Невозможно оценить объем информации, хранящейся в центрах обработки данных, персональных компьютерах и цифровых запоминающих устройствах по всему миру. По одной из оценок, только у Google, Amazon, Microsoft и Facebook имеется более 1.2 миллиона терабайт. Еще есть физические данные, миллионы папок, печатные книги и блокноты. При таком большом количестве информации в обращении неудивительно, что существует целая отрасль безопасности, предназначенная для ее защиты. Ранние методы информационной безопасности (infosec) развивались параллельно с развитием письменной коммуникации. Фактически пионером в области информационной безопасности считается римский император Юлий Цезарь, поскольку он изобрел шифр Цезаря для защиты информации, содержащейся в секретных сообщениях.
Информационная безопасность сегодня неразрывно связана с кибербезопасностью. Хотя информационная безопасность охватывает хранение и передачу физических и цифровых данных, а кибербезопасность предназначена только для смягчения последствий интернет-атак, эти два термина часто используются как синонимы. Компьютерная безопасность — это еще один термин, используемый в сочетании с информационной безопасностью, но опять же есть различия. Например, общий термин «компьютерная безопасность» также включает безопасность приложений — процесс выявления и устранения уязвимостей кода, а также сетевую безопасность — методы, используемые для защиты и обслуживания компьютерных сетей. В 21 веке большая часть данных хранится в электронном виде, поэтому термин «информационная безопасность» обычно используется для описания методов, используемых для защиты цифровых данных при хранении и передаче. Самые большие угрозы конфиденциальной информации исходят издалека, из Интернета.
Три наиболее важных принципа информационных технологий, известные как триада ЦРУ, — это конфиденциальность, целостность и доступность:
Confidencialidad
Конфиденциальность — один из столпов информационной безопасности и во многих отношениях один из самых сложных принципов, которым необходимо следовать. Задача состоит в том, чтобы гарантировать, что конфиденциальная информация останется конфиденциальной, когда неавторизованные пользователи попытаются получить к ней доступ, и принять меры для выявления этих мошенников. Важно не путать конфиденциальность и конфиденциальность. Хотя конфиденциальность можно классифицировать просто как информацию, доступную для общественности или нет, с информацией, считающейся конфиденциальной, может ознакомиться любой уполномоченный на это человек. Общие методы обеспечения конфиденциальности включают использование шифрования и криптографии, защиту паролем и другие методы аутентификации, такие как приложение Google Authenticator.
Integridad
Помимо сохранения конфиденциальности данных, компании должны гарантировать, что данные остаются неизменными, если только они не будут преднамеренно изменены уполномоченным лицом. Сохранение целостности информации гарантирует, что она никогда не будет изменена, что эти изменения произойдут злонамеренным или случайным образом. Компании регулярно применяют некоторые из методов, которые мы обсуждали выше, для предотвращения случайных и преднамеренных манипуляций с данными. Например, требование пароля и процедура автоматического выхода из внутренней учетной записи электронной почты сотрудника не только гарантируют, что учетная запись случайно не останется открытой, но также защищает ее от тех, кто намеренно пытается получить доступ к информации и потенциально изменить ее. Целостность данных также относится к юридическим обязательствам компании. Например, законы о защите данных защищают потребителей от передачи или неправильного использования их данных. Компании обещают поддерживать целостность этих данных, гарантируя, что они останутся в том же состоянии, в котором они были уполномочены их обрабатывать.
доступность
Вы можете думать о концепции доступности как о прямой противоположности конфиденциальности. По сути, это означает, что данные легко доступны тем, кто имеет к ним доступ. Часто это реализуется в сочетании с применением мер конфиденциальности. Иметь инструменты, предотвращающие доступ к информации, так же важно, как и инструменты, позволяющие его. Примером запланированной доступности в плане информационной безопасности может быть безопасная передача данных на устройства временного хранения во время обновления системы. Другим вариантом может быть включение резервного источника питания, который гарантирует, что авторизованные пользователи смогут получить доступ к данным в случае сбоя питания.
Цифровая информация особенно уязвима для кражи или манипуляций, особенно когда она обрабатывается с использованием интернет-сервисов и систем. В отличие от информации, хранящейся на бумаге, которую можно физически запереть в сейфе, цифровую информацию гораздо сложнее хранить и защищать, особенно когда она доступна в Интернете. По этой причине разговор об угрозах информационной безопасности обычно фокусируется на вопросах кибербезопасности.
Социальная инженерия
Многие люди становятся жертвами фишинговых писем и веб-сайтов, которые убеждают их передать важные учетные данные, которые предоставляют хакерам несанкционированный доступ к информации. Эти мошенничества облегчают доступ к конфиденциальным данным, и компании, которым доверяют поддерживать целостность этих данных, часто несут юридическую ответственность за потерю их хранения.
вирус
Киберпреступники часто пытаются украсть конфиденциальную информацию, заражая компьютерные системы компьютерными вирусами. Во время злонамеренной атаки конфиденциальная информация может быть раскрыта или уничтожена, а во многих случаях – спасена. Одной из крупнейших атак программ-вымогателей стал вирус WannaCry в 2017 году, который затронул некоторые крупнейшие организации и учреждения мира.
Атаки отказа в обслуживании
Атаки типа «отказ в обслуживании» специально разработаны для обеспечения доступности информации. Наполняя корпоративную сеть трафиком, киберпреступники надеются исчерпать все ресурсы для ее обслуживания, перегружая систему и делая невозможным продолжение авторизованных запросов. В некоторых случаях за прекращение бомбардировки требуют выкуп.
Физическая кража
По мере того, как портативные устройства становятся все более способными хранить большие объемы данных (например, iPhone высокого класса имеет емкость до 512 ГБ), вознаграждение за кражу этих устройств продолжает расти. Меры информационной безопасности также должны охватывать устройства, такие как смартфоны и ноутбуки, используемые сотрудниками компании для хранения и транспортировки информации. Работа специалиста по информационной безопасности больше не ограничивается рамками корпоративного офиса. Данные находятся в постоянном движении, как виртуально, так и физически. Наконец, надежная и эффективная стратегия информационной безопасности обеспечит устранение и смягчение всех вышеперечисленных угроз и, что наиболее важно, поддержание конфиденциальности, целостности и доступности информации, для которой они были разработаны. .