Niemożliwe jest oszacowanie ilości informacji przechowywanych w centrach danych, komputerach osobistych i cyfrowych urządzeniach pamięci masowej na całym świecie. Według jednego z szacunków tylko Google, Amazon, Microsoft i Facebook mają ponad 1.2 miliona terabajtów. Następnie są fizyczne dane, miliony folderów, drukowane książki i zeszyty. Przy tak dużej ilości informacji w obiegu nie jest zaskoczeniem, że istnieje cała gałąź zabezpieczeń zaprojektowana w celu ich ochrony. Wczesne praktyki w zakresie bezpieczeństwa informacji (infosec) ewoluowały równolegle z rozwojem komunikacji pisemnej. W rzeczywistości cesarz rzymski Juliusz Cezar jest uważany za pioniera w dziedzinie bezpieczeństwa informacji, ponieważ wynalazł szyfr Cezara w celu ochrony informacji zawartych w tajnych wiadomościach.
Bezpieczeństwo informacji jest dziś nierozerwalnie związane z cyberbezpieczeństwem. Chociaż bezpieczeństwo informacji obejmuje przechowywanie i przesyłanie danych fizycznych i cyfrowych, a cyberbezpieczeństwo ma na celu jedynie łagodzenie ataków internetowych, te dwa terminy są często używane zamiennie. Bezpieczeństwo komputerowe to kolejny termin używany obok bezpieczeństwa informacji, ale znowu istnieją różnice. Na przykład ogólny termin bezpieczeństwo komputera obejmuje również bezpieczeństwo aplikacji, proces identyfikowania i naprawiania luk w kodzie oraz bezpieczeństwo sieci, czyli metody stosowane do obrony i utrzymywania sieci komputerowych. W XXI wieku większość danych jest przechowywana w formie elektronicznej, dlatego termin „bezpieczeństwo informacji” jest powszechnie używany do opisania metod stosowanych do ochrony danych cyfrowych podczas ich przechowywania i przesyłania. Największe zagrożenia dla informacji poufnych pochodzą z odległych miejsc z Internetu.
Trzy najważniejsze zasady technologii informacyjnej, znane jako triada CIA, to poufność, integralność i dostępność:
poufność
Poufność jest jednym z filarów bezpieczeństwa informacji i pod wieloma względami jedną z najtrudniejszych do przestrzegania zasad. Wyzwanie polega na zapewnieniu poufności informacji wrażliwych, gdy nieupoważnieni użytkownicy próbują uzyskać do nich dostęp, oraz na wprowadzeniu środków w celu identyfikacji tych oszustów. Ważne jest, aby nie mylić poufności z poufnością. Chociaż poufność można po prostu sklasyfikować jako informacje dostępne publicznie lub nie, z informacjami uznanymi za poufne może zapoznać się każdy, kto jest do tego upoważniony. Typowe techniki zapewniania prywatności obejmują stosowanie szyfrowania i kryptografii, ochronę hasłem i inne techniki uwierzytelniania, takie jak aplikacja Google Authenticator.
Uczciwość
Oprócz zachowania poufności danych, firmy muszą zapewnić, że dane pozostaną takie same, chyba że zostaną celowo zmienione przez upoważnioną osobę. Zachowanie integralności informacji gwarantuje, że nigdy nie zostaną one zmodyfikowane, że modyfikacje te zostały wprowadzone w sposób złośliwy lub przypadkowy. Firmy regularnie wdrażają niektóre z omówionych powyżej metod, aby zapobiec przypadkowej i celowej manipulacji danymi. Na przykład wymóg podania hasła i procedura automatycznego wylogowania wewnętrznego konta e-mail pracownika nie tylko gwarantuje, że konto nie zostanie przypadkowo otwarte, ale także chroni je przed kimkolwiek, kto celowo próbuje uzyskać dostęp do informacji i potencjalnie je zmodyfikować. Integralność danych odnosi się również do zobowiązań prawnych firmy. Na przykład przepisy dotyczące ochrony danych chronią konsumentów przed przesyłaniem lub niewłaściwym wykorzystaniem ich danych. Firmy obiecują zachować integralność tych danych, zapewniając, że pozostaną one w takim samym stanie, w jakim zostały upoważnione do ich przetwarzania.
Dostępność
Możesz myśleć o koncepcji dostępności jako bezpośrednim przeciwieństwie poufności. Zasadniczo oznacza to, że dane są łatwo dostępne dla osób upoważnionych do dostępu do nich. Jest często wdrażany w połączeniu ze stosowaniem środków zachowania poufności. Posiadanie narzędzi uniemożliwiających dostęp do informacji jest równie ważne, jak posiadanie narzędzi, które na to pozwalają. Przykładem planowanej dostępności w planie bezpieczeństwa informacji może być bezpieczny transfer danych do tymczasowych urządzeń pamięci masowej podczas aktualizacji systemu. Innym rozwiązaniem może być włączenie zapasowego źródła zasilania, aby zagwarantować, że upoważnieni użytkownicy nadal będą mieli dostęp do danych w przypadku utraty zasilania.
Informacje cyfrowe są szczególnie narażone na kradzież lub manipulację, zwłaszcza gdy są przetwarzane przy użyciu usług i systemów internetowych. W przeciwieństwie do informacji przechowywanych na papierze, które można fizycznie zamknąć w sejfie, informacje cyfrowe są znacznie trudniejsze do przechowywania i ochrony, zwłaszcza gdy są dostępne online. Z tego powodu rozmowa o zagrożeniach dla bezpieczeństwa informacji często skupia się na kwestiach cyberbezpieczeństwa.
Inżynieria społeczna
Wiele osób pada ofiarą wiadomości e-mail i witryn phishingowych, które przekonują ich do przekazania ważnych danych uwierzytelniających, które umożliwiają hakerom nieautoryzowany dostęp do informacji. Oszustwa te ułatwiają dostęp do poufnych danych, a firmy, którym powierzono utrzymanie integralności tych danych, często ponoszą odpowiedzialność prawną za utratę opieki.
wirus
Cyberprzestępcy często próbują wykraść poufne informacje poprzez infekowanie systemów komputerowych wirusami komputerowymi. Podczas złośliwego ataku poufne informacje mogą zostać ujawnione lub zniszczone, aw wielu przypadkach możliwe do odzyskania. Jednym z największych ataków ransomware był wirus WannaCry w 2017 roku, który dotknął niektóre z największych organizacji i instytucji na świecie.
ataki typu „odmowa usługi”.
Ataki typu „odmowa usługi” są specjalnie zaprojektowane pod kątem dostępności informacji. Zalewając sieć firmową ruchem, cyberprzestępcy mają nadzieję, że wykorzystają wszystkie zasoby do jej utrzymania, przeciążając system i uniemożliwiając kontynuowanie autoryzowanych żądań. W niektórych przypadkach żąda się okupu za powstrzymanie bombardowania.
kradzież fizyczna
Ponieważ urządzenia przenośne są w coraz większym stopniu zdolne do przechowywania dużych ilości danych — wysokiej klasy iPhone przechowuje do 512 GB — nagrody za kradzież tych urządzeń wciąż rosną. Środki bezpieczeństwa informacji powinny obejmować również urządzenia, takie jak smartfony i laptopy, wykorzystywane przez pracowników firmy do przechowywania i przenoszenia informacji. Praca specjalisty ds. bezpieczeństwa informacji nie kończy się już w biurze korporacji. Dane są w ciągłym ruchu, zarówno wirtualnym, jak i fizycznym. Wreszcie, solidna i skuteczna strategia bezpieczeństwa informacji zapewni, że wszystkie powyższe zagrożenia zostaną zaadresowane i złagodzone, a co najważniejsze, zachowa poufność, integralność i dostępność informacji, dla których zostały zaprojektowane. .