segurtasun-neurri

segurtasun-neurri

SARRERA DESBERDINA:

Informazioaren segurtasun

Informazioa babesteko erabiltzen diren neurri prebentibo eta erreaktiboak zehazten dute informazioaren segurtasuna kontzeptua. Neurri horiek informazioaren konfidentzialtasuna, erabilgarritasuna eta datuen osotasuna mantentzeko erabiltzen dira.
Informazioaren segurtasunaren aurka dauden mehatxuak modu desberdinetan agertu daitezke. Gaur egun mehatxu ohikoenak software erasoak, jabetza intelektualaren lapurreta, identitate lapurreta, ekipamendu edo informazio lapurreta, sabotajea eta estortsioa izan daitezke.
Jende askok uste du inoiz ez dela izango honelako atake baten helburu, baina egia esan ziur aski gehienok izan gara noizbait birus, har, Troiako zaldi edo phising atake baten biktima.
Enpresak izaten dira jabetza intelektualaren lapurreten ohiko biktimak, baita ekipamendu eta informazio lapurretenak ere, bereziki, kontutan izanda gaur egun tresna gehienak mugikorrak direla.
Enpresak eta instituzioak izaten dira sabotajeen helburu, horretarako webguneak suntsitzea edo bezeroei sarrera galaraztea izaten dira ohikoenak.
Pertsonen kontrako atakerik larrienak identitate lapurretak dira. Horrek aukera ematen dio lapurrari biktimaren izenean aritzeko onuraren bat lortzeko.
Bestalde, azken garai honetan ramsomware atakeak ugaritu egin dira. Atake hauetan biktimari tresna informatikoa edo informazioa bahitzen diote eta berreskuratzeko erreskate bat ordaindu behar da. Normalean iruzurra izaten da eta naiz eta ordaindu ekipoa edo/ta informazioa ez dira normalean berreskuratzen.
Arrisku, mehatxu eta atake hauei aurre egiteko eta beraien eragina arintzeko gauza ugari egin daitezke: ahuleziak ekiditeko sistema eguneratuta mantendu, neurriak hartu atakeak blokeatzeko, eta abar.
Informazioaren segurtasunaren arloa asko hazi da azken urte hauetan eta ikasi eta lanean aritzeko arlo ugari eskaintzen ditu, edo ta: azpiegituren eta sareen segurtasuna, aplikazio eta datu-baseen segurtasuna, segurtasun testak, informazio sistemen auditoria, negozioen jarduerak jarraitzeko planak edo forentsea.
Informazioaren segurtasunaren helburua ez da soilik mehatxuak saihestea edo kalteak minimizatzea, baizik eta arriskuak proaktiboki kudeatzea eta ingurune seguru bat sortzea, non informazioaren fluxuak modu kontrolatuan gertatzen diren. Horretarako, informazioaren segurtasuna hiru zutabetan oinarritzen da:
[aldatu | aldatu iturburu kodea] Gaur egun, digitalizazioak eta telelana bezalako joerek informazioaren segurtasunean arrisku berriak sortu dituzte:
[aldatu | aldatu iturburu kodea] Informazioaren segurtasuna bermatzeko, ezinbestekoa da neurri teknikoak eta antolamenduzkoak uztartzea:
[aldatu | aldatu iturburu kodea] Norbanakoek ere hainbat praktika erabil ditzakete segurtasuna bermatzeko:
[aldatu | aldatu iturburu kodea]
[aldatu | aldatu iturburu kodea] •ISO/IEC 27000-sèries
•ISO/IEC 27001:
ISO/IEC 27001 nazioarteko estandar bat da, eta etengabe ezarri, inplementatu, mantendu eta hobetzeko baldintzak zehazten ditu, Informazioaren Segurtasuna Kudeatzeko Sistema (ISKS). Estandar horrek informazioa sistematikoki eta eraginkortasunez babesten laguntzen die erakundeei, eta hainbat arrisku jorratzen ditu, hala nola baimenik gabeko sarbidea, datuen galera eta segurtasun-arrailak.
Ezaugarri nagusiak:
1. Helburua: Informazioaren konfidentzialtasuna, osotasuna eta erabilgarritasuna bermatzea.
2. Egitura: PDCA (Planifikatu, Egin, Egiaztatu, Jardun) zikloan oinarritzen da, etengabeko hobekuntza sustatuz.
3. Irismena: Edozein erakunderi aplikatzen zaio, haren tamaina, sektorea edo kokapena edozein izanda ere.
Osagai nagusiak:
1. Arriskuen azterketa: Mehatxuak eta kalteberatasunak identifikatzea, beharrezko kontrol-neurriak zehazteko.
2. Segurtasun-kontrolak: 114 kontrol ditu, 14 eremutan banatuta, hala nola sarbide-kudeaketa, segurtasun fisikoa eta negozioaren jarraitutasuna (arauaren A eranskinean oinarrituta).
3. Legea betetzea**: Erakundeak aplikatu beharreko legeak eta araudiak betetzen dituela ziurtatzen du.
Onurak:
1. Datu sentikorren babesa: Segurtasuna hobetzen du zibererasoen edo informazio-ihesen aurrean.
2. Bezeroaren konfiantza: Erakundearen ospea indartzen du segurtasunarekiko konpromisoa erakustean.
3. Araudia betetzea: Lege- eta erregulazio-betekizunekin lerrokatzeko laguntza.
4. Lehia-abantaila: Funtsezko bereizlea izan daiteke lizitazio eta kontratuetan.
Estandar hori erakunde independenteek ziurtatzen dute, eta ziurtagiria lortzeak erakusten du erakundeak jardunbide egokienak jarraitzen dituela informazioaren segurtasunaren kudeaketan.
•ISO/IEC 27002:
ISO/IEC 27002 estandarra ISO/IEC 27001 estandarraren osagarria da, eta informazioaren segurtasuna kudeatzeko sistema (SGSI) batean ezarri behar diren informazioaren segurtasun-kontrolei buruzko jarraibide zehatzak emateko diseinatuta dago. ISO 27001 sistemak ISKS baterako baldintzak ezartzen dituen bitartean, ISO 27002 sistemak kontrol espezifikoak aukeratzeko eta ezartzeko jardunbide eta gomendio onenak eskaintzen ditu.
Ezaugarri nagusiak:
Ikuspegi praktikoa: ISO 27002 ez da estandar ziurtagarria; ISO 27001 arauaren A eranskinean deskribatutako kontrolak aplikatzeko gida gisa erabiltzen da.
Kontrolak antolatzea: Adibideak, deskribapenak eta helburuak ematen ditu, erakundeei kontrolak beren beharren arabera egokitzen laguntzeko.
Egitura (bertsio berrienean oinarritua, 2022koa):
93 kontrol biltzen dituzten 4 gai nagusitan antolatzen da:
Antolamendu-kontrolak: segurtasun-politikak, rolak, arriskuen kudeaketa eta araudia betetzea.
Pertsonen kontrolak: trebakuntza, segurtasunaren gaineko kontzientziazioa eta nortasunaren kudeaketa.
Kontrol fisikoak: Segurtasuna instalazioetara sartzean, hondamendien aurkako babesa, eta eremu seguruak.
Kontrol teknologikoak: Sarbideen kudeaketa, kriptografia, iragaitzazko datuen babesa, eta etengabeko monitorizazioa.
Kontrolen adibidea:
Sarbideen kudeaketa: Sistemetarako eta datuetarako sarbidea soilik baimendutako langileei mugatzea.
Sareko segurtasuna: Komunikazioak firewall-en eta protokolo seguruen bidez ziurtatzea.
Datuak zifratzea: Informazio sentikorra algoritmo kriptografiko sendoen bidez babestea.
[aldatu | aldatu iturburu kodea]
[aldatu | aldatu iturburu kodea]
[aldatu | aldatu iturburu kodea]
[aldatu | aldatu iturburu kodea]
[aldatu | aldatu iturburu kodea]
[aldatu | aldatu iturburu kodea]
[aldatu | aldatu iturburu kodea]
Konfidentzialtasuna: Informazioa baimendu gabeko pertsonek eskuratzea ekiditea.
Osotasuna: Informazioa zehatza eta aldatu gabe mantentzea, baimendu gabeko manipulazioetatik babestuta.
Erabilgarritasuna: Informazioa eskuragarri egotea behar denean, behar dutenentzat
↑ Joshi, Chanchala; Singh, Umesh Kumar. (2017-08-01). «Information security risks management framework – A step towards mitigating security risks in university network» Journal of Information Security and Applications 35: 128–137.  doi:10.1016/j.jisa.2017.06.006. ISSN 2214-2126. (Noiz kontsultatua: 2023-12-20).
↑ (Ingelesez) Archives, The National. (2016-12-14). «The National Archives - An introduction to information risk» The National Archives blog (Noiz kontsultatua: 2023-12-20).