ameazas
Unha ameaza é a posibilidade de ocorrencia de calquera tipo de evento ou acción que poida producir un dano (material ou inmaterial) sobre os elementos dun sistema, no caso da seguridade informática, os elementos da información. Porque a seguridade informática ten como propósito de garantir a confidencialidade, a integridade, a dispoñibilidade e a autenticidade dos datos e da información, as ameazas e o consecuente dano que pode causar un evento exitoso, tamén debemos ver en relación coa confidencialidade, a integridade, a dispoñibilidade e a autenticidade dos datos e información.
desde o punto de vista da entidade que manexa os datos, hai ameazas de orixe externa como As agresións técnicas, naturais ou humanas, pero tamén as ameazas de orixe interna, como a neglixencia do persoal ou as condicións técnicas, os procesos operativos internos (nota: hai conceptos que defenden a opinión que ameazan sempre teñen carácter externo!)
generalmente distínguense e dividen tres grupos
- crime: son todas as accións, causadas pola intervención humana, que violan a lei e que son punibles para isto. Co crime político, enténdense todas as accións dirixidas do goberno cara á sociedade civil.
- Eventos de orixe física: hai todos os eventos naturais e técnicos, pero tamén indirectamente causados pola intervención humana.
- Neglixencia e decisións institucionais: son todas as accións, decisións ou omisións por persoas que teñen poder e influencia no sistema. Ao mesmo tempo, son ameazas menos previsibles porque están directamente relacionadas co comportamento humano.
Hai ameazas que apenas se eliminan (virus informático) e é por iso que é a tarefa de xestión de Risco de previsión, implementación de medidas de protección para evitar ou minimizar o dano no caso de que se realice unha ameaza.
Para mostrar algunhas das ameazas máis preocupantes, consultamos dúas estatísticas, o primeiro gráfico sae da “enquisa sobre Computación e Computación Crime – 2008 “do Instituto de Seguridade de Informática (CSI) que basean en 433 respostas de diferentes entidades privadas e estatísticas en Estados Unidos
O segundo ten a súa orixe nunha enquisa que se fixo en 2007, con 34 organizacións sociais no nivel central estadounidense
Tanto gr AFOS, amosar a porcentaxe de todos os entrevistados que sufriron ese tipo de ataque.
Como se observou, hai algunhas semellanzas relacionadas coas ameazas máis preocupantes
- Virus (> 50%)
- teléfonos móbiles, portátiles e outros equipos (> 40%)
Pero tamén hai outras ameazas que, aínda que non aparezan en ambas enquisas, son moi alarmantes e que deben ter en conta
- Falta de copia de seguridade de datos
- Perda de información para a rotación, a produción de persoal
- abuso de coñecemento interno (non consultado en investigación de organizacións sociais)
- Mal xestión de equipos e programas
- Acceso non autorizado
- etc
vulnerabilidades
A vulnerabilidade é a capacidade, condicións e características do sistema en si (incluíndo a entidade que a manexa), que l Ou fai ameazas susceptibles, co resultado de sufrir algún dano. Noutras palabras, é a capacidade e a posibilidade dun sistema para responder ou reaccionar a unha ameaza ou recuperarse do dano.
As vulnerabilidades están directamente interrelación con ameazas porque se non hai ameaza, xa sexa unha vulnerabilidade ou non é importante, porque non pode causar danos.
Dependendo do contexto da institución, as vulnerabilidades poden agruparse en grupos característicos: ambientais, físicos, económicos, sociais, educativos, institucionais e políticos.