Securitatea informației

Securitatea informației se ocupă cu protejarea informației și sistemelor informatice, de accesul neautorizat, folosirea, dezvăluirea, întreruperea, modificarea sau distrugerea lor.


ISO/IEC27002/2013 tratează securitatea informațiilor prin cele trei componente principale: confidențialitatea, integritatea și disponibilitatea.[1] Confidențialitatea este asigurată prin criptarea informației. Integritatea se obține prin mecanisme și algoritmi de dispersie. Disponibilitatea se asigură prin întărirea securității rețelei sau rețelelor de sisteme informatice și asigurarea de copii de siguranță.

Securitatea informațiilor este un set de practici concepute pentru a proteja datele.

Securitatea informațiilor nu se limitează la sistemele informatice sau la informațiile în forma lor digitală sau electronică. Dimpotrivă, se aplică tuturor aspectelor legate de siguranța, securitatea și protecția datelor sau a informațiilor, indiferent de forma acestora.

DefinițieModificare

Majoritatea definițiilor securității informațiilor tind să vizeze, uneori exclusiv, utilizări specifice sau anumite categorii de media. De fapt, securitatea informațiilor nu poate fi definită ca fiind sinonimă cu securitatea informatică, cu securitatea sistemelor și a rețelelor, cu securitatea tehnologiilor informației, cu a sistemelor informatice sau a tehnologiei informației și a comunicațiilor.

Fiecare dintre aceste expresii se referă la un subiect diferit, chiar dacă punctul comun se referă la securitatea informației în unele dintre formele sale (aici vorbim de varianta ei electronică): prin urmare, toate sunt subdomenii ale securității informației.

IstoricModificare

Epoca romanăModificare

Securitatea informației își are originile în lumea militară. Încă din timpul lui Iulius Cezar, generalii militari erau conștienți că trebuia protejată confidențialitatea și fiabilitatea comunicațiilor lor și a informațiilor transmise. Pentru a asigura securitatea comunicațiilor au fost puse în aplicare primele forme de criptografie (folosind codul lui Cezar), proceduri stricte precum și securitate fizică (supraveghere).

Secolul al XIX-leaModificare

Pe la mijlocul secolului al XIX-lea, au fost dezvoltate primele sisteme de clasificare pentru a împărți informațiile, în funcție de sensibilitatea lor, în clase diferite care trebuiau protejate prin diferite măsuri. Primul și al Doilea Război Mondial au dat un impuls, accelerând procesul de securizare a informațiilor prin criptografia off-line, securitatea fizică și proceduri stricte, precum și prin utilizarea mașinilor electromecanice portabile pentru criptarea și decriptarea informațiilor (cum ar fi Enigma).

Secolul al XX-leaModificare

La sfârșitul secolului XX, informațiile s-au dezvoltat tot mai mult în format digital, ceea ce a dus la noi constrângeri în ceea ce privește securitatea lor. Pentru a asigura securitatea informatică sau securitatea cibernetică au fost puse în aplicare măsurile TEMPEST, securitatea rețelei (de exemplu, Firewall-uri), criptare online (de ex. VPN), controlul identității și al accesului, precum și dezvoltarea criptării cheilor, un principiu dezvoltat de Auguste Kerckhoffs, folosit acum sub formă de criptare simetrică și criptare asimetrică.

Secolul XXIModificare

               În secolul XXI, majoritatea organizațiilor dispun de un sistem informatic conectat la Internet și fac schimb de informații prin intermediul acestuia. Informațiile pot fi făcute să treacă printr-o interconexiune de rețele. În consecință, această interconectare este cu atât mai expusă riscurilor de malware din partea celor care vor să intre în posesia informațiilor sensibile,  acționând din interior (copierea informațiilor, utilizarea codului cu rea intenție) sau din exterior.

               În consecință, pentru contracararea acestor riscuri securitatea informațiilor impune dezvoltarea unor concepte precum etichetarea datelor, criptarea cu chei publice (PKI) și securitatea pe mai multe niveluri (MLS).

               Pe lângă problemele legate de conectarea rețelelor, este din ce în ce mai ușor să se deplaseze cantități mari de informații (și acest lucru într-un mod relativ dificil de detectat în cazul piratării), dar și să se transporte fizic prin stick-uri USB sau carduri de memorie.

               Prin urmare, sistemele informatice care conțin informații sensibile sunt concepute din ce în ce mai mult ca un mediu de System high mode, în multe cazuri sub forma unor rețele separate fără conexiune cu alte rețele și fără porturi USB.

Criterii de sensibilitateModificare

Trei criterii de sensibilitate a informațiilor sunt acceptate în mod obișnuit: Disponibilitate, Integritate și Confidențialitate.

Un al patrulea este de asemenea utilizat destul de frecvent (sub nume diferite): Trasabilitate, Responsabilitate, Audabilitate (cu referire la auditurile informatice) sau Dovadă.

Mai este utilizat și un al cincilea criteriu: Non-repudierea, care asigură schimburile de mesaje între expeditor și destinatar.

AmenințăriModificare

               Amenințările la adresa securității informatice sunt prezente sub mai multe forme. Unele dintre cele mai frecvente amenințări sunt atacurile informatice, furtul proprietății intelectuale, furtul de identitate, furtul de dispozitive sau informații, distrugerea și extorcarea informațiilor.

               Virușii viermi, atacurile de phishing și caii troieni sunt câteva exemple comune de atacuri software. Furtul proprietății intelectuale reprezintă, de asemenea, o problemă răspândită pentru multe companii din sectorul tehnologiei informației.

               Furtul de identitate este încercarea de a obține informații personale despre o persoană sub un nume ori identitate false sau de a utiliza datele deținute pentru a procura informații importante prin intermediul ingineriei sociale. Întrucât cele mai multe dispozitive sunt acum mobile, furtul de dispozitive sau informații devine din ce în ce mai frecvent, acestea fiind ușor de sustras. Pe măsură ce capacitatea de stocare a datelor crește, furtul devine mai dezirabil.

               Guvernele, armata, lumea afacerilor, instituțiile financiare, spitalele, organizațiile non-profit au acumulat cantități mari de informații confidențiale despre angajații, clienții, produsele lor. În cazul în care informațiile confidențiale despre clienții corporativi sau condițiile financiare sau noile game de produse cad în mâinile concurenților sau ale hackerilor, companiile și clienții lor pot suferi pierderi financiare semnificative și ireparabile, ceea ce afectează reputația companiei. Din punct de vedere comercial, trebuie să se ajungă la un echilibru între securitatea informațiilor și costuri. Modelul Gordon-Loeb oferă o metodă de economie matematică pentru a rezolva această problema

               Pentru persoanele fizice, securitatea informațiilor are un impact semnificativ asupra vieții private, iar percepția oamenilor privind viața privată sunt foarte diferite de la o cultură la alta.

Securitatea la nivel europeanModificare

               Regulamentul 2016/679, cunoscut și sub numele de Regulamentul general privind protecția datelor (GDPR), a intrat în vigoare la 25 mai 2018.

Note și referințeModificare

1.      James M. Stewart și Darril Gibson, CISSP, John Wiley & Sons, 2012 (ISBN 978-1-118-46389-5, OCLC 796384204);

2.      Eric A. Enge, « Are Links Still A Powerful Google-Ranking Factor? », International Journal of scientific research and management,‎ 19 noiembrie 2016 (ISSN 2321-3418, DOI 10.18535/ijsrm/v4i11.09);

3.      Lawrence A. Gordon și Martin P. Loeb, « The economics of information security investment », ACM Transactions on Information and System Security (TISSEC), vol. 5, no 4,‎ noiembrie 2002, p. 438–457 (ISSN 1094-9224 et 1557-7406, DOI 10.1145/581271.581274).

Vezi șiModificare

NoteModificare

  1. ^ praxiom.com: ISO-27002

Legături externeModificare

Wikimedia Commons conține materiale multimedia legate de Securitatea informației