404, 2020, doi : 10.1016 / b978-0-12-818701-2.00021-4 , ISBN 978-0-12-818701-2, consultado el 28 de mayo de 2021
- ^ 1955-, Nijmeijer, H. (Hendrik) (2003). Sincronización de sistemas mecánicos . World Scientific. ISBN 978-981-279-497-0. OCLC 262846185 .CS1 maint: nombres numéricos: lista de autores ( enlace )
- ^ "Capítulo 1. Cómo ha evolucionado el uso de la computadora por parte de los estudiantes en los últimos años" . dx.doi.org . doi : 10.1787 / 888933277851 . Consultado el 28 de mayo de 2021 .
- ^ Tecnologías de la información. Técnicas de seguridad. Requisitos de competencia para profesionales de sistemas de gestión de seguridad de la información , BSI British Standards, doi : 10.3403 / 30342674 , consultado el 29 de mayo de 2021
- ^ "Hoja de datos de calificaciones de seguridad de la información" (PDF) . Gobierno de TI . Consultado el 16 de marzo de 2018 .
- ^ Ma, Ruiqing Ray (marzo de 2016). "Las pantallas flexibles vienen en muchas formas" . Pantalla de información . 32 (2): 4–49. doi : 10.1002 / j.2637-496x.2016.tb00883.x . ISSN 0362-0972 .
- ^ H., Rahim, Noor (marzo de 2006). Derechos humanos y seguridad interior en Malasia: retórica y realidad . Centro de Información Técnica de Defensa. OCLC 74288358 .
- ^ Aut, Kramer David Autor (14 de septiembre de 2018). "Las amenazas de robo y sabotaje nucleares siguen siendo altas, advierte el informe" . La física hoy . doi : 10.1063 / pt.6.2.20180914a . ISSN 1945-0699 .
- ^ Edward., Wilding (2 de marzo de 2017). Riesgo y seguridad de la información: prevención e investigación de delitos informáticos en el lugar de trabajo . ISBN 978-1-351-92755-0. OCLC 1052118207 .
- ^ Stewart, James (2012). Guía de estudio de CISSP . Canadá: John Wiley & Sons, Inc. págs. 255–257. ISBN 978-1-118-31417-3.
- ^ "2.2. El crecimiento de la productividad ha tenido una tendencia a la baja en muchos sectores" . dx.doi.org . doi : 10.1787 / 734700048756 . Consultado el 28 de mayo de 2021 .
- ^ "Robo de identidad: la industria de ataques digitales más reciente debe tomarse en serio" . Problemas en los sistemas de información . 2007. doi : 10.48009 / 2_iis_2007_297-302 . ISSN 1529-7314 .
- ^ Anna, Wendel-Persson, Fredrik Ronnhed (2017). IT-säkerhet och människan: De har världens starkaste mur men porten står alltid på glänt . Umeå universitet, Institutionen för informatik. OCLC 1233659973 .
- ^ Enge, Eric (5 de abril de 2017). "Templo de Piedra" . Celulares
- ^ Shao, Ruodan; Skarlicki, Daniel P. (2014). "Escala de sabotaje hacia los clientes que maltrataron a los empleados" . Conjunto de datos de PsycTESTS . doi : 10.1037 / t31653-000 . Consultado el 28 de mayo de 2021 .
- ^ Kitchen, Julie (junio de 2008). "7side - Información de la empresa, constitución de empresas y búsquedas de propiedades" . Gestión de información legal . 8 (2): 146. doi : 10.1017 / s1472669608000364 . ISSN 1472-6696 . S2CID 144325193 .
- ^ Young, Courtenay (8 de mayo de 2018), "Trabajar con ataques de pánico" , Help Yourself Towards Mental Health , Routledge, págs. 209–214, doi : 10.4324 / 9780429475474-32 , ISBN 978-0-429-47547-4, consultado el 28 de mayo de 2021
- ^ "Introducción: Inside the Insider Threat" , Insider Threats , Cornell University Press, págs. 1–9, 2017-12-31, doi : 10.7591 / 9781501705946-003 , ISBN 978-1-5017-0594-6, consultado el 28 de mayo de 2021
- ^ "Cuadro 7.7 Francia: Comparación de la participación en los beneficios de las sociedades no financieras y las sociedades no financieras más las empresas no constituidas en sociedad" . dx.doi.org . doi : 10.1787 / 888933144055 . Consultado el 28 de mayo de 2021 .
- ^ "¿Cómo sucedió todo?" , El negocio de cumplimiento y sus clientes , Basingstoke: Palgrave Macmillan, 2012, doi : 10.1057 / 9781137271150.0007 , ISBN 978-1-137-27115-0, consultado el 28 de mayo de 2021
- ^ Gordon, Lawrence; Loeb, Martin (noviembre de 2002). "La economía de la inversión en seguridad de la información". Transacciones ACM sobre seguridad de la información y del sistema . 5 (4): 438–457. doi : 10.1145 / 581271.581274 . S2CID 1500788 .
- ^ Cho Kim, Byung; Khansa, Lara; James, Tabitha (julio de 2011). "Confianza individual y percepción del riesgo del consumidor" . Revista de privacidad y seguridad de la información . 7 (3): 3-22. doi : 10.1080 / 15536548.2011.10855915 . ISSN 1553-6548 . S2CID 144643691 .
- ^ Stewart, James (2012). Guía de estudio para profesionales de seguridad de sistemas de información certificados por CISSP Sexta edición . Canadá: John Wiley & Sons, Inc. págs. 255–257. ISBN 978-1-118-31417-3.
- ^ Gillett, John (marzo de 1994). "El costo-beneficio de la subcontratación: evaluar el costo real de su estrategia de subcontratación" . Revista europea de gestión de compras y suministros . 1 (1): 45–47. doi : 10.1016 / 0969-7012 (94) 90042-6 . ISSN 0969-7012 .
- ^ "2.1. A pesar del fuerte crecimiento, Austria ha perdido algo de terreno desde principios de la década de 1990" . dx.doi.org . doi : 10.1787 / 645173688502 . Consultado el 29 de mayo de 2021 .
- ^ "Introducción: César ha muerto. ¡Viva el César!" , Imagen autocreada de Julio César y su dramática vida después de la muerte , Bloomsbury Academic, 2018, doi : 10.5040 / 9781474245784.0005 , ISBN 978-1-4742-4578-4, consultado el 29 de mayo de 2021
- ^ Suetonius Tranquillus, Gaius (2008). Lives of the Caesars (Clásicos del mundo de Oxford) . Nueva York: Oxford University Press. pag. 28. ISBN 978-0-19-953756-3.
- ^ Singh, Simon (2000). El libro de códigos . Ancla. págs. 289–290 . ISBN 978-0-385-49532-5.
- ^ Tan, Heng Chuan. Hacia comunicaciones confiables y seguras en un entorno vehicular (Tesis). Universidad Tecnológica de Nanyang. doi : 10.32657 / 10356/72758 .
- ^ Johnson, John (1997). La evolución de British Sigint: 1653-1939 . Oficina de Papelería de Su Majestad. ASIN B00GYX1GX2 .
- ^ Willison, Matthew (2018). "¿Fueron los bancos especiales? Puntos de vista contrastantes en Gran Bretaña de mediados del siglo XIX" . Diario electrónico SSRN . doi : 10.2139 / ssrn.3249510 . ISSN 1556-5068 . S2CID 169606130 .
- ^ Ruppert, K. (2011). "Ley de secretos oficiales (1889; nueva de 1911; modificada en 1920, 1939, 1989)" . En Hastedt, GP (ed.). Espías, escuchas telefónicas y operaciones secretas: una enciclopedia del espionaje estadounidense . 2 . ABC-CLIO. págs. 589–590. ISBN 9781851098088.
- ^ "2. LA LEY CLAYTON: Una consideración de la sección 2, que define la discriminación ilegal de precios". , The Federal Anti-Trust Law , Columbia University Press, págs. 18-28, 1930-12-31, doi : 10.7312 / dunn93452-003 , ISBN 978-0-231-89377-0, consultado el 29 de mayo de 2021
- ^ Maer, Lucinda; Gay (30 de diciembre de 2008). "Secreto oficial" (PDF) . Federación de Científicos Americanos .
- ^ "La Ley de Secretos Oficiales de 1989 que reemplazó la sección 2 de la Ley de 1911" , Espionage and Secrecy (Routledge Revivals) , Routledge, págs. 267–282, 2016-06-10, doi : 10.4324 / 9781315542515-21 , ISBN 978-1-315-54251-5, consultado el 29 de mayo de 2021
- ^ "Ley de Secretos Oficiales: qué cubre; cuando ha sido utilizada, cuestionada" . El Indian Express . 2019-03-08 . Consultado el 7 de agosto de 2020 .
- ^ Singh, Gajendra (noviembre de 2015). " " Romper las cadenas con las que estábamos atados ": la sala de interrogatorios, el ejército nacional indio y la negación de las identidades militares, 1941-1947" . Biblioteca digital de Brill de la Primera Guerra Mundial . doi : 10.1163 / 2352-3786_dlws1_b9789004211452_019 . Consultado el 28 de mayo de 2021 .
- ^ Duncanson, Dennis (junio de 1982). "La lucha por descifrar la Indochina francesa" . Asuntos asiáticos . 13 (2): 161-170. doi : 10.1080 / 03068378208730070 . ISSN 0306-8374 .
- ^ "Allied Power. Movilización de la energía hidroeléctrica durante la segunda guerra mundial de Canadá" , Allied Power , University of Toronto Press, págs. 1–2, 2015-12-31, doi : 10.3138 / 9781442617117-003 , ISBN 978-1-4426-1711-7, consultado el 29 de mayo de 2021
- ^ Glatthaar, Joseph T. (2011-06-15), "Oficiales y hombres alistados" , Soldiering in the Army of Northern Virginia , University of North Carolina Press, págs. 83–96, doi : 10.5149 / 9780807877869_glatthaar.11 , ISBN 978-0-8078-3492-3, consultado el 28 de mayo de 2021
- ^ a b Sebag – Montefiore, H. (2011). Enigma: La batalla por el código . Orión. pag. 576. ISBN 9781780221236.
- ^ "La sabiduría del siglo XX para las comunidades del siglo XXI" , Thomas Merton , The Lutterworth Press, págs. 160–184, 2012-04-26, doi : 10.2307 / j.ctt1cg4k28.13 , ISBN 978-0-7188-4069-3, consultado el 29 de mayo de 2021
- ^ Murphy, Richard C. (1 de septiembre de 2009). "Construcción de supercomputadoras más potentes y menos costosas utilizando el informe final de procesamiento en memoria (PIM) LDRD" . doi : 10.2172 / 993898 . Cite journal requiere
|journal=
( ayuda ) - ^ "Una breve historia de Internet" . www.usg.edu . Consultado el 7 de agosto de 2020 .
- ^ "Caminando por la vista de Delft - en Internet" . Computadoras y Gráficos . 25 (5): 927. Octubre de 2001. doi : 10.1016 / s0097-8493 (01) 00149-2 . ISSN 0097-8493 .
- ^ DeNardis, L. (2007). "Capítulo 24: Una historia de seguridad en Internet". En de Leeuw, KMM; Bergstra, J. (eds.). La historia de la seguridad de la información: un manual completo . Elsevier. págs. 681 –704. ISBN 9780080550589.
- ^ Perrin, Chad. "La tríada de la CIA" . Consultado el 31 de mayo de 2012 .
- ^ Sandhu, Ravi; Jajodia, Sushil (2000-10-20), "Relational Database Security" , Manual de gestión de seguridad de la información, conjunto de cuatro volúmenes , publicaciones de Auerbach, doi : 10.1201 / 9780203325438.ch120 , ISBN 978-0-8493-1068-3, consultado el 29 de mayo de 2021
- ^ a b Stoneburner, G .; Hayden, C .; Feringa, A. (2004). "Principios de ingeniería para la seguridad de la tecnología de la información" (PDF) . csrc.nist.gov. doi : 10.6028 / NIST.SP.800-27rA . Cite journal requiere
|journal=
( ayuda ) - ^ AJ Neumann, N. Statland y RD Webb (1977). "Herramientas y técnicas de auditoría de posprocesamiento" (PDF) . Departamento de Comercio de EE. UU., Oficina Nacional de Normas. págs. 11-3--11-4.
- ^ "oecd.org" (PDF) . Archivado desde el original (PDF) el 16 de mayo de 2011 . Consultado el 17 de enero de 2014 .
- ^ "GSSP (principios de seguridad del sistema generalmente aceptado): un viaje a abilene" . Computadoras y seguridad . 15 (5): 417. Enero de 1996. doi : 10.1016 / 0167-4048 (96) 82630-7 . ISSN 0167-4048 .
- ^ Slade, Rob. "Blog de (ICS) 2" .
- ^ Aceituno, Vicente. "Modelo abierto de madurez de la seguridad de la información" . Consultado el 12 de febrero de 2017 .
- ^ "George Cybenko - Página de inicio personal de George Cybenko" (PDF) .
- ^ Hughes, Jeff; Cybenko, George (21 de junio de 2018). "Métricas cuantitativas y evaluación de riesgos: el modelo de ciberseguridad de los tres principios" . Revisión de la gestión de la innovación tecnológica . 3 (8).
- ^ Teplow, Lily. "¿Están sus clientes cayendo en estos mitos de seguridad de TI? [GRÁFICO]" . continuum.net .
- ^ Beckers, K. (2015). Patrón y requisitos de seguridad: establecimiento de estándares de seguridad basado en ingeniería . Saltador. pag. 100. ISBN 9783319166643.
- ^ "Privacidad y confidencialidad de los datos" , SpringerReference , Berlín / Heidelberg: Springer-Verlag, 2011, doi : 10.1007 / springerreference_205286 , consultado el 29 de mayo de 2021
- ^ a b c d e Andress, J. (2014). Los fundamentos de la seguridad de la información: comprensión de los fundamentos de InfoSec en teoría y práctica . Syngress. pag. 240. ISBN 9780128008126.
- ^ Boritz, J. Efrim (2005). "Opiniones de los profesionales de SI sobre conceptos básicos de integridad de la información". Revista Internacional de Sistemas de Información Contable . Elsevier. 6 (4): 260–279. doi : 10.1016 / j.accinf.2005.07.001 .
- ^ Hryshko, I. (2020). "Ocupación no autorizada de terrenos y construcción no autorizada: conceptos y tipos de medios tácticos de investigación" . Heraldo de la Universidad Humanitaria Internacional. Jurisprudencia (43): 180–184. doi : 10.32841 / 2307-1745.2020.43.40 . ISSN 2307-1745 .
- ^ Kim, Bonn-Oh (2000-09-21), "Referential Integrity for Database Design" , Bases de datos web de alto rendimiento , Publicaciones de Auerbach, págs. 427–434, doi : 10.1201 / 9781420031560-34 , ISBN 978-0-429-11600-1, consultado el 29 de mayo de 2021
- ^ Pevnev, V. (2018). "Modele las amenazas y asegure la integridad de la información" . Sistemas y Tecnologías . 2 (56): 80–95. doi : 10.32836 / 2521-6643-2018.2-56.6 . ISSN 2521-6643 .
- ^ Fan, Lejun; Wang, Yuanzhuo; Cheng, Xueqi; Li, Jinming; Jin, Shuyuan (26 de febrero de 2013). "Análisis de colaboración multiproceso de malware de robo de privacidad" . Redes de seguridad y comunicación . 8 (1): 51–67. doi : 10.1002 / sec.705 . ISSN 1939-0114 .
- ^ "Completitud, coherencia e integridad del modelo de datos" , Midiendo la calidad de los datos para la mejora continua , Elsevier, págs. E11 – e19, 2013, doi : 10.1016 / b978-0-12-397033-6.00030-4 , ISBN 978-0-12-397033-6, consultado el 29 de mayo de 2021
- ^ "Video de SPIE - la Sociedad Internacional de Óptica y Fotónica" . dx.doi.org . doi : 10.1117 / 12.2266326.5459349132001 . Consultado el 29 de mayo de 2021 .
- ^ "Habilidades de comunicación utilizadas por egresados de sistemas de información" . Problemas en los sistemas de información . 2005. doi : 10.48009 / 1_iis_2005_311-317 . ISSN 1529-7314 .
- ^ "Cortes de suministro de energía eléctrica como resultado de fallas en los cables del sistema Boston Edison Company" . 1980-07-01. doi : 10.2172 / 5083196 . Cite journal requiere
|journal=
( ayuda ) - ^ Loukas, G .; Oke, G. (septiembre de 2010) [agosto de 2009]. "Protección contra ataques de denegación de servicio: una encuesta" (PDF) . Computación. J. 53 (7): 1020–1037. doi : 10.1093 / comjnl / bxp078 . Archivado desde el original (PDF) el 24 de marzo de 2012 . Consultado el 28 de agosto de 2015 .
- ^ "Ser capaz de realizar una actividad clínica" , Definiciones , Qeios, 2020-02-02, doi : 10.32388 / dine5x , consultado el 2021-05-29
- ^ Ohta, Mai; Fujii, Takeo (mayo de 2011). "Detección cooperativa iterativa en el espectro primario compartido para mejorar la capacidad de detección" . Simposio internacional de IEEE 2011 sobre redes dinámicas de acceso al espectro (DySPAN) . IEEE: 623–627. doi : 10.1109 / dyspan.2011.5936257 . ISBN 978-1-4577-0177-1. S2CID 15119653 .
- ^ Tecnologías de la información. Gestión de incidentes de seguridad de la información , BSI British Standards, doi : 10.3403 / 30387743 , consultado el 29 de mayo de 2021
- ^ Blum, Dan (2020), "Identify and Align Security-Related Roles" , Rational Cybersecurity for Business , Berkeley, CA: Apress, págs. 31–60, doi : 10.1007 / 978-1-4842-5952-8_2 , ISBN 978-1-4842-5951-1, consultado el 29 de mayo de 2021
- ^ McCarthy, C. (2006). "Bibliotecas digitales: consideraciones de seguridad y preservación" . En Bidgoli, H. (ed.). Manual de Seguridad de la Información, Amenazas, Vulnerabilidades, Prevención, Detección y Gestión . 3 . John Wiley e hijos. págs. 49–76. ISBN 9780470051214.
- ^ Tecnologías de la información. Sistemas abiertos de interconexión. Marcos de seguridad para sistemas abiertos , estándares británicos de BSI, doi : 10.3403 / 01110206u , consultado el 29 de mayo de 2021
- ^ Christofori, Ralf (2014-01-01), "Así podría haber sido" , Julio Rondo - Ok, Meta Memory , Wilhelm Fink Verlag, doi : 10.30965 / 9783846757673_003 , ISBN 978-3-7705-5767-7, consultado el 29 de mayo de 2021
- ^ Atkins, D. (mayo de 2021). "Uso del algoritmo de firma digital Walnut con cifrado y firma de objetos CBOR (COSE)" . doi : 10.17487 / rfc9021 . Cite journal requiere
|journal=
( ayuda ) - ^ Le May, I. (2003), "Structural Integrity in the Petrochemical Industry" , Comprehensive Structural Integrity , Elsevier, págs. 125–149, doi : 10.1016 / b0-08-043749-4 / 01001-6 , ISBN 978-0-08-043749-1, consultado el 29 de mayo de 2021
- ^ Sodjahin, Amos; Champagne, Claudia; Coggins, Frank; Gillet, Roland (11 de enero de 2017). "¿Indicadores de riesgo adelantados o rezagados? El contenido informativo de las puntuaciones de desempeño extrafinancieras" . Revista de gestión de activos . 18 (5): 347–370. doi : 10.1057 / s41260-016-0039-y . ISSN 1470-8272 . S2CID 157485290 .
- ^ Reynolds, EH (22 de julio de 1995). "El folato tiene el potencial de causar daño" . BMJ . 311 (6999): 257. doi : 10.1136 / bmj.311.6999.257 . ISSN 0959-8138 . PMC 2550299 . PMID 7503870 .
- ^ Randall, Alan (2011), "Daño, riesgo y amenaza" , Riesgo y precaución , Cambridge: Cambridge University Press, págs. 31–42, doi : 10.1017 / cbo9780511974557.003 , ISBN 978-0-511-97455-7, consultado el 29 de mayo de 2021
- ^ Grama, JL (2014). Problemas legales en seguridad de la información . Jones y Bartlett Learning. pag. 550. ISBN 9781284151046.
- ^ "Proceso de auditoría" . CISA® : 139–214. 2016-03-04. doi : 10.1002 / 9781119419211.ch3 . ISBN 9781119056249.
- ^ ISACA (2006). Manual de revisión CISA 2006 . Asociación de Auditoría y Control de Sistemas de Información. pag. 85. ISBN 978-1-933284-15-6.
- ^ Kadlec, Jaroslav (2 de noviembre de 2012). "Modelado de procesos bidimensionales (2DPM)" . Diario de gestión de procesos de negocio . 18 (6): 849–875. doi : 10.1108 / 14637151211283320 . ISSN 1463-7154 .
- ^ "Todas las contramedidas tienen algún valor, pero ninguna contramedida es perfecta" , Beyond Fear , Nueva York: Springer-Verlag, págs. 207–232, 2003, doi : 10.1007 / 0-387-21712-6_14 , ISBN 0-387-02620-7, consultado el 29 de mayo de 2021
- ^ "Violaciones de datos: Deloitte sufre un serio impacto mientras surgen más detalles sobre Equifax y Yahoo" . Fraude informático y seguridad . 2017 (10): 1–3. Octubre de 2017. doi : 10.1016 / s1361-3723 (17) 30086-6 . ISSN 1361-3723 .
- ^ Spagnoletti, Paolo; Resca A. (2008). "La dualidad de la Gestión de la Seguridad de la Información: luchando contra amenazas predecibles e impredecibles" . Revista de seguridad del sistema de información . 4 (3): 46–62.
- ^ Yusoff, ni Hashim; Yusof, Mohd Radzuan (4 de agosto de 2009). "Gestión del riesgo de HSE en entornos hostiles" . Todos los días . SPE. doi : 10.2118 / 122545-ms .
- ^ Baxter, Wesley. Agotado: cómo las áreas de mejora comercial del centro de Ottawa han asegurado y valorizado el espacio urbano (Tesis). Universidad de Carleton. doi : 10.22215 / etd / 2010-09016 .
- ^ de Souza, André; Lynch, Anthony (junio de 2012). "¿El rendimiento de los fondos mutuos varía a lo largo del ciclo económico?" . Cambridge, MA. doi : 10.3386 / w18137 . Cite journal requiere
|journal=
( ayuda ) - ^ Kiountouzis, EA; Kokolakis, SA (31 de mayo de 1996). Seguridad de los sistemas de información: frente a la sociedad de la información del siglo XXI . Londres: Chapman & Hall, Ltd. ISBN 978-0-412-78120-9.
- ^ Newsome, B. (2013). Una introducción práctica a la seguridad y la gestión de riesgos . Publicaciones SAGE. pag. 208. ISBN 9781483324852.
- ^ a b Whitman, ME; Mattord, HJ (2016). Gestión de la seguridad de la información (5ª ed.). Aprendizaje Cengage. pag. 592. ISBN 9781305501256.
- ^ "Hardware, telas, adhesivos y otros suministros teatrales" , Guía ilustrada de producción teatral , Routledge, págs. 203–232, 2013-03-20, doi : 10.4324 / 9780080958392-20 , ISBN 978-0-08-095839-2, consultado el 29 de mayo de 2021
- ^ Reason, James (2017-03-02), "Perceptions of Unsafe Acts" , The Human Contribution , CRC Press, págs. 69–103, doi : 10.1201 / 9781315239125-7 , ISBN 978-1-315-23912-5, consultado el 29 de mayo de 2021
- ^ "Procedimientos y estándares de seguridad de la información " , Políticas, procedimientos y estándares de seguridad de la información , Boca Raton, FL: CRC Press, 2016 .: Publicaciones de Auerbach, págs. 81–92, 2017-03-27, doi : 10.1201 / 9781315372785-5 , ISBN 978-1-315-37278-5, consultado el 29 de mayo de 2021Mantenimiento de CS1: ubicación ( enlace )
- ^ Zhuang, Haifeng; Chen, Yu; Sheng, Xianfu; Hong, Lili; Gao, Ruilan; Zhuang, Xiaofen (25 de junio de 2020). "Figura S1: Análisis del impacto pronóstico de cada gen de firma única" . PeerJ . 8 : e9437. doi : 10.7717 / peerj.9437 / supp-1 . Consultado el 29 de mayo de 2021 .
- ^ Standaert, B .; Ethgen, O .; Emerson, RA (junio de 2012). "Análisis de rentabilidad del CO4: ¿adecuado para todas las situaciones?" . Valor en salud . 15 (4): A2. doi : 10.1016 / j.jval.2012.03.015 . ISSN 1098-3015 .
- ^ "Las marquesinas de PRFV proporcionan una protección rentable sobre las puertas" . Plásticos reforzados . 40 (11): 8. Noviembre de 1996. doi : 10.1016 / s0034-3617 (96) 91328-4 . ISSN 0034-3617 .
- ^ "Figura 2.3. Riesgo relativo de tener un desempeño bajo dependiendo de las circunstancias personales (2012)" . dx.doi.org . doi : 10.1787 / 888933171410 . Consultado el 29 de mayo de 2021 .
- ^ Stoneburner, Gary; Goguen, Alice; Feringa, Alexis (2002). "Guía de gestión de riesgos NIST SP 800-30 para sistemas de tecnología de la información" (PDF) . doi : 10.6028 / NIST.SP.800-30 . Consultado el 17 de enero de 2014 . Cite journal requiere
|journal=
( ayuda ) - ^ "¿Puedo elegir? ¿Puedo elegir? Opresión y elección" , Una teoría de la libertad , Palgrave Macmillan, 2012, doi : 10.1057 / 9781137295026.0007 , ISBN 978-1-137-29502-6, consultado el 29 de mayo de 2021
- ^ Parker, Donn B. (enero de 1994). "Una guía para seleccionar e implementar controles de seguridad" . Seguridad de los sistemas de información . 3 (2): 75–86. doi : 10.1080 / 10658989409342459 . ISSN 1065-898X .
- ^ Zoccali, carmín; Mallamaci, Francesca; Tripepi, Giovanni (25 de septiembre de 2007). "Editor invitado: Rajiv Agarwal: la evaluación del perfil de riesgo cardiovascular y el control de la medicación deben ser lo primero" . Seminarios en Diálisis . 20 (5): 405–408. doi : 10.1111 / j.1525-139x.2007.00317.x . ISSN 0894-0959 . PMID 17897245 . S2CID 33256127 .
- ^ Guía para la implementación y auditoría de los controles del SGSI basada en ISO / IEC 27001 . Londres: Estándares británicos de BSI. 2013-11-01. doi : 10.3403 / 9780580829109 . ISBN 978-0-580-82910-9.
- ^ Johnson, L. (2015). Manual de evaluación, pruebas y valoración de controles de seguridad . Syngress. pag. 678. ISBN 9780128025642.
- ^ Tecnologías de la información. Técnicas de seguridad. Mapeo de las ediciones revisadas de ISO / IEC 27001 e ISO / IEC 27002 , BSI British Standards, doi : 10.3403 / 30310928 , recuperado 2021-05-29
- ^ a b c "Controles administrativos" , ergonomía ocupacional , CRC Press, págs. 443–666, 2003-03-26, doi : 10.1201 / 9780203507933-6 , ISBN 978-0-429-21155-3, consultado el 29 de mayo de 2021
- ^ "Cómo impacta la hora del día en las conversaciones comerciales" . Junio de 2013. doi : 10.13007 / 141 . Cite journal requiere
|journal=
( ayuda ) - ^ 44 USC § 3542 (b) (1)
- ^ "Apéndice D" , Desarrollo de políticas de seguridad de la información para el cumplimiento , Publicaciones de Auerbach, pp. 117-136, 2013-03-22, doi : 10.1201 / b13922-12 , ISBN 978-1-4665-8058-9, consultado el 29 de mayo de 2021
- ^ "Cortafuegos, sistemas de detección de intrusos y evaluación de vulnerabilidades: ¿una conjunción superior?" . Seguridad de la red . 2002 (9): 8-11. Septiembre de 2002. doi : 10.1016 / s1353-4858 (02) 09009-8 . ISSN 1353-4858 .
- ^ Ransome, J .; Misra, A. (2013). Seguridad del software principal: seguridad en el origen . Prensa CRC. págs. 40–41. ISBN 9781466560956.
- ^ "principio de privilegio mínimo" , SpringerReference , Berlín / Heidelberg: Springer-Verlag, 2011, doi : 10.1007 / springerreference_17456 , consultado el 29 de mayo de 2021
- ^ Emir, Astra (septiembre de 2018). "19. Deberes de los ex empleados" . Law Trove . doi : 10.1093 / él / 9780198814849.003.0019 . ISBN 978-0-19-185251-0.
- ^ Guide for Information Access Privileges to Health Information , ASTM International, doi : 10.1520 / e1986-09 , consultado el 29 de mayo de 2021
- ^ Drury, Bill (2009-01-01), "Physical environment" , Manual de técnicas de control, variadores y controles , Institución de ingeniería y tecnología: 355–381, doi : 10.1049 / pbpo057e_chb3 , ISBN 978-1-84919-013-8, consultado el 29 de mayo de 2021
- ^ Sistemas de detección de incendios y alarmas contra incendios , estándares británicos de BSI, doi : 10.3403 / 30266863 , consultado el 29 de mayo de 2021
- ^ Silverman, Arnold B. (noviembre de 2001). "Entrevistas de salida de los empleados: un procedimiento importante pero que con frecuencia se pasa por alto" . JOM . 53 (11): 48. Código bibliográfico : 2001JOM .... 53k..48S . doi : 10.1007 / s11837-001-0195-4 . ISSN 1047-4838 . S2CID 137528079 .
- ^ "Muchos empleados farmacéuticos deberían poder beneficiarse" . La revista farmacéutica . 2013. doi : 10.1211 / pj.2013.11124182 . ISSN 2053-6186 .
- ^ "Matriz de Control de Segregación de Funciones" . ISACA. 2008. Archivado desde el original el 3 de julio de 2011 . Consultado el 30 de septiembre de 2008 .
- ^ "Los residentes deben proteger su información privada" . JAMA . 279 (17): 1410B. 1998-05-06. doi : 10.1001 / jama.279.17.1410 . ISSN 0098-7484 .
- ^ "Sistemas de apoyo de sabiduría de grupo: agregando los conocimientos de muchos a través de la tecnología de la información" . Problemas en los sistemas de información . 2008. doi : 10.48009 / 2_iis_2008_343-350 . ISSN 1529-7314 .
- ^ "INTERDEPENDENCIAS DE LOS SISTEMAS DE INFORMACIÓN" , Lecciones aprendidas: protección de la infraestructura de información crítica , publicación de gobernanza de TI, págs. 34–37, 2018, doi : 10.2307 / j.ctt1xhr7hq.13 , ISBN 978-1-84928-958-0, consultado el 29 de mayo de 2021
- ^ "Gestión de la seguridad de la red" , Seguridad del perímetro de la red , Publicaciones de Auerbach, págs. 17–66, 27 de octubre de 2003, doi : 10.1201 / 9780203508046-3 , ISBN 978-0-429-21157-7, consultado el 29 de mayo de 2021
- ^ Kakareka, A. (2013). "Capítulo 31: ¿Qué es la evaluación de vulnerabilidades?" . En Vacca, JR (ed.). Manual de seguridad informática y de la información (2ª ed.). Elsevier. págs. 541–552. ISBN 9780123946126.
- ^ Duke, PA; Howard, IP (17 de agosto de 2012). "Procesamiento de disparidades de tamaño vertical en distintos planos de profundidad" . Revista de visión . 12 (8): 10. doi : 10.1167 / 12.8.10 . ISSN 1534-7362 . PMID 22904355 .
- ^ "Security Onion Control Scripts" , Applied Network Security Monitoring , Elsevier, págs. 451–456, 2014, doi : 10.1016 / b978-0-12-417208-1.09986-4 , ISBN 978-0-12-417208-1, consultado el 29 de mayo de 2021
- ^ "La metabolómica proporciona información valiosa para el estudio del trigo duro: una revisión" . dx.doi.org . doi : 10.1021 / acs.jafc.8b07097.s001 . Consultado el 29 de mayo de 2021 .
- ^ "Resumen" , Políticas, procedimientos y estándares de seguridad de la información , Publicaciones de Auerbach, 2001-12-20, doi : 10.1201 / 9780849390326.ch1 , ISBN 978-0-8493-1137-6, consultado el 29 de mayo de 2021
- ^ Relés de protección eléctrica. Información y requisitos para todos los relés de protección , estándares británicos de BSI, doi : 10.3403 / bs142-1 , consultado el 29 de mayo de 2021
- ^ Dibattista, Joseph D .; Reimer, James D .; Stat, Michael; Masucci, Giovanni D .; Biondi, Piera; Brauwer, Maarten De; Bunce, Michael (6 de febrero de 2019). "Información complementaria 4: Lista de todas las familias combinadas en orden alfabético asignadas en MEGAN vers. 5.11.3" . PeerJ . 7 : e6379. doi : 10.7717 / peerj.6379 / supp-4 . Consultado el 29 de mayo de 2021 .
- ^ Kim, Sung-Won (31 de marzo de 2006). "Un análisis cuantitativo de clases de clasificación y recursos de información clasificada de directorio" . Revista de Gestión de la Información . 37 (1): 83–103. doi : 10.1633 / jim.2006.37.1.083 . ISSN 0254-3621 .
- ^ a b Bayuk, J. (2009). "Capítulo 4: Clasificación de la información" . En Axelrod, CW; Bayuk, JL; Schutzer, D. (eds.). Seguridad y privacidad de la información empresarial . Casa Artech. págs. 59–70. ISBN 9781596931916.
- ^ "Bienvenido a la era de la información" , Overload! , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 43–65, 11 de septiembre de 2015, doi : 10.1002 / 9781119200642.ch5 , ISBN 978-1-119-20064-2, consultado el 29 de mayo de 2021
- ^ Crooks, S. (2006). "102. Estudio de caso: cuando los esfuerzos de control de la exposición anulan otras importantes consideraciones de diseño" . AIHce 2006 . AIHA. doi : 10,3320 / 1,2759009 .
- ^ "Modelo de negocio para la seguridad de la información (BMIS)" . ISACA . Consultado el 25 de enero de 2018 .
- ^ McAuliffe, Leo (enero de 1987). "Top secret / trade secret: Acceder y salvaguardar información restringida" . Government Information Quarterly . 4 (1): 123-124. doi : 10.1016 / 0740-624x (87) 90068-2 . ISSN 0740-624X .
- ^ Khairuddin, Ismail Mohd; Sidek, Shahrul Naim; Abdul Majeed, Anwar PP; Razman, Mohd Azraai Mohd; Puzi, Asmarani Ahmad; Yusof, Hazlina Md (25 de febrero de 2021). "Figura 7: Precisión de clasificación de cada modelo para todas las características" . PeerJ Ciencias de la Computación . 7 : e379. doi : 10.7717 / peerj-cs.379 / fig-7 . Consultado el 29 de mayo de 2021 .
- ^ "Clasificación de activos" , Fundamentos de seguridad de la información , Publicaciones de Auerbach, págs. 327–356, 2013-10-16, doi : 10.1201 / b15573-18 , ISBN 978-0-429-13028-1, consultado el 1 de junio de 2021
- ^ a b Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). "Autorizado! Acceso denegado, no autorizado! Acceso concedido" . Actas de la VI Conferencia Internacional sobre Seguridad de la Información y las Redes - SIN '13 . Sin '13. Nueva York, Nueva York, Estados Unidos: ACM Press: 363–367. doi : 10.1145 / 2523514.2523612 . ISBN 978-1-4503-2498-4. S2CID 17260474 .
- ^ a b Peiss, Kathy (2020), "El país de la mente también debe atacar" , Information Hunters , Oxford University Press, págs. 16–39, doi : 10.1093 / oso / 9780190944612.003.0003 , ISBN 978-0-19-094461-2, consultado el 1 de junio de 2021
- ^ Fugini, MG; Martella, G. (enero de 1988). "Un modelo petri-net de mecanismos de control de acceso" . Sistemas de información . 13 (1): 53–63. doi : 10.1016 / 0306-4379 (88) 90026-9 . ISSN 0306-4379 .
- ^ Tecnologías de la información. Identificación personal. Licencia de conducir compatible con ISO , estándares británicos BSI, doi : 10.3403 / 30170670u , consultado el 1 de junio de 2021
- ^ OMAR., SANTOS (2015). Guía oficial de certificación ccna security 210-260 . Prensa de Cisco. ISBN 978-1-58720-566-8. OCLC 951897116 .
- ^ "¿Qué es la afirmación?" , ASSERTION TRAINING , Abingdon, Reino Unido: Taylor & Francis, págs. 1-7, 1991, doi : 10.4324 / 9780203169186_chapter_one , ISBN 978-0-203-28556-5, consultado el 1 de junio de 2021
- ^ Doe, John (1960). "La temporada de campo en Illinois comienza el 2 de mayo" . Horizontes del suelo . 1 (2): 10. doi : 10.2136 / sh1960.2.0010 . ISSN 2163-2812 .
- ^ Leech, M. (marzo de 1996). "Autenticación de nombre de usuario / contraseña para SOCKS V5" . doi : 10.17487 / rfc1929 . Cite journal requiere
|journal=
( ayuda ) - ^ Kirk, John; Wall, Christine (2011), "Teller, Seller, Union Activist: Class Formation and Changing Bank Worker Identities" , Trabajo e identidad , Londres: Palgrave Macmillan Reino Unido, págs. 124–148, doi : 10.1057 / 9780230305625_6 , ISBN 978-1-349-36871-6, consultado el 1 de junio de 2021
- ^ Dewi, Mila Nurmala (23 de diciembre de 2020). "Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri" . Nisbah: Jurnal Perbankan Syariah . 6 (2): 75. doi : 10.30997 / jn.v6i2.1932 . ISSN 2528-6633 .
- ^ Vile, John (2013), "License Checks" , Enciclopedia de la Cuarta Enmienda , 2300 N Street, NW, Suite 800, Washington DC 20037 Estados Unidos: CQ Press, doi : 10.4135 / 9781452234243.n462 , ISBN 978-1-60426-589-7, consultado el 1 de junio de 2021Mantenimiento de CS1: ubicación ( enlace )
- ^ "Él dijo / Ella dijo" , My Ghost Has a Name , University of South Carolina Press, págs. 17–32, doi : 10.2307 / j.ctv6wgjjv.6 , ISBN 978-1-61117-827-2, consultado el 29 de mayo de 2021
- ^ Bacigalupo, Sonny A .; Dixon, Linda K .; Gubbins, Simon; Kucharski, Adam J .; Drewe, Julian A. (26 de octubre de 2020). "Información complementaria 8: métodos utilizados para controlar diferentes tipos de contacto" . PeerJ . 8 : e10221. doi : 10.7717 / peerj.10221 / supp-8 . Consultado el 1 de junio de 2021 .
- ^ M., Igelnik, Boris, 1940- Zurada, Jacek (2013). Métodos de eficiencia y escalabilidad para el intelecto computacional . ISBN 978-1-4666-3942-3. OCLC 833130899 .
- ^ "El Superbill de seguros debe tener su nombre como proveedor" , antes de ver a su primer cliente , Routledge, págs. 37–38, 2005-01-01, doi : 10.4324 / 9780203020289-11 , ISBN 978-0-203-02028-9, consultado el 1 de junio de 2021
- ^ Joe., Kissell. Tome el control de sus contraseñas . ISBN 978-1-4920-6638-5. OCLC 1029606129 .
- ^ "Nueva licencia de conducir inteligente de Queensland anunciada" . Tecnología de tarjetas hoy . 21 (7): 5. julio de 2009. doi : 10.1016 / s0965-2590 (09) 70126-4 . ISSN 0965-2590 .
- ^ Información., Laboratorio Nacional Lawrence Livermore. Estados Unidos. Departamento de Energía. Estados Unidos. Departamento de Energía. Oficina de Asuntos Científicos y Técnicos (1995). Una ingeniería humana y una evaluación ergonómica de la interfaz del panel de acceso de seguridad . Estados Unidos. Dpto. De Energía. OCLC 727181384 .
- ^ Lee, Paul (abril de 2017). "Impresiones encantadoras: cómo las huellas dactilares son pioneros en la biometría convencional" . La tecnología biométrica en la actualidad . 2017 (4): 8–11. doi : 10.1016 / s0969-4765 (17) 30074-7 . ISSN 0969-4765 .
- ^ "Two-Factor Authentication" , SpringerReference , Berlín / Heidelberg: Springer-Verlag, 2011, doi : 10.1007 / springerreference_546 , consultado el 1 de junio de 2021
- ^ "Figura 1.5. El matrimonio sigue siendo la forma más común de asociación entre parejas, 2000-07" . dx.doi.org . doi : 10.1787 / 888932392533 . Consultado el 1 de junio de 2021 .
- ^ Akpeninor, James Ohwofasa (2013). Conceptos modernos de seguridad . Bloomington, IN: AuthorHouse. pag. 135. ISBN 978-1-4817-8232-6. Consultado el 18 de enero de 2018 .
- ^ Richards, G. (abril de 2012). "Preautenticación de contraseña de un solo uso (OTP)" . doi : 10.17487 / rfc6560 . Cite journal requiere
|journal=
( ayuda ) - ^ Schumacher, Dietmar (3 de abril de 2016). "Exploración geoquímica de superficie después de 85 años: qué se ha logrado y qué más se debe hacer" . Conferencia y exposición internacional, Barcelona, España, 3 a 6 de abril de 2016 . Resúmenes de la reunión mundial de la SEG. Sociedad de Geofísicos de Exploración y Asociación Estadounidense de Geólogos del Petróleo: 100. doi : 10.1190 / ice2016-6522983.1 .
- ^ "Programa de autorización y aprobación" , Políticas y procedimientos de controles internos , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 69–72, 2015-10-23, doi : 10.1002 / 9781119203964.ch10 , ISBN 978-1-119-20396-4, consultado el 1 de junio de 2021
- ^ "¿Qué respuestas bajo qué condiciones?" , Políticas locales y el Fondo Social Europeo , Policy Press, págs. 81–102, 2019-10-02, doi : 10.2307 / j.ctvqc6hn1.12 , ISBN 978-1-4473-4652-4, consultado el 1 de junio de 2021
- ^ Cheng, Liang; Zhang, Yang; Han, Zhihui (junio de 2013). "Medir cuantitativamente los mecanismos de control de acceso en diferentes sistemas operativos" . 2013 IEEE 7th International Conference on Software Security and Reliability . IEEE: 50–59. doi : 10.1109 / sere.2013.12 . ISBN 978-1-4799-0406-8. S2CID 13261344 .
- ^ a b "control de acceso discrecional" , SpringerReference , Berlín / Heidelberg: Springer-Verlag, 2011, doi : 10.1007 / springerreference_12629 , consultado el 1 de junio de 2021
- ^ "Subunidades individuales de la función homotrímero EAAC1 transportador de glutamato independientemente entre sí" . dx.doi.org . doi : 10.1021 / bi050987n.s001 . Consultado el 1 de junio de 2021 .
- ^ Ellis., Ormrod, Jeanne (2012). Fundamentos de la psicología educativa: grandes ideas para orientar la enseñanza eficaz . Pearson. ISBN 978-0-13-136727-2. OCLC 663953375 .
- ^ Belim, SV; Bogachenko, NF; Kabanov, AN (noviembre de 2018). "Nivel de severidad de los permisos en el control de acceso basado en roles" . 2018 Dinámica de Sistemas, Mecanismos y Máquinas (Dinámica) . IEEE: 1–5. arXiv : 1812.11404 . doi : 10.1109 / dynamics.2018.8601460 . ISBN 978-1-5386-5941-0. S2CID 57189531 .
- ^ "Configuración de TACACS y TACACS extendido" , Protección y control de enrutadores Cisco , Publicaciones de Auerbach, 2002-05-15, doi : 10.1201 / 9781420031454.ch11 , ISBN 978-0-8493-1290-8, consultado el 1 de junio de 2021
- ^ "Desarrollo de políticas de seguridad efectivas" , Análisis de riesgos y selección de contramedidas de seguridad , CRC Press, págs. 261–274, 2009-12-18, doi : 10.1201 / 9781420078718-18 , ISBN 978-0-429-24979-2, consultado el 1 de junio de 2021
- ^ "El uso de pistas de auditoría para monitorear redes y sistemas clave debe seguir siendo parte de la debilidad del material de seguridad informática" . www.treasury.gov . Consultado el 6 de octubre de 2017 .
- ^ "arreglando-canadas-acceso-a-medicamentos-régimen-lo-que-necesita-saber-sobre-proyecto-de-ley-c398" . Documentos de derechos humanos en línea . doi : 10.1163 / 2210-7975_hrd-9902-0152 . Consultado el 1 de junio de 2021 .
- ^ Salazar, Mary K. (enero de 2006). "Hacer frente a riesgos inciertos: cuándo aplicar el principio de precaución" . Diario de AAOHN . 54 (1): 11-13. doi : 10.1177 / 216507990605400102 . ISSN 0891-0162 . S2CID 87769508 .
- ^ "Necesitamos saber más sobre cómo el gobierno censura a sus empleados" . Documentos de derechos humanos en línea . doi : 10.1163 / 2210-7975_hrd-9970-2016117 . Consultado el 1 de junio de 2021 .
- ^ Pournelle, Jerry (2004-04-22), "1001 Computer Words you Need to Know" , 1001 Computer Words You Need to Know , Oxford University Press, doi : 10.1093 / oso / 9780195167757.003.0007 , ISBN 978-0-19-516775-7, consultado el 13 de julio de 2021
- ^ Easttom, William (2021), "Criptografía de curva elíptica" , Criptografía moderna , Cham: Springer International Publishing, págs. 245–256, doi : 10.1007 / 978-3-030-63115-4_11 , ISBN 978-3-030-63114-7, consultado el 1 de junio de 2021
- ^ Follman, Rebecca (1 de marzo de 2014). De alguien que ha estado allí: búsqueda de información en la tutoría . Actas de IConference 2014 (Tesis). iSchools. doi : 10.9776 / 14322 . hdl : 1903/14292 . ISBN 978-0-9884900-1-7.
- ^ Weiss, Jason (2004), "Resúmenes de mensajes, códigos de autenticación de mensajes y firmas digitales" , Extensiones de criptografía de Java , Elsevier, págs. 101-118, doi : 10.1016 / b978-012742751-5 / 50012-8 , ISBN 978-0-12-742751-5, consultado el 5 de junio de 2021
- ^ Bider, D. (marzo de 2018). "Uso de claves RSA con SHA-256 y SHA-512 en el protocolo Secure Shell (SSH)" . doi : 10.17487 / rfc8332 . Cite journal requiere
|journal=
( ayuda ) - ^ No, Jaewon; Kim, Jeehyeong; Kwon, Giwon; Cho, Sunghyun (octubre de 2016). "Esquema de intercambio de claves seguras para WPA / WPA2-PSK usando criptografía de clave pública" . 2016 IEEE International Conference on Consumer Electronics-Asia (ICCE-Asia) . IEEE: 1–4. doi : 10.1109 / icce-asia.2016.7804782 . ISBN 978-1-5090-2743-9. S2CID 10595698 .
- ^ Van Buren, Roy F. (mayo de 1990). "Cómo se puede utilizar el estándar de cifrado de datos para cifrar sus archivos y bases de datos" . Revisión de ACM SIGSAC . 8 (2): 33–39. doi : 10.1145 / 101126.101130 . ISSN 0277-920X .
- ^ Bonneau, Joseph (2016), "¿Por qué comprar cuando se puede alquilar?" , Criptografía financiera y seguridad de datos , Lecture Notes in Computer Science, Berlín, Heidelberg: Springer Berlin Heidelberg, 9604 , págs. 19–26, doi : 10.1007 / 978-3-662-53357-4_2 , ISBN 978-3-662-53356-7, consultado el 5 de junio de 2021
- ^ Coleman, Heather; Andron, Jeff (2015-08-01), "Lo que los expertos en SIG y los profesionales de políticas necesitan saber sobre el uso de Marxan en procesos de planificación multiobjetivo" , Ocean Solutions, Earth Solutions , Esri Press, doi : 10.17128 / 9781589483651_2 , ISBN 978-1-58948-365-1, consultado el 5 de junio de 2021
- ^ a b "Key Encryption Key" , SpringerReference , Berlín / Heidelberg: Springer-Verlag, 2011, doi : 10.1007 / springerreference_323 , consultado el 5 de junio de 2021
- ^ Giri, Debasis; Barua, Prithayan; Srivastava, PD; Jana, Biswapati (2010), "A Cryptosystem for Encryption and Decryption of Long Confidential Messages" , Communications in Computer and Information Science , Berlín, Heidelberg: Springer Berlin Heidelberg, 76 , pp. 86–96, Bibcode : 2010isa..conf. ..86G , doi : 10.1007 / 978-3-642-13365-7_9 , ISBN 978-3-642-13364-0, consultado el 5 de junio de 2021
- ^ "Video de SPIE - la Sociedad Internacional de Óptica y Fotónica" . dx.doi.org . doi : 10.1117 / 12.2266326.5459349132001 . Consultado el 5 de junio de 2021 .
- ^ Vallabhaneni, SR (2008). Mejores Prácticas de Gestión Corporativa, Gobernanza y Ética . John Wiley e hijos. pag. 288. ISBN 9780470255803.
- ^ Shon Harris (2003). Guía de examen de certificación CISSP todo en uno (2ª ed.). Emeryville, California : McGraw-Hill / Osborne. ISBN 978-0-07-222966-0.
- ^ Boncardo, Robert (20 de septiembre de 2018). "Mallarmé de Jean-Claude Milner: nada ha sucedido" . Prensa de la Universidad de Edimburgo . 1 . doi : 10.3366 / edimburgo / 9781474429528.003.0005 .
- ^ "The Importance of Operational Due Diligence" , Hedge Fund Operational Due Diligence , Hoboken, Nueva Jersey, EE. UU .: John Wiley & Sons, Inc., págs. 49–67, 2015-10-16, doi : 10.1002 / 9781119197485.ch2 , ISBN 978-1-119-19748-5, consultado el 5 de junio de 2021
- ^ Hall, Gaylord C. (marzo de 1917). "Algunos puntos de diagnóstico importantes que el médico general debe conocer acerca de la nariz" . Revista médica del sur . 10 (3): 211. doi : 10.1097 / 00007611-191703000-00007 . ISSN 0038-4348 .
- ^ J., Renes (1999). Landschappen van Maas en Peel: een toegepast historisch-geografisch onderzoek in het streekplangebied Noord- en Midden-Limburg . Eisma. ISBN 90-74252-84-2. OCLC 782897414 .
- ^ Thomas, Brook (22 de junio de 2017). "Cuidado con los pasos anteriores tomados" . Beca de Oxford en línea . doi : 10.1093 / acprof: oso / 9780190456368.003.0002 . ISBN 978-0-19-045639-9.
- ^ autor., Lundgren, Regina E., 1959- (2018). Comunicación de riesgos: un manual para comunicar los riesgos ambientales, de seguridad y de salud . ISBN 978-1-119-45613-1. OCLC 1043389392 .
- ^ Jensen, Eric Talbot (2020-12-03), "Due Diligence in Cyber Activities" , Due Diligence in the International Legal Order , Oxford University Press, págs. 252-270, doi : 10.1093 / oso / 9780198869900.003.0015 , ISBN 978-0-19-886990-0, consultado el 5 de junio de 2021
- ^ "El Estándar de Análisis de Riesgos del Deber de Cuidado" . DoCRA . Archivado desde el original el 14 de agosto de 2018 . Consultado el 15 de agosto de 2018 .
- ^ Sutton, Adam; Cherney, Adrian; White, Rob (2008), "Evaluating Crime Prevention " , Crime Prevention , Cambridge: Cambridge University Press, págs. 70–90, doi : 10.1017 / cbo9780511804601.006 , ISBN 978-0-511-80460-1, consultado el 5 de junio de 2021
- ^ Compruebe, Erika (15 de septiembre de 2004). "La FDA considera los riesgos de los antidepresivos para los niños" . Naturaleza . doi : 10.1038 / news040913-15 . ISSN 0028-0836 .
- ^ Auckland, Cressida (16 de agosto de 2017). "Protegerme de mi directiva: garantizar las salvaguardias adecuadas para las directivas anticipadas en la demencia" . Revisión de derecho médico . 26 (1): 73–97. doi : 10.1093 / medlaw / fwx037 . ISSN 0967-0742 . PMID 28981694 .
- ^ Takach, George S. (2016), "Preparación para litigios por incumplimiento" , Preparación y respuesta ante incumplimiento de datos , Elsevier, págs. 217–230, doi : 10.1016 / b978-0-12-803451-4.00009-5 , ISBN 978-0-12-803451-4, consultado el 5 de junio de 2021
- ^ Westby, JR; Allen, JH (agosto de 2007). "Guía de implementación de Governing for Enterprise Security (GES)" (PDF) . Instituto de Ingeniería de Software . Consultado el 25 de enero de 2018 .
- ^ Fowler, Kevvie (2016), "Developing a Computer Security Incident Response Plan" , Preparación y respuesta ante filtraciones de datos , Elsevier, págs. 49–77, doi : 10.1016 / b978-0-12-803451-4.00003-4 , ISBN 978-0-12-803451-4, consultado el 5 de junio de 2021
- ^ Bisogni, Fabio (2015). "Demostrar los límites de las leyes estatales de notificación de violaciones de datos: ¿Es una ley federal la solución más adecuada?" . Diario electrónico SSRN . doi : 10.2139 / ssrn.2584655 . ISSN 1556-5068 .
- ^ "Comprensión del plan para cada pieza" , Turbo Flow , Productivity Press, págs. 21-30, 2017-07-27, doi : 10.1201 / b10336-5 , ISBN 978-0-429-24603-6, consultado el 5 de junio de 2021
- ^ "Iltanget.org" . iltanet.org . 2015.
- ^ a b Leonard, Wills (2019). Una breve guía para manejar un incidente cibernético . págs. 17-18.
- ^ Johnson, Leighton R. (2014), "Part 1. Incident Response Team" , Equipo de respuesta ante incidentes informáticos y gestión del equipo forense , Elsevier, págs. 17-19, doi : 10.1016 / b978-1-59749-996-5.00038-8 , ISBN 978-1-59749-996-5, consultado el 5 de junio de 2021
- ^ "Gestión del equipo de respuesta ante incidentes informáticos y forense" . Seguridad de la red . 2014 (2): 4. Febrero de 2014. doi : 10.1016 / s1353-4858 (14) 70018-2 . ISSN 1353-4858 .
- ^ "Cybersecurity Threat Landscape and Future Trends" , Cybersecurity , Routledge, págs. 304–343, 2015-04-16, doi : 10.1201 / b18335-12 , ISBN 978-0-429-25639-4, consultado el 5 de junio de 2021
- ^ Tecnologías de la información. Técnicas de seguridad. Gestión de incidentes de seguridad de la información , estándares británicos de BSI, doi : 10.3403 / 30268878u , consultado el 5 de junio de 2021
- ^ "Investigación de un incidente de obstrucción del paso de flujo: una nota de precaución sobre el uso de THF en el proceso continuo a escala comercial" . dx.doi.org . doi : 10.1021 / acs.oprd.9b00366.s001 . Consultado el 5 de junio de 2021 .
- ^ Turner, Tim (2011-09-07), "Nuestro comienzo: miembros del equipo que comenzaron la historia de éxito" , Un equipo en todos los niveles , Productivity Press, págs. 9–36, doi : 10.4324 / 9781466500020-2 , ISBN 978-0-429-25314-0, consultado el 5 de junio de 2021
- ^ Erlanger, León (2002). Estrategias defensivas . Revista de PC. pag. 70.
- ^ "de la calle principal de Belgrado. El evento tuvo lugar en absoluto" , Radical Street Performance , Routledge, págs. 81–83, 2013-11-05, doi : 10.4324 / 9781315005140-28 , ISBN 978-1-315-00514-0, consultado el 5 de junio de 2021
- ^ "Por qué la elección es tan importante y qué se puede hacer para preservarla" , La manipulación de la elección , Palgrave Macmillan, 2013, doi : 10.1057 / 9781137313577.0010 , ISBN 978-1-137-31357-7, consultado el 5 de junio de 2021
- ^ a b c "Guía de manejo de incidentes de seguridad informática" (PDF) . Nist.gov . 2012.
- ^ Borgström, Pernilla; Fortaleza, Joaquín; Viketoft, María; Bommarco, Riccardo (4 de abril de 2016). "Tabla S3: Resultados de modelos lineales mixtos en los que no se han eliminado los parámetros no significativos [ sic ]" . PeerJ . 4 : e1867. doi : 10.7717 / peerj.1867 / supp-3 . Consultado el 5 de junio de 2021 .
- ^ Penfold, David (2000), "Seleccionar, copiar, mover y eliminar archivos y directorios" , Módulo 2 de ECDL: Uso de la computadora y administración de archivos , Londres: Springer London, págs. 86–94, doi : 10.1007 / 978-1- 4471-0491-9_6 , ISBN 978-1-85233-443-7, consultado el 5 de junio de 2021
- ^ Onur., Gumus (2018). ÁSPID. Conceptos básicos de .NET Core 2: cree aplicaciones multiplataforma y servicios web dinámicos con este marco de aplicación web del lado del servidor . Packt Publishing Ltd. ISBN 978-1-78953-355-2. OCLC 1051139482 .
- ^ "¿Los estudiantes comprenden lo que están aprendiendo?" , Solución de problemas de su enseñanza , Routledge, págs. 36–40, 2005-02-25, doi : 10.4324 / 9780203416907-8 , ISBN 978-0-203-41690-7, consultado el 5 de junio de 2021
- ^ "¿Dónde se restauran las películas, de dónde vienen y quién las restaura?" , Restauración de película , Palgrave Macmillan, 2013, doi : 10.1057 / 9781137328724.0006 , ISBN 978-1-137-32872-4, consultado el 5 de junio de 2021
- ^ Liao, Qi; Li, Zhen; Striegel, Aaron (24 de enero de 2011). "¿Podrían las reglas de firewall ser públicas? Una perspectiva teórica del juego" . Redes de seguridad y comunicación . 5 (2): 197–210. doi : 10.1002 / seg.307 . ISSN 1939-0114 .
- ^ Nilufer., Boeckman, Philip. Greenwald, David J. Von Bismarck (2013). Duodécimo instituto anual sobre regulación de valores en Europa: superando los desafíos de negociación en los mercados actuales . Instituto de Derecho en Ejercicio. ISBN 978-1-4024-1932-4. OCLC 825824220 .
- ^ "Gráfico 1.8. El gasto en seguridad social ha ido en aumento, mientras que el autofinanciamiento ha disminuido" . dx.doi.org . doi : 10.1787 / 888932459242 . Consultado el 5 de junio de 2021 .
- ^ "Information Governance: The Crucial First Step" , Safeguarding Critical E-Documents , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., págs. 13–24, 2015-09-19, doi : 10.1002 / 9781119204909.ch2 , ISBN 978-1-119-20490-9, consultado el 5 de junio de 2021
- ^ He, Ying (1 de diciembre de 2017). "Desafíos del aprendizaje de incidentes de seguridad de la información: un estudio de caso industrial en una organización sanitaria china" (PDF) . Informática para la Salud y la Atención Social . 42 (4): 394–395. doi : 10.1080 / 17538157.2016.1255629 . PMID 28068150 . S2CID 20139345 .
- ^ Kampfner, Roberto R. (1985). "Especificación formal de los requisitos de los sistemas de información" . Tratamiento y gestión de la información . 21 (5): 401–414. doi : 10.1016 / 0306-4573 (85) 90086-x . ISSN 0306-4573 .
- ^ 1948-, Jenner, HA (Henk Arnold) (1995). Evaluación de los riesgos ecotoxicológicos de la lixiviación de elementos de las cenizas de carbón pulverizado . sn] OCLC 905474381 .CS1 maint: nombres numéricos: lista de autores ( enlace )
- ^ "Desktop Computers: Software" , Practical Pathology Informatics , Nueva York: Springer-Verlag, págs. 51–82, 2006, doi : 10.1007 / 0-387-28058-8_3 , ISBN 0-387-28057-X, consultado el 5 de junio de 2021
- ^ Wilby, RL; Orr, HG; Hedger, M .; Forrow, D .; Blackmore, M. (diciembre de 2006). "Riesgos planteados por el cambio climático para la consecución de los objetivos de la Directiva marco del agua en el Reino Unido" . Environment International . 32 (8): 1043-1055. doi : 10.1016 / j.envint.2006.06.017 . ISSN 0160-4120 . PMID 16857260 .
- ^ Campbell, T. (2016). "Capítulo 14: Desarrollo de sistemas seguros" . Gestión práctica de la seguridad de la información: una guía completa para la planificación y la implementación . Presione. pag. 218. ISBN 9781484216859.
- ^ L., Koppelman, Kent (2011). Comprender las diferencias humanas: educación multicultural para una América diversa . Pearson / Allyn y Bacon. OCLC 1245910610 .
- ^ "POST-PROCESAMIENTO" , Escena simple, Toma sensacional , Routledge, págs. 128–147, 12 de abril de 2013, doi : 10.4324 / 9780240821351-9 , ISBN 978-0-240-82135-1, consultado el 5 de junio de 2021
- ^ Kumar, Binay; Mahto, Tulsi; Kumari, Vinita; Ravi, Binod Kumar; Deepmala (2016). "Charlatanería: cómo puede resultar fatal incluso en casos aparentemente simples, un informe de caso" . Actualización médico-legal . 16 (2): 75. doi : 10.5958 / 0974-1283.2016.00063.3 . ISSN 0971-720X .
- ^ Sacerdote, Sally (22 de febrero de 2019). "Funciones y responsabilidades compartidas en la gestión del riesgo de inundaciones" . Revista de gestión del riesgo de inundaciones . 12 (1): e12528. doi : 10.1111 / jfr3.12528 . ISSN 1753-318X .
- ^ Información., Estados Unidos. Departamento de Energía. Estados Unidos. Departamento de Energía. Oficina del Inspector General. Estados Unidos. Departamento de Energía. Oficina de Asuntos Científicos y Técnicos (2009). Informe de auditoría, "Deficiencias de protección contra incendios en el laboratorio nacional de Los Alamos". . Estados Unidos. Dpto. De Energía. OCLC 727225166 .
- ^ Toms, Elaine G. (enero de 1992). "Gestión del cambio en bibliotecas y servicios de información; un enfoque de sistemas" . Tratamiento y gestión de la información . 28 (2): 281-282. doi : 10.1016 / 0306-4573 (92) 90052-2 . ISSN 0306-4573 .
- ^ Abolhassan, Ferri (2003), "The Change Management Process Implemented at IDS Scheer" , Business Process Change Management , Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 15-22, doi : 10.1007 / 978-3-540-24703-6_2 , ISBN 978-3-642-05532-4, consultado el 5 de junio de 2021
- ^ Dawson, Chris (1 de julio de 2020). Liderando el cambio de cultura . doi : 10.1515 / 9780804774673 . ISBN 9780804774673.
- ^ autor., McCormick, Douglas P. (22 de marzo de 2016). Family Inc.: utilizando principios comerciales para maximizar la riqueza de su familia . ISBN 978-1-119-21976-7. OCLC 945632737 .
- ^ Schuler, Rainer (agosto de 1995). "Algunas propiedades de conjuntos tratables bajo cada distribución computable de tiempo polinomial" . Cartas de procesamiento de información . 55 (4): 179–184. doi : 10.1016 / 0020-0190 (95) 00108-o . ISSN 0020-0190 .
- ^ "Figura 12.2. Proporción de trabajadores por cuenta propia que generalmente no tienen más de un cliente" . dx.doi.org . doi : 10.1787 / 888933881610 . Consultado el 5 de junio de 2021 .
- ^ "Servidor de archivos multiusuario para LAN DOS" . Comunicaciones informáticas . 10 (3): 153. Junio de 1987. doi : 10.1016 / 0140-3664 (87) 90353-7 . ISSN 0140-3664 .
- ^ "Defining Organizational Change" , Organizational Change , Oxford, Reino Unido: Wiley-Blackwell, págs. 21–51, 2011-04-19, doi : 10.1002 / 9781444340372.ch1 , ISBN 978-1-4443-4037-2, consultado el 5 de junio de 2021
- ^ Kirchmer, Mathias; Scheer, August-Wilhelm (2003), "Gestión del cambio: clave para la excelencia en los procesos empresariales" , Gestión del cambio en los procesos empresariales , Berlín, Heidelberg: Springer Berlin Heidelberg, págs. 1-14, doi : 10.1007 / 978-3-540-24703 -6_1 , ISBN 978-3-642-05532-4, consultado el 5 de junio de 2021
- ^ Más, Josh; Stieber, Anthony J .; Liu, Chris (2016), "Tier 2 — Advanced Help Desk — Help Desk Supervisor" , Breaking Into Information Security , Elsevier, págs. 111-113, doi : 10.1016 / b978-0-12-800783-9.00029-x , ISBN 978-0-12-800783-9, consultado el 5 de junio de 2021
- ^ "Una aplicación de redes bayesianas en la puntuación automatizada de tareas de simulación computarizada" , puntuación automatizada de tareas complejas en pruebas basadas en computadora , Routledge, págs. 212-264, 2006-04-04, doi : 10.4324 / 9780415963572-10 , ISBN 978-0-415-96357-2, consultado el 5 de junio de 2021
- ^ Kavanagh, Michael J. (junio de 1994). "Cambiar, cambiar, cambiar" . Gestión de grupos y organizaciones . 19 (2): 139–140. doi : 10.1177 / 1059601194192001 . ISSN 1059-6011 . S2CID 144169263 .
- ^ Taylor, J. (2008). "Capítulo 10: Comprensión del proceso de cambio del proyecto". Programación de proyectos y control de costos: planificación, seguimiento y control de la línea base . J. Ross Publishing. págs. 187–214. ISBN 9781932159110.
- ^ "17. Innovación y cambio: ¿Cualquiera puede hacer esto?" , Backstage in a Bureaucracy , University of Hawaii Press, págs. 87–96, 31/12/2017, doi : 10.1515 / 9780824860936-019 , ISBN 978-0-8248-6093-6, consultado el 5 de junio de 2021
- ^ autor., Braun, Adam (3 de febrero de 2015). Promesa de un lápiz: cómo una persona común puede crear un cambio extraordinario . ISBN 978-1-4767-3063-9. OCLC 902912775 .
- ^ "Describiendo el cambio intrapersonal a lo largo del tiempo" , Análisis longitudinal , Routledge, págs. 235–306, 30 de enero de 2015, doi : 10.4324 / 9781315744094-14 , ISBN 978-1-315-74409-4, consultado el 5 de junio de 2021
- ^ Carolyn., Ingraham, Patricia W. Ban (1984). Legislar el cambio burocrático: la Ley de Reforma del Servicio Civil de 1978 . Prensa de la Universidad Estatal de Nueva York. ISBN 0-87395-886-1. OCLC 10300171 .
- ^ Wei, J. (4 de mayo de 2000). "Solicitud de cambio preliminar para el anillo compatible con SNS 1.3 GeV" . doi : 10.2172 / 1157253 . OSTI 1157253 . Cite journal requiere
|journal=
( ayuda ) - ^ Chen Liang (mayo de 2011). “Gestión prioritaria de asignación de recursos hídricos agrícolas basada en la teoría del agua virtual” . 2011 Congreso Internacional de Gestión Empresarial e Información Electrónica . IEEE. 1 : 644–647. doi : 10.1109 / icbmei.2011.5917018 . ISBN 978-1-61284-108-3. S2CID 29137725 .
- ^ "Riesgos de cambio y mejores prácticas en la gestión del cambio empresarial El riesgo de cambio no gestionado conduce a problemas para la gestión del cambio" , Leading and Implementing Business Change Management , Routledge, págs. 32–74, 2013-07-18, doi : 10.4324 / 9780203073957-9 , ISBN 978-0-203-07395-7, consultado el 5 de junio de 2021
- ^ M., Bragg, Steven (2016). Mejores prácticas contables . Wiley. ISBN 978-1-118-41780-5. OCLC 946625204 .
- ^ "Un cambio exitoso requiere más que una gestión del cambio" . Compendio internacional de gestión de recursos humanos . 16 (7). 2008-10-17. doi : 10.1108 / hrmid.2008.04416gad.005 . ISSN 0967-0734 .
- ^ "Planificación de los recursos hídricos bajo el cambio climático" , Planificación espacial y cambio climático , Routledge, págs. 287–313, 2010-09-13, doi : 10.4324 / 9780203846537-20 , ISBN 978-0-203-84653-7, consultado el 5 de junio de 2021
- ^ ROWAN, JOHN (enero de 1967). "Respondiendo a la computadora" . Decisión de gestión . 1 (1): 51–54. doi : 10.1108 / eb000776 . ISSN 0025-1747 .
- ^ Biswas, Margaret R .; Biswas, Asit K. (febrero de 1981). "Cambio climático y producción de alimentos" . Agricultura y Medio Ambiente . 5 (4): 332. doi : 10.1016 / 0304-1131 (81) 90050-3 . ISSN 0304-1131 .
- ^ "backout" , SpringerReference , Berlín / Heidelberg: Springer-Verlag, 2011, doi : 10.1007 / springerreference_8663 , consultado el 5 de junio de 2021
- ^ "Consejo de asesoría y revisión editorial" , Negocios y sustentabilidad: conceptos, estrategias y cambios , Estudios críticos sobre responsabilidad corporativa, gobierno y sustentabilidad, Emerald Group Publishing Limited, 3 , pp. Xv – xvii, 2011-12-06, doi : 10.1108 / s2043-9059 (2011) 0000003005 , ISBN 978-1-78052-438-2, consultado el 5 de junio de 2021
- ^ "Donde ha estado un espejismo, la vida debe ser" , poemas nuevos y seleccionados , University of South Carolina Press, p. 103, 2014, doi : 10.2307 / j.ctv6sj8d1.65 , ISBN 978-1-61117-323-9, consultado el 5 de junio de 2021
- ^ Bell, Marvin (1983). "Dos, cuando pudo haber sido tres" . The Antioch Review . 41 (2): 209. doi : 10.2307 / 4611230 . ISSN 0003-5769 . JSTOR 4611230 .
- ^ También podemos hacer cambios ” . Documentos de derechos humanos en línea . doi : 10.1163 / 2210-7975_hrd-0148-2015175 . Consultado el 5 de junio de 2021 .
- ^ Mazikana, Anthony Tapiwa (2020). " 'El cambio es la ley de la vida. Y aquellos que miran solo al pasado o al presente seguramente se perderán el futuro: John F. Kennedy' evalúa esta declaración con referencias a organizaciones en Zimbabwe que se han visto afectadas por el cambio" . Diario electrónico SSRN . doi : 10.2139 / ssrn.3725707 . ISSN 1556-5068 .
- ^ editor., Ramanadham, VV (Venkata Vemuri), 1920-. Privatización en Reino Unido . ISBN 978-0-429-19973-8. OCLC 1085890184 .CS1 maint: texto adicional: lista de autores ( enlace )
- ^ Anónimo (2020-09-22). "Se debe implementar una reología más compleja / realista; se deben realizar pruebas de convergencia numérica" . dx.doi.org . doi : 10.5194 / gmd-2020-107-rc2 . Consultado el 5 de junio de 2021 .
- ^ 1936-, Stone, Edward. Colección Edward C. Stone . OCLC 733102101 .CS1 maint: nombres numéricos: lista de autores ( enlace )
- ^ LIENTZ, B (2002), "Desarrolle su plan de implementación de mejoras" , Achieve Lasting Process Improvement , Elsevier, págs. 151-171, doi : 10.1016 / b978-0-12-449984-3.50011-8 , ISBN 978-0-12-449984-3, consultado el 5 de junio de 2021
- ^ (PJAM), Smeets, Peter (2009). Expeditie agroparken: ontwerpend onderzoek naar metropolitane landbouw en duurzame ontwikkeling . sn] ISBN 978-90-8585-515-6. OCLC 441821141 .
- ^ "Figura 1.3. Alrededor del 50 por ciento de las recomendaciones de Going for Growth se han implementado o están en proceso de implementación" . dx.doi.org . doi : 10.1787 / 888933323735 . Consultado el 5 de junio de 2021 .
- ^ Kekes, John (2019-02-21), "¿Debe hacerse justicia a toda costa?" , Preguntas difíciles , Oxford University Press, págs. 98-126, doi : 10.1093 / oso / 9780190919986.003.0005 , ISBN 978-0-19-091998-6, consultado el 5 de junio de 2021
- ^ autor., Forrester, Kellie (2014). Implicaciones macroeconómicas de los cambios en la composición de la población activa . ISBN 978-1-321-34938-2. OCLC 974418780 .
- ^ Choudhury, Gagan L .; Rappaport, Stephen S. (octubre de 1981). "Demanda asignó múltiples sistemas de acceso utilizando canales de solicitud de tipo colisión" . Revisión de comunicación informática ACM SIGCOMM . 11 (4): 136-148. doi : 10.1145 / 1013879.802667 . ISSN 0146-4833 .
- ^ Crinson, Mark (2013). " " Ciertas cosas antiguas y hermosas, cuyo significado es abstracto, obsoleto ": James Stirling y nostalgia" . Cambia con el tiempo . 3 (1): 116-135. doi : 10.1353 / cot.2013.0000 . ISSN 2153-0548 .
- ^ Ahwidy, Mansour; Pemberton, Lyn (2016). "¿Qué cambios deben realizarse dentro del LNHS para que los sistemas de salud electrónica se implementen con éxito?" . Actas de la Conferencia Internacional sobre Tecnologías de la Información y la Comunicación para Envejecer Bien y E-Salud . SCITEPRESS - Publicaciones de ciencia y tecnología: 71–79. doi : 10.5220 / 0005620400710079 . ISBN 978-989-758-180-9.
- ^ autor., Mortimer, John, 1923-2009 (abril de 2010). El paraíso pospuesto . ISBN 978-0-14-104952-6. OCLC 495596392 .
- ^ a b Soriani, Marco (8 de abril de 2021). "La recomendación de las opiniones de los profesores sobre las preocupaciones sobre la evolución del SARS-CoV-2 no debería frenar los esfuerzos para ampliar la vacunación" . Reseñas de la naturaleza. Inmunologia . 21 (5). doi : 10.3410 / f.739855011.793584529 . Consultado el 5 de junio de 2021 .
- ^ Frampton, Michael (2014-12-26), "Processing Data with Map Reduce" , Big Data Made Easy , Berkeley, CA: Apress, págs. 85–120, doi : 10.1007 / 978-1-4842-0094-0_4 , ISBN 978-1-4842-0095-7, consultado el 5 de junio de 2021
- ^ "Buen estudio en general, pero hay que arreglar varios procedimientos" . 2016-02-23. doi : 10.5194 / hess-2015-520-rc2 . Cite journal requiere
|journal=
( ayuda ) - ^ Harrison, Kent; Craft, Walter M .; Hiller, Jack; McCluskey, Michael R. (1 de julio de 1996). "Borrador de coordinación de revisión por pares. Análisis de tareas para realizar la planificación de inteligencia (función crítica de combate 1): realizado por un grupo de trabajo de batallón" . Fort Belvoir, VA. doi : 10.21236 / ada313949 . Cite journal requiere
|journal=
( ayuda ) - ^ itpi.org Archivado el 10 de diciembre de 2013 en Wayback Machine.
- ^ "resumen de libro del manual de operaciones visibles: implementación de ITIL en 4 pasos prácticos y auditables" . wikisummaries.org . Consultado el 22 de junio de 2016 .
- ^ Bigelow, Michelle (2020-09-23), "Change Control and Change Management" , Implementing Information Security in Healthcare , HIMSS Publishing, págs. 203–214, doi : 10.4324 / 9781003126294-17 , ISBN 978-1-003-12629-4, consultado el 5 de junio de 2021
- ^ Gestión de la continuidad del negocio. Orientación sobre la recuperación de la organización después de incidentes disruptivos , BSI British Standards, doi : 10.3403 / 30194308 , consultado el 2021-06-05
- ^ 1949-, Hoanh, (Chu Thai) (1996). Desarrollo de una ayuda computarizada para la planificación integrada del uso de la tierra (cailup) a nivel regional en áreas irrigadas: un estudio de caso para la región de Quan Lo Phung Hiep en el delta del Mekong, Vietnam . ITC. ISBN 90-6164-120-9. OCLC 906763535 .CS1 maint: nombres numéricos: lista de autores ( enlace )
- ^ 1 Hibberd, Gary (2015-09-11), "Developing a BCM Strategy in Line with Business Strategy" , The Definitive Handbook of Business Continuity Management , Hoboken, Nueva Jersey, EE. UU .: John Wiley & Sons, Inc., págs. 23-30 , doi : 10.1002 / 9781119205883.ch2 , ISBN 978-1-119-20588-3, consultado el 5 de junio de 2021
- ^ Hotchkiss, Stuart. Gestión de la continuidad del negocio: en la práctica, British Informatics Society Limited, 2010. ProQuest Ebook Central, https://ebookcentral.proquest.com/lib/pensu/detail.action?docID=634527 .
- ^ "Identificación de posibles causas de fallas" , Análisis de fallas de sistemas , ASM International, págs. 25–33, 2009, doi : 10.31399 / asm.tb.sfa.t52780025 , ISBN 978-1-62708-268-6, consultado el 5 de junio de 2021
- ^ autor., Clemens, Jeffrey. Riesgos para los retornos de la innovación médica: el caso de innumerables genéticas . OCLC 919958196 .
- ^ Goatcher, Genevieve (2013), "Maximum Acceptable Outage" , Encyclopedia of Crisis Management , 2455 Teller Road, Thousand Oaks California 91320 Estados Unidos: SAGE Publications, Inc., doi : 10.4135 / 9781452275956.n204 , ISBN 978-1-4522-2612-5, consultado el 5 de junio de 2021Mantenimiento de CS1: ubicación ( enlace )
- ^ "Segment Design Tradeoffs" , Software Radio Architecture , Nueva York, EE. UU .: John Wiley & Sons, Inc., págs. 236–243, 2002-01-17, doi : 10.1002 / 047121664x.ch6 , ISBN 978-0-471-21664-3, consultado el 5 de junio de 2021
- ^ Blundell, S. (1998). "EN EMERGENCIA - Gestión integrada de incidencias, asistencia sanitaria de emergencia y vigilancia ambiental en redes de carreteras" . Seminario IEE Utilizando ITS en Transporte Público y en Servicios de Emergencia . IEE. 1998 : 9. doi : 10.1049 / ic: 19981090 .
- ^ King, Jonathan R. (enero de 1993). "Planes de contingencia y recuperación empresarial" . Gestión de sistemas de información . 10 (4): 56–59. doi : 10.1080 / 10580539308906959 . ISSN 1058-0530 .
- ^ Phillips, Brenda D .; Landahl, Mark (2021), "Fortalecimiento y prueba de su plan de continuidad empresarial" , Business Continuity Planning , Elsevier, págs. 131–153, doi : 10.1016 / b978-0-12-813844-1.00001-4 , ISBN 978-0-12-813844-1, consultado el 5 de junio de 2021
- ^ Schnurr, Stephanie (2009), "The 'Other' Side of Leadership Discourse: Humor and the Performance of Relational Leadership Activities" , Leadership Discourse at Work , Londres: Palgrave Macmillan UK, págs. 42-60, doi : 10.1057 / 9780230594692_3 , ISBN 978-1-349-30001-3, consultado el 5 de junio de 2021
- ^ Relés de tiempo especificado para uso industrial , BSI British Standards, doi : 10.3403 / 02011580u , recuperado 2021-06-05
- ^ "Ejemplo de plan y procedimiento genérico: plan de recuperación ante desastres (DRP) para operaciones / centro de datos" , violencia en el lugar de trabajo , Elsevier, págs. 253–270, 2010, doi : 10.1016 / b978-1-85617-698-9.00025-4 , ISBN 978-1-85617-698-9, consultado el 5 de junio de 2021
- ^ "Plan de recuperación de desastres de tecnología de la información" , Planificación de desastres para bibliotecas , Elsevier, págs. 187–197, 2015, doi : 10.1016 / b978-1-84334-730-9.00019-3 , ISBN 978-1-84334-730-9, consultado el 5 de junio de 2021
- ^ "El plan de recuperación ante desastres" . Sans Institute . Consultado el 7 de febrero de 2012 .
- ^ a b "Figura 1.10. Las regulaciones en el sector no manufacturero tienen un impacto significativo en el sector manufacturero" . dx.doi.org . doi : 10.1787 / 888933323807 . Consultado el 5 de junio de 2021 .
- ^ Hawaii), Congreso Mundial de Recursos Hídricos y Medioambientales (2008: Honolulu (2008). Ahupua'a [recurso electrónico]: Congreso Mundial de Recursos Hídricos y Medioambientales 2008, 12-16 de mayo de 2008, Honolulu, Hawai'i . Sociedad Estadounidense de Ingenieros Civiles. ISBN 978-0-7844-0976-3. OCLC 233033926 .
- ^ Commons., Gran Bretaña. Parlamento. Casa de (2007). Protección de datos [HL] Un proyecto de ley [enmendado en el comité permanente d] instituyó una ley para establecer una nueva disposición para la regulación del procesamiento de información relacionada con individuos, incluyendo la obtención, tenencia, uso o divulgación de dicha información . Proquest LLC. OCLC 877574826 .
- ^ "Protección de datos, acceso a la información personal y protección de la privacidad" , Gobierno y derechos de la información: la ley relativa al acceso, la divulgación y su regulación , Bloomsbury Professional, 2019, doi : 10.5040 / 9781784518998.chapter-002 , ISBN 978-1-78451-896-7, consultado el 5 de junio de 2021
- ^ Lehtonen, Lasse A. (2017-07-05), "Genetic Information and the Data Protection Directive of the European Union" , The Data Protection Directive and Medical Research Across Europe , Routledge, pp. 103-112, doi : 10.4324 / 9781315240350 -8 , ISBN 978-1-315-24035-0, consultado el 5 de junio de 2021
- ^ "Ley de Protección de Datos de 1998" . legislación.gov.uk . Los Archivos Nacionales . Consultado el 25 de enero de 2018 .
- ^ "Ley de uso indebido de computadoras de 1990" , Estatutos de derecho penal 2011-2012 , Routledge, págs. 114-118, 2013-06-17, doi : 10.4324 / 9780203722763-42 , ISBN 978-0-203-72276-3, consultado el 5 de junio de 2021
- ^ Dharmapala, Dhammika; Hines, James (diciembre de 2006). "¿Qué países se convierten en paraísos fiscales?" . Cambridge, MA. doi : 10.3386 / w12802 . Cite journal requiere
|journal=
( ayuda ) - ^ "Figura 1.14. Las tasas de participación han aumentado, pero el crecimiento de la fuerza laboral se ha desacelerado en varios países" . dx.doi.org . doi : 10.1787 / 888933367391 . Consultado el 5 de junio de 2021 .
- ^ "Ley de uso indebido de computadoras de 1990" . legislación.gov.uk . Los Archivos Nacionales . Consultado el 25 de enero de 2018 .
- ^ "Directiva 2006/24 / CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006" . EUR-Lex . Unión Europea . Consultado el 25 de enero de 2018 .
- ^ "Defamation, Student Records, and the Federal Family Education Rights and Privacy Act" , Ley de educación superior , Routledge, págs. 361–394, 2010-12-14, doi : 10.4324 / 9780203846940-22 , ISBN 978-0-203-84694-0, consultado el 5 de junio de 2021
- ^ a b "Las escuelas de Alabama reciben subvención NCLB para mejorar el rendimiento estudiantil" . Conjunto de datos PsycEXTRA . 2004. doi : 10.1037 / e486682006-001 . Consultado el 5 de junio de 2021 .
- ^ Karen., Turner-Gottschang (1987). Con destino a China: una guía para la vida académica y el trabajo en la República Popular China: para el Comité de Comunicación Académica con la República Popular de China, Academia Nacional de Ciencias, Consejo Estadounidense de Sociedades Estudiosas, Consejo de Investigación en Ciencias Sociales . Prensa de la Academia Nacional. ISBN 0-309-56739-4. OCLC 326709779 .
- ^ Codificado en 20 USC § 1232g , con regulaciones de implementación en el título 34, parte 99 del Código de Regulaciones Federales
- ^ "Cuaderno de auditoría" . Manual de examen de tecnología de la información . FFIEC . Consultado el 25 de enero de 2018 .
- ^ Ray, Amy W. (2004), "Health Insurance Portability and Accountability Act (HIPAA)" , Encyclopedia of Health Care Management , 2455 Teller Road, Thousand Oaks California 91320 Estados Unidos: SAGE Publications, Inc., doi : 10.4135 / 9781412950602. n369 , ISBN 978-0-7619-2674-0, consultado el 5 de junio de 2021Mantenimiento de CS1: ubicación ( enlace )
- ^ "Ley Pública 104 - 191 - Ley de Portabilidad y Responsabilidad de los Seguros de Salud de 1996" . Oficina de Publicaciones del Gobierno de EE . UU . Consultado el 25 de enero de 2018 .
- ^ "Ley Pública 106 - 102 - Ley Gramm-Leach-Bliley de 1999" (PDF) . Oficina de Publicaciones del Gobierno de EE . UU . Consultado el 25 de enero de 2018 .
- ^ Alase, Abayomi Oluwatosin. El impacto de la Ley Sarbanes-Oxley (SOX) en las pequeñas empresas que cotizan en bolsa y sus comunidades (Tesis). Biblioteca de la Universidad del Noreste. doi : 10.17760 / d20204801 .
- ^ Solís, Lupita. Tendencias educativas y profesionales de los directores financieros (tesis). Biblioteca de la Universidad Estatal de Portland. doi : 10.15760 / honores 763 .
- ^ "Ley Pública 107 - 204 - Ley Sarbanes-Oxley de 2002" . Oficina de Publicaciones del Gobierno de EE . UU . Consultado el 25 de enero de 2018 .
- ^ "PCI DSS Glosario, abreviaturas y acrónimos" , pago con tarjeta de Manual Datos de la Industria de seguridad estándar , Hoboken, Nueva Jersey, EE.UU.: John Wiley & Sons, Inc., pp 185-199, 18.9.2015,. Doi : 10.1002 / 9781119197218 .gloss , ISBN 978-1-119-19721-8, consultado el 5 de junio de 2021
- ^ "Desglose de PCI (objetivos de control y estándares asociados)" , Manual de normas de seguridad de datos de la industria de tarjetas de pago , Hoboken, Nueva Jersey, EE. UU.: John Wiley & Sons, Inc., p. 61, 18-09-2015, doi : 10.1002 / 9781119197218.part2 , ISBN 978-1-119-19721-8, consultado el 5 de junio de 2021
- ^ Ravallion, Martin; Chen, Shaohua (agosto de 2017). "Medidas de pobreza mundial coherentes con el bienestar" . Cambridge, MA. doi : 10.3386 / w23739 . Cite journal requiere
|journal=
( ayuda ) - ^ "Estándar de seguridad de datos de la industria de tarjetas de pago (PCI): requisitos y procedimientos de evaluación de seguridad - Versión 3.2" (PDF) . Consejo de Normas de Seguridad. Abril de 2016 . Consultado el 25 de enero de 2018 .
- ^ "Leyes de notificación de infracciones de seguridad" . Conferencia Nacional de Legislaturas Estatales. 12 de abril de 2017 . Consultado el 25 de enero de 2018 .
- ^ editor., Stein, Stuart G., editor. Schaberg, Richard A., editor. Biddle, Laura R. (23 de junio de 2015). Libro de respuestas de instituciones financieras, 2015: derecho, gobernanza, cumplimiento . ISBN 978-1-4024-2405-2. OCLC 911952833 .CS1 maint: texto adicional: lista de autores ( enlace )
- ^ "Información personal y protección de datos" , Protección de la información personal , Hart Publishing, 2019, doi : 10.5040 / 9781509924882.ch-002 , ISBN 978-1-5099-2485-1, consultado el 5 de junio de 2021
- ^ Canadá. (2000). Capítulo 5. Una ley para apoyar y promover el comercio electrónico mediante la protección de la información personal que se recopila, utiliza o divulga en determinadas circunstancias, al disponer el uso de medios electrónicos para comunicar o registrar información o transacciones y al enmendar la Ley de Evidencia de Canadá, el Ley de Instrumentos Estatutarios y Ley de Revisión de Estatutos . Impresora de Queen para Canadá. OCLC 61417862 .
- ^ "Comentarios" . Revisión de la ley de estatutos . 5 (1): 184–188. 1984. doi : 10.1093 / slr / 5.1.184 . ISSN 0144-3593 .
- ^ "Ley de Protección de la Información Personal y Documentos Electrónicos" (PDF) . Ministro de Justicia de Canadá . Consultado el 25 de enero de 2018 .
- ^ Werner, Martin (11 de mayo de 2011). "Comunicación protegida por privacidad para servicios basados en la ubicación" . Redes de seguridad y comunicación . 9 (2): 130-138. doi : 10.1002 / seg . 330 . ISSN 1939-0114 .
- ^ "Reglamento para el aseguramiento de la confidencialidad en las comunicaciones electrónicas" (PDF) . Gaceta del Gobierno de la República Helénica . Autoridad helénica para la seguridad y privacidad de las comunicaciones. 17 de noviembre de 2011 . Consultado el 25 de enero de 2018 .
- ^ de Guise, Preston (2020-04-29), "Seguridad, privacidad, consideraciones éticas y legales" , Protección de datos , Publicaciones de Auerbach, págs. 91–108, doi : 10.1201 / 9780367463496-9 , ISBN 978-0-367-46349-6, consultado el 5 de junio de 2021
- ^ "Αριθμ. Απόφ. 205/2013" (PDF) . Gaceta del Gobierno de la República Helénica . Autoridad helénica para la seguridad y privacidad de las comunicaciones. 15 de julio de 2013 . Consultado el 25 de enero de 2018 .
- ^ https://securitycultureframework.net (9 de abril de 2014). "Definición de Cultura de Seguridad" . El marco de la cultura de seguridad .
- ^ Roer, Kai; Pétric, Gregor (2017). Informe de cultura de seguridad de 2017: información detallada sobre el factor humano . CLTRe North America, Inc. págs. 42–43. ISBN 978-1544933948.
- ^ Akhtar, Salman, ed. (21 de marzo de 2018). Buenos sentimientos . doi : 10.4324 / 9780429475313 . ISBN 9780429475313.
- ^ Anderson, D., Reimers, K. y Barretto, C. (marzo de 2014). Seguridad de la red de educación postsecundaria: Resultados de abordar el desafío del usuario final Fecha de publicación 11 de marzo de 2014 descripción de la publicación INTED2014 (Conferencia internacional sobre tecnología, educación y desarrollo)
- ^ a b Schlienger, Thomas; Teufel, Stephanie (diciembre de 2003). "Cultura de seguridad de la información: del análisis al cambio". Sociedad Sudafricana de Computación (SAICSIT) . 2003 (31): 46–52. hdl : 10520 / EJC27949 .
- ^ "Marco de habilidades de IISP" .
- ^ "Estándares BSI" . BSI . Consultado el 29 de noviembre de 2013 .
Otras lecturas
- Anderson, K., "Los profesionales de seguridad de TI deben evolucionar para un mercado cambiante ", Revista SC , 12 de octubre de 2006.
- Aceituno, V., "On Information Security Paradigms", ISSA Journal , septiembre de 2005.
- Dhillon, G., Principios de seguridad de los sistemas de información: texto y casos , John Wiley & Sons , 2007.
- Easttom, C. , Fundamentos de seguridad informática (segunda edición) Pearson Education , 2011.
- Lambo, T., "ISO / IEC 27001: El futuro de la certificación infosec", ISSA Journal , noviembre de 2006.
- Dustin, D., " Conciencia de cómo se utilizan sus datos y qué hacer al respecto ", "Blog de CDR", mayo de 2017.
Bibliografía
- Allen, Julia H. (2001). La Guía CERT de prácticas de seguridad de sistemas y redes . Boston, MA: Addison-Wesley. ISBN 978-0-201-73723-3.
- Krutz, Ronald L .; Russell Dean Vines (2003). La guía de preparación CISSP (Gold ed.). Indianápolis, IN: Wiley. ISBN 978-0-471-26802-4.
- Layton, Timothy P. (2007). Seguridad de la información: diseño, implementación, medición y cumplimiento . Boca Raton, FL: Publicaciones de Auerbach. ISBN 978-0-8493-7087-8.
- McNab, Chris (2004). Evaluación de la seguridad de la red . Sebastopol, CA: O'Reilly. ISBN 978-0-596-00611-2.
- Peltier, Thomas R. (2001). Análisis de riesgos de seguridad de la información . Boca Raton, FL: Publicaciones de Auerbach. ISBN 978-0-8493-0880-2.
- Peltier, Thomas R. (2002). Políticas, procedimientos y estándares de seguridad de la información: pautas para una gestión eficaz de la seguridad de la información . Boca Raton, FL: Publicaciones de Auerbach. ISBN 978-0-8493-1137-6.
- White, Gregory (2003). Guía del examen de certificación y seguridad todo en uno . Emeryville, CA: McGraw-Hill / Osborne. ISBN 978-0-07-222633-1.
- Dhillon, Gurpreet (2007). Principios de seguridad de los sistemas de información: texto y casos . Nueva York: John Wiley & Sons. ISBN 978-0-471-45056-6.
enlaces externos
- Cuadro de políticas de DoD IA en el sitio web del DoD Information Assurance Technology Analysis Center.
- patrones y prácticas Explicación de la ingeniería de seguridad
- Arquitectura de seguridad abierta: controles y patrones para proteger los sistemas de TI
- IWS - Capítulo de seguridad de la información
- Libro de Ross Anderson "Ingeniería de seguridad"