ü Seguretat
ü Confidencialitat
ü Seguretat
En la seguretat de la informació és important assenyalar que
el seu maneig està basat a la tecnologia i devem saber que pot ser
confidencial: la informació està centralitzada i pot tenir un alt valor.
Pot
ser divulgada, malament utilitzada, ser robada, esborrada o sabotejada. Això
afecta la seva disponibilitat i la posa en risc. La informació és poder, i
segons les possibilitats estratègiques que ofereix tenir accés a certa
informació, aquesta es classifica com:
Crítica: És indispensable per a l'operació de l'empresa.
Valuosa: És un actiu de l'empresa i molt valuós.
Sensible: Deu ser coneguda per les persones autoritzades
.jpg)
Existeixen dues paraules molt importants que són risc i
seguretat:
Risc: És la materialització de vulnerabilitats
identificades, associades amb la seva probabilitat d'ocurrència, amenaces
exposades, així com l'impacte negatiu que ocasioni a les operacions de negoci.
Seguretat: És una forma de protecció contra els riscos.
La seguretat de la informació comprèn diversos aspectes
entre ells la disponibilitat, comunicació, identificació de problemes, anàlisis
de riscos, la integritat, confidencialitat, recuperació dels riscos.
Precisament la reducció o eliminació de riscos associat a
una certa informació és l'objecte de la seguretat de la informació i la
seguretat informàtica. Més concretament, la seguretat de la informació té com a
objecte els sistemes l'accés, ús, divulgació, interrupció o destrucció no
autoritzada d'informació.1 Els termes seguretat de la informació, seguretat
informàtica i garantia de la informació són usats freqüentment com a sinònims
perquè tots ells persegueixen una mateixa finalitat en protegir la
confidencialitat, integritat i disponibilitat de la informació. No obstant
això, no són exactament el mateix existint algunes diferències subtils.
Aquestes diferències radiquen principalment en l'enfocament, les metodologies
utilitzades, i les zones de concentració. A més, la seguretat de la informació
involucra la implementació d'estratègies que cobreixin els processos on la
informació és l'actiu primordial. Aquestes estratègies han de tenir com a punt
primordial l'establiment de polítiques, controls de seguretat, tecnologies i procediments
per detectar amenaces que puguin explotar vulnerabilitats i que posin en risc
aquest actiu, és a dir, que ajudin a protegir i salvaguardar tant informació
com els sistemes que l'emmagatzemen i administren. La seguretat de la
informació incumbeix a governs, entitats militars, institucions financeres, els
hospitals i les empreses privades amb informació confidencial sobre els seus
empleats, clients, productes, investigació i la seva situació financera.
En cas que la informació confidencial d'una empresa, els
seus clients, les seves decisions, el seu estat financer o nova línia de
productes caiguin en mans d'un competidor; es torni pública de forma no
autoritzada, podria ser causa de la pèrdua de credibilitat dels clients, pèrdua
de negocis, demandes legals o fins i tot la fallida de la mateixa.
Per més de vint anysla Seguretat de la Informació ha
declarat que la confidencialitat, integritat i disponibilitat (coneguda com
laTríada CIA, de l'anglès: "Confidentiality, Integrity,
Availability") són els principis bàsics de la seguretat de la informació.
La correcta Gestió de la Seguretat de la Informació busca
establir i mantenir programes, controls i polítiques, que tinguin com a
finalitat conservar la confidencialitat, integritat i disponibilitat de la
informació, si alguna d'aquestes característiques falla no estem davant res
segur. Cal anotar, a més, que la seguretat no és cap fita, és més aviat un
procés continu que cal gestionar coneixent sempre les vulnerabilitats i les
amenaces que se cenyeixen sobre qualsevol informació, tenint sempre en compte les
causes de risc i la probabilitat que ocorrin, així com l'impacte que pot tenir.
Una vegada coneguts tots aquests punts, i mai abans, hauran de prendre's les
mesures de seguretat oportunes.
ü Confidencialitat
.jpg)
es garanteix que està accessible únicament a personal
autoritzat a accedir a aquesta informació. La confidencialitat ha estat definida per l'Organització Internacional d'Estandardització (ISO) en la norma ISO/IEC 27002 com "garantir que la informació és accessible només per a aquells autoritzats a tenir accés" i és una de les pedres angulars de la seguretat de la informació. La confidencialitat és un dels objectius de disseny de molts criptosistemas, feta possible en la pràctica gràcies a les tècniques de criptografíamoderna.
La confidencialitat també es refereix a un principi ètic
associat amb diverses professions (per exemple, medicina, dret, religió,
psicologia professional, i el periodisme); en aquest cas, es parla de secret
professional. En ètica, i (en alguns llocs) en Dret, concretament en judicis i
altres formes de resolució de conflictes legals, tals com la mediació, alguns
tipus de comunicació entre una persona i un d'aquests professionals són
"privilegiats" i no poden ser discutits o divulgats a tercers. En les
jurisdiccions en què la llei preveu la confidencialitat, en general hi ha
sancions per la seva violació.
La confidencialitat de la informació, imposada en una
adaptació del principi clàssic militar "need-to-know", constitueix la
pedra angular de la seguretat de la informació en corporacions d'avui dia.
L'anomenada "bombolla de confidencialitat" restringeix els fluxos
d'informació, amb conseqüències tant positives com a negatives.
Confidencialitat en Informàtica
La confidencialitat s'entén en l'àmbit de la seguretat
informàtica, com la protecció de dades i d'informació intercanviada entre un
emissor i un o més destinataris enfront de tercers. Això ha de fer-se
independentment de la seguretat del sistema de comunicació utilitzat: de fet,
un assumpte de gran interès és el problema de garantir la confidencialitat de
la comunicació utilitzat quan el sistema és inherentment insegur (com a
Internet).
En un sistema que garanteixi la confidencialitat, un tercer
que entra en possessió de la informació intercanviada entre el remitent i el
destinatari no és capaç d'extreure cap contingut intel·ligible.
Per garantir-la s'utilitzen mecanismes de xifrat i d'ocultació
de la comunicació. Digitalment es pot mantenir la confidencialitat d'un
document amb l'ús de claus asimètriques. Els mecanismes de xifrat garanteixen
la confidencialitat durant el temps necessari per desxifrar el missatge. Per
aquesta raó, és necessari determinar durant quant temps el missatge ha de
seguir sent confidencial. No existeix cap mecanisme de seguretat absolutament
segur.
TUTORIAL: COPIA DE SEGURETAT I CONFIDENCIALITAT
No hay comentarios:
Publicar un comentario