Informazioa babesteko erabiltzen diren neurri prebentibo eta erreaktiboak zehazten dute informazioaren segurtasuna kontzeptua. Neurri horiek informazioaren konfidentzialtasuna, erabilgarritasuna eta datuen osotasuna mantentzeko erabiltzen dira.

Informazioaren segurtasunaren aurka dauden mehatxuak modu desberdinetan agertu daitezke. Gaur egun mehatxu ohikoenak software erasoak, jabetza intelektualaren lapurreta, identitate lapurreta, ekipamendu edo informazio lapurreta, sabotajea eta estortsioa izan daitezke.

Jende askok uste du inoiz ez dela izango honelako atake baten helburu, baina egia esan ziur aski gehienok izan gara noizbait birus, har, Troiako zaldi edo phising atake baten biktima.

Enpresak izaten dira jabetza intelektualaren lapurreten ohiko biktimak, baita ekipamendu eta informazio lapurretenak ere, bereziki, kontutan izanda gaur egun tresna gehienak mugikorrak direla.

Enpresak eta instituzioak izaten dira sabotajeen helburu, horretarako webguneak suntsitzea edo bezeroei sarrera galaraztea izaten dira ohikoenak.

Pertsonen kontrako atakerik larrienak identitate lapurretak dira. Horrek aukera ematen dio lapurrari biktimaren izenean aritzeko onuraren bat lortzeko.

Bestalde, azken garai honetan ramsomware atakeak ugaritu egin dira. Atake hauetan biktimari tresna informatikoa edo informazioa bahitzen diote eta berreskuratzeko erreskate bat ordaindu behar da. Normalean iruzurra izaten da eta naiz eta ordaindu ekipoa edo/ta informazioa ez dira normalean berreskuratzen.

Arrisku, mehatxu eta atake hauei aurre egiteko eta beraien eragina arintzeko gauza ugari egin daitezke: ahuleziak ekiditeko sistema eguneratuta mantendu, neurriak hartu atakeak blokeatzeko, eta abar.

Informazioaren segurtasunaren arloa asko hazi da azken urte hauetan eta ikasi eta lanean aritzeko arlo ugari eskaintzen ditu, edo ta: azpiegituren eta sareen segurtasuna, aplikazio eta datu-baseen segurtasuna, segurtasun testak, informazio sistemen auditoria, negozioen jarduerak jarraitzeko planak edo forentsea.

Informazioaren segurtasunaren helburua ez da soilik mehatxuak saihestea edo kalteak minimizatzea, baizik eta arriskuak proaktiboki kudeatzea eta ingurune seguru bat sortzea, non informazioaren fluxuak modu kontrolatuan gertatzen diren. Horretarako, informazioaren segurtasuna hiru zutabetan oinarritzen da:

1. Konfidentzialtasuna: Informazioa baimendu gabeko pertsonek eskuratzea ekiditea.
2. Osotasuna: Informazioa zehatza eta aldatu gabe mantentzea, baimendu gabeko manipulazioetatik babestuta.
3. Erabilgarritasuna: Informazioa eskuragarri egotea behar denean, behar dutenentzat

[aldatu | aldatu iturburu kodea] Gaur egun, digitalizazioak eta telelana bezalako joerek informazioaren segurtasunean arrisku berriak sortu dituzte:

• Erantzun-denbora murriztea: Atakeak gero eta sofistikatuagoak dira, eta horrek konponbide azkar eta eraginkorrak eskatzen ditu.
• Datu pertsonalen babesa: GDPR bezalako araudiak segurtasun-neurri zorrotzagoak inposatzen ditu, batez ere datu pertsonalak tratatzen dituzten enpresentzat.
• Adimen artifiziala eta zibersegurtasuna: AI eta machine learning teknikak erabiltzen ari dira zibermehatxuak identifikatzeko eta aurreikusteko, baina baita atakak sofistikatzeko ere.

[aldatu | aldatu iturburu kodea] Informazioaren segurtasuna bermatzeko, ezinbestekoa da neurri teknikoak eta antolamenduzkoak uztartzea:

• Neurri teknikoak: Firewallak, malwarearen aurkako softwarea, datuen zifraketa eta bi faktoreko autentifikazioa.
• Neurri antolamenduak: Erabiltzaileen prestakuntza, informazioaren sailkapena, arrisku-analisiak eta politika eta prozedura argiak ezartzea.

[aldatu | aldatu iturburu kodea] Norbanakoek ere hainbat praktika erabil ditzakete segurtasuna bermatzeko:

• Pasahitz sendoak eta bakarrak sortzea.
• Softwarea eta gailuak aldian-aldian eguneratzea.
• Phishing saioak identifikatzen eta saihesten ikastea.
• Babeskopia erregularrak egitea datuak galtzearen aurka.

[aldatu | aldatu iturburu kodea]

• Ziberkrimenaren industrializazioa: Atakeak gero eta errazago monetizatzen dira, eta "ziberkrimena zerbitzu gisa" (CaaS) gero eta arruntagoa da.
• Zero Trust arkitektura: "Inork ez da fidagarria" printzipioa gero eta gehiago aplikatzen da, segurtasuna erabiltzaile eta gailu guztien mailan bermatuz.
• Quantum Computing: Ordenagailu kuantikoek oraingo zifratze estandarrak arriskuan jar ditzakete, zibersegurtasunean iraultza bat eraginez.

[aldatu | aldatu iturburu kodea] •ISO/IEC 27000-sèries

•ISO/IEC 27001:

ISO/IEC 27001 nazioarteko estandar bat da, eta etengabe ezarri, inplementatu, mantendu eta hobetzeko baldintzak zehazten ditu, Informazioaren Segurtasuna Kudeatzeko Sistema (ISKS). Estandar horrek informazioa sistematikoki eta eraginkortasunez babesten laguntzen die erakundeei, eta hainbat arrisku jorratzen ditu, hala nola baimenik gabeko sarbidea, datuen galera eta segurtasun-arrailak.

Ezaugarri nagusiak:

1. Helburua: Informazioaren konfidentzialtasuna, osotasuna eta erabilgarritasuna bermatzea.

2. Egitura: PDCA (Planifikatu, Egin, Egiaztatu, Jardun) zikloan oinarritzen da, etengabeko hobekuntza sustatuz.

3. Irismena: Edozein erakunderi aplikatzen zaio, haren tamaina, sektorea edo kokapena edozein izanda ere.

Osagai nagusiak:

1. Arriskuen azterketa: Mehatxuak eta kalteberatasunak identifikatzea, beharrezko kontrol-neurriak zehazteko.

2. Segurtasun-kontrolak: 114 kontrol ditu, 14 eremutan banatuta, hala nola sarbide-kudeaketa, segurtasun fisikoa eta negozioaren jarraitutasuna (arauaren A eranskinean oinarrituta).

3. Legea betetzea**: Erakundeak aplikatu beharreko legeak eta araudiak betetzen dituela ziurtatzen du.

Onurak:

1. Datu sentikorren babesa: Segurtasuna hobetzen du zibererasoen edo informazio-ihesen aurrean.

2. Bezeroaren konfiantza: Erakundearen ospea indartzen du segurtasunarekiko konpromisoa erakustean.

3. Araudia betetzea: Lege- eta erregulazio-betekizunekin lerrokatzeko laguntza.

4. Lehia-abantaila: Funtsezko bereizlea izan daiteke lizitazio eta kontratuetan.

Estandar hori erakunde independenteek ziurtatzen dute, eta ziurtagiria lortzeak erakusten du erakundeak jardunbide egokienak jarraitzen dituela informazioaren segurtasunaren kudeaketan.

•ISO/IEC 27002:

ISO/IEC 27002 estandarra ISO/IEC 27001 estandarraren osagarria da, eta informazioaren segurtasuna kudeatzeko sistema (SGSI) batean ezarri behar diren informazioaren segurtasun-kontrolei buruzko jarraibide zehatzak emateko diseinatuta dago. ISO 27001 sistemak ISKS baterako baldintzak ezartzen dituen bitartean, ISO 27002 sistemak kontrol espezifikoak aukeratzeko eta ezartzeko jardunbide eta gomendio onenak eskaintzen ditu.

Ezaugarri nagusiak:

Ikuspegi praktikoa: ISO 27002 ez da estandar ziurtagarria; ISO 27001 arauaren A eranskinean deskribatutako kontrolak aplikatzeko gida gisa erabiltzen da.

Kontrolak antolatzea: Adibideak, deskribapenak eta helburuak ematen ditu, erakundeei kontrolak beren beharren arabera egokitzen laguntzeko.

Egitura (bertsio berrienean oinarritua, 2022koa):

93 kontrol biltzen dituzten 4 gai nagusitan antolatzen da:

Antolamendu-kontrolak: segurtasun-politikak, rolak, arriskuen kudeaketa eta araudia betetzea.

Pertsonen kontrolak: trebakuntza, segurtasunaren gaineko kontzientziazioa eta nortasunaren kudeaketa.

Kontrol fisikoak: Segurtasuna instalazioetara sartzean, hondamendien aurkako babesa, eta eremu seguruak.

Kontrol teknologikoak: Sarbideen kudeaketa, kriptografia, iragaitzazko datuen babesa, eta etengabeko monitorizazioa.

Kontrolen adibidea:

Sarbideen kudeaketa: Sistemetarako eta datuetarako sarbidea soilik baimendutako langileei mugatzea.

Sareko segurtasuna: Komunikazioak firewall-en eta protokolo seguruen bidez ziurtatzea.

Datuak zifratzea: Informazio sentikorra algoritmo kriptografiko sendoen bidez babestea.

[aldatu | aldatu iturburu kodea]

• COBIT
• ITIL
• ISO/IEC 20000 — TInformazioaren Teknologia, zerbitzuaren gestioai. BSI aitzindaria izan zen 2002an BS 15000-ren garapenarekin (ISO 20000).

[aldatu | aldatu iturburu kodea]

• CISM: Certified Information Security Manager
• CISSP: Certified Information Systems Security Professional Certification
• GIAC: Global Information Assurance Certification
• CPTE Certified Penetration Testing Engineer
• CPTC Certified Penetration Testing Consultant
• CPEH Certified Professional Ethical Hacker
• CISSO Certified Information Systems Security Officer
• CSLO Certified Security Leadership Officer

[aldatu | aldatu iturburu kodea]

• CISA- Certified Information Systems Auditor, ISACA
• CISM- Certified Information Security Manager, ISACA
• Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
• CISSP - Certified Information Systems Security Professional, ISC2
• SECURITY+, COMPTia - Computing Technology Industry Association
• CEH - Certified Ethical Hacker
• PCI DSS - PCI Data Security Standard

[aldatu | aldatu iturburu kodea]

1. ↑ Joshi, Chanchala; Singh, Umesh Kumar. (2017-08-01). «Information security risks management framework – A step towards mitigating security risks in university network» Journal of Information Security and Applications 35: 128–137.  doi:10.1016/j.jisa.2017.06.006. ISSN 2214-2126. (Noiz kontsultatua: 2023-12-20).
2. ↑ (Ingelesez) Archives, The National. (2016-12-14). «The National Archives - An introduction to information risk» The National Archives blog (Noiz kontsultatua: 2023-12-20).

[aldatu | aldatu iturburu kodea]

• (Ingelesez) Allen, Julia H. The CERT Guide to System and Network Security Practices. Boston, MA: Addison-Wesley, 2001. ISBN 0-201-73723-X.
• (Ingelesez) Krutz, Ronald L.; Russell Dean Vines The CISSP Prep Guide. Gold. Indianapolis, IN: Wiley, 2003. ISBN 0-471-26802-X.
• (Ingelesez) Layton, Timothy P. Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications, 2007. ISBN 978-0-8493-7087-8.
• (Ingelesez) McNab, Chris. Network Security Assessment. Sebastopol, CA: O'Reilly, 2004. ISBN 0-596-00611-X.
• (Ingelesez) Peltier, Thomas R. Information Security Risk Analysis. Boca Raton, FL: Auerbach publications, 2001. ISBN 0-8493-0880-1.
• (Ingelesez) Peltier, Thomas R. Information Security Policies, Procedures, and Standards: guidelines for effective information security management. Boca Raton, FL: Auerbach publications, 2002. ISBN 0-8493-1137-3.
• (Ingelesez) WHITEMAN, MICHAEL E. Principles of Information Security (en anglès). Fourth, 2011, p. 617. ISBN 978-1-111-13821-9.
• (Ingelesez) Dhillon, Gurpreet. Principles of Information Systems Security: text and cases. NY: John Wiley & Sons, 2007. ISBN 978-0-471-45056-6.
• (Gaztelaniaz) Gómez Vieites, Álvaro (2007). Enciclopedia de la Seguridad Informática.

[aldatu | aldatu iturburu kodea]

• (Ingelesez) Anderson, K., "IT Security Professionals Must Evolve for Changing Market", SC Magazine, October 12, 2006.
• (Ingelesez) Aceituno, V., "On Information Security Paradigms", ISSA Journal, September 2005.
• (Ingelesez) Dhillon, G., Principles of Information Systems Security: text and cases, John Wiley & Sons, 2007.
• (Ingelesez) Easttom, C., Computer Security Fundamentals (2nd Edition) Pearson Press, 2011.
• (Ingelesez) Lambo, T., "ISO/IEC 27001: The future of infosec certification", ISSA Journal, November 2006.

[aldatu | aldatu iturburu kodea]

• (Gaztelaniaz) INTECO-CERT Espainiako Segurtasun Gertakariei Erantzuteko Zentroa (sarean dabiltzan mehatxu guztiei buruzko informazio eguneratua), Espainiako Gobernuak emana, ezagutza ertain/aurreratuak dituzten entitate eta erabiltzaileentzat.
• (Gaztelaniaz) UNAM-CERT Mexikoko Informazioaren Segurtasuneko Zuzendariordetza UNAM-CERT (albisteak, dokumentuak, erabiltzaileentzako informazioa, segurtasun-aldizkaria, segurtasun-alertak, Malware UNAM, Honeynet UNAM, etab.)

• (Ingelesez) DoD IA Policy Chart Artxibatua 2011-09-06 hemen: Wayback Machine on the DoD Information Assurance Technology Analysis Center web site.
• (Ingelesez) patterns & practices Security Engineering Explained
• (Ingelesez) Open Security Architecture- Controls and patterns to secure IT systems
• (Ingelesez) IWS – Information Security Chapter Artxibatua 2019-11-08 hemen: Wayback Machine
• (Ingelesez) Ross Anderson's book "Security Engineering"
• (Ingelesez) teciza.in