Академический Документы
Профессиональный Документы
Культура Документы
ADR Infor SL
ndice
Esquema Nacional de Seguridad 4
Introduccin 5
Disposiciones generales 6
Objeto 6
Definiciones 7
mbito de aplicacin. 9
Principios bsicos 9
Principios 10
La seguridad como un proceso integral 10
Gestin de la seguridad basada en los riesgos 10
Prevencin, reaccin y recuperacin 11
Lneas de defensa 11
Reevaluacin peridica 12
La seguridad como funcin diferenciada 12
Requisitos mnimos 12
Requisitos mnimos de seguridad 12
Organizacin e implantacin del proceso de seguridad 13
Anlisis y gestin de los riesgos 14
Gestin de personal 14
Profesionalidad 14
Autorizacin y control de los accesos 15
Proteccin de las instalaciones 15
Adquisicin de productos de seguridad y contratacin de servicios de seguridad 15
Seguridad por defecto 16
Integridad y actualizacin del sistema 16
Proteccin de informacin almacenada y en trnsito 17
Prevencin ante otros sistemas de informacin interconectados 17
Registro de actividad 18
Incidentes de seguridad 18
Continuidad de la actividad 18
Mejora continua del proceso de seguridad 19
Cumplimiento de requisitos mnimos 19
Infraestructuras y servicios comunes 20
Instrucciones tcnicas de seguridad y guas de seguridad 20
Sistemas de informacin no afectados 20
Comunicaciones electrnicas 21
Condiciones tcnicas de seguridad de las comunicaciones electrnicas 21
Requerimientos tcnicos de notificaciones y publicaciones electrnicas 21
Firma electrnica 21
Auditora de la Seguridad 22
Informe del estado de la seguridad 23
Respuesta a incidentes de seguridad 23
Capacidad de respuesta a incidentes de seguridad de la informacin 24
Prestacin de servicios de respuesta a incidentes de seguridad a las Administraciones pblicas 24
Normas de conformidad 25
Sedes y registros electrnicos 25
Ciclo de vida de servicios y sistemas 25
Mecanismos de control 25
2/35
Publicacin de conformidad 25
Actualizacin permanente 25
Categorizacin de los sistemas de informacin 25
Categoras 25
Facultades 26
Categoras de los sistemas 26
Fundamentos para la determinacin de la categora de un sistema 26
Dimensiones de la seguridad 27
Determinacin del nivel requerido en una dimensin de seguridad 27
Determinacin de la categora de un sistema de informacin 29
Secuencia de actuaciones para determinar la categora de un sistema 29
Medidas de seguridad 30
Auditora de la seguridad 30
Objeto de la auditora 30
Niveles de auditora 31
Interpretacin 31
Resumen 31
Ejercicios 32
Ejercicio 1: Sedes electrnicas locales. 32
Ejercicio 2: Iniciacin de procedimientos 32
Pasos a seguir 32
Recursos 33
Enlaces de Inters 33
Glosario. 33
3/35
Esquema Nacional de Seguridad
Ofrecer una visin clara y concisa del Esquema Nacional de Seguridad que establece los
principios y requisitos de una poltica de seguridad en la utilizacin de medios
electrnicos que permita la adecuada proteccin de la informacin, en las
comunicaciones que se realizan con la Administracin Pblica. En concreto en la
presente unidad se hablar de:
Disposiciones generales.
Principios bsicos.
Requisitos mnimos.
Comunicaciones electrnicas.
Auditoria de la Seguridad.
Informe del estado de la seguridad.
Respuesta a incidentes de seguridad.
Normas de conformidad.
Actualizacin permanente.
Categorizacin de los sistemas de informacin.
Categoras de los sistemas.
Medidas de seguridad .
Auditora de la seguridad .
Disposiciones Estudiadas
En el siguiente enlace puedes acceder al Real Decreto 3/2010, de 8 de enero, por el que
se regula el Esquema Nacional de Seguridad en el mbito de la Administracin
Electrnica.
4/35
Esquema Nacional de Seguridad
Introduccin
En el mbito de las Administraciones pblicas, la consagracin del derecho a comunicarse con ellas a
travs de medios electrnicos comporta una obligacin correlativa de las mismas, que tiene, como
premisas, la promocin de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la
remocin de los obstculos que impidan o dificulten su plenitud, lo que demanda incorporar las
peculiaridades que exigen una aplicacin segura de estas tecnologas.
La creacin del Esquema Nacional de Seguridad tiene como principal objeto el establecimiento de los
principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita
la adecuada proteccin de la informacin.
Adems, la finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones necesarias de
confianza en el uso de los medios electrnicos, a travs de medidas para garantizar la seguridad de los
sistemas, los datos, las comunicaciones, y los servicios electrnicos, que permita a los ciudadanos y a las
Administraciones pblicas, el ejercicio de derechos y el cumplimiento de deberes a travs de estos
medios.
Actualmente los sistemas de informacin de las administraciones pblicas estn fuertemente imbricados
entre s y con sistemas de informacin del sector privado: empresas y administrados.
Por esta razn, la seguridad tiene un nuevo reto que va ms all del aseguramiento individual de cada
sistema.
5/35
Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad establece los principios bsicos y requisitos mnimos que, de
acuerdo con el inters general, naturaleza y complejidad de la materia regulada, permiten una proteccin
adecuada de la informacin y los servicios, lo que exige incluir el alcance y procedimiento para gestionar
la seguridad electrnica de los sistemas que tratan informacin de las Administraciones pblicas.
Gracias a ello, se logra un comn denominador normativo, cuya regulacin no agota todas las
posibilidades de normacin, y permite ser completada, mediante la regulacin de los objetivos,
materialmente no bsicos, que podrn ser decididos por polticas legislativas territoriales.
Disposiciones generales
Objeto
6/35
Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad est constituido por los principios bsicos y requisitos mnimos
requeridos para una proteccin adecuada de la informacin.
El acceso.
La integridad.
La disponibilidad.
La autenticidad.
La confidencialidad.
La trazabilidad .
La conservacin de los datos, informaciones y servicios utilizados en medios electrnicos que
gestionen en el ejercicio de sus competencias.
Definiciones
A los efectos previstos en el Esquema Nacional de Seguridad, las definiciones, palabras, expresiones y
trminos han de ser entendidos en el sentido indicado en el presente vocabulario.
7/35
Esquema Nacional de Seguridad
Gestin de incidentes : Plan de accin para atender a los incidentes que se den.
Adems de resolverlos debe incorporar medidas de desempeo que permitan conocer la
calidad del sistema de proteccin y detectar tendencias antes de que se conviertan en
grandes problemas.
Principios bsicos de seguridad : Fundamentos que deben regir toda accin orientada a
asegurar la informacin y los servicios.
Proceso de seguridad : Mtodo que se sigue para alcanzar los objetivos de seguridad
de la organizacin. El proceso se disea para identificar, medir, gestionar y mantener
bajo control los riesgos a que se enfrenta el sistema en materia de seguridad.
Riesgo : Estimacin del grado de exposicin a que una amenaza se materialice sobre
uno o ms activos causando daos o perjuicios a la organizacin.
8/35
Esquema Nacional de Seguridad
Vulnerabilidad : Una debilidad que puede ser aprovechada por una amenaza.
mbito de aplicacin.
El mbito de aplicacin del Esquema Nacional de Seguridad es:
A las Administraciones Pblicas, entendiendo por tales la Administracin General del Estado,
las Administraciones de las Comunidades Autnomas y las Entidades que integran la
Administracin Local, as como las entidades de derecho pblico vinculadas o dependientes de
las mismas.
A los ciudadanos en sus relaciones con las Administraciones Pblicas.
A las relaciones entre las distintas Administraciones Pblicas.
Estn excluidos del mbito de aplicacin los sistemas que tratan informacin clasificada
regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de desarrollo.
Principios bsicos
9/35
Esquema Nacional de Seguridad
Principios
El objeto ltimo de la seguridad de la informacin es asegurar que una organizacin administrativa podr
cumplir sus objetivos utilizando sistemas de informacin.
En las decisiones en materia de seguridad debern tenerse en cuenta los siguientes principios:
Seguridad integral.
Gestin de riesgos.
Prevencin, reaccin y recuperacin.
Lneas de defensa.
Reevaluacin peridica.
Funcin diferenciada.
La aplicacin del Esquema Nacional de Seguridad estar presidida por este principio,
que excluye cualquier actuacin puntual o tratamiento coyuntural.
Se prestar la mxima atencin a la concienciacin de las personas que intervienen en el proceso y a sus
responsables jerrquicos, para que, ni la ignorancia, ni la falta de organizacin y coordinacin, ni
instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.
El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad y deber
mantenerse permanentemente actualizado.
10/35
Esquema Nacional de Seguridad
En este sentido, las medidas de prevencin deben eliminar o, al menos reducir, la posibilidad de que las
amenazas lleguen a materializarse con perjuicio para el sistema.
En todo caso, las medidas de deteccin estarn acompaadas de medidas de reaccin, de forma que los
incidentes de seguridad se atajen a tiempo.
Lneas de defensa
El sistema ha de disponer de una estrategia de proteccin constituida por mltiples capas de seguridad,
dispuesta de forma que, cuando una de las capas falle, permita:
Ganar tiempo para una reaccin adecuada frente a los incidentes que no han podido evitarse.
Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
Minimizar el impacto final sobre el mismo.
Las lneas de defensa han de estar constituidas por medidas de naturaleza organizativa,
fsica y lgica.
11/35
Esquema Nacional de Seguridad
Reevaluacin peridica
Requisitos mnimos
Dicha poltica de seguridad, se establecer de acuerdo con los principios bsicos anteriormente citados y
se desarrollar aplicando los siguientes requisitos mnimos:
12/35
Esquema Nacional de Seguridad
Asimismo, corresponde decir que los municipios podrn disponer de una poltica de seguridad comn
elaborada por la Diputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aquellas
otras corporaciones de carcter representativo a las que corresponda el gobierno y la administracin
autnoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan.
13/35
Esquema Nacional de Seguridad
En este sentido es importante determinar que la poltica de seguridad deber identificar unos claros
responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organizacin
administrativa.
La gestin se realizar por medio del anlisis y tratamiento de los riesgos a los que est expuesto el
sistema. Sin perjuicio de lo dispuesto en el Esquema Nacional de Seguridad, se emplear alguna
metodologa reconocida internacionalmente.
Asimismo, es necesario destacar que las medidas adoptadas para mitigar o suprimir los riesgos debern
estar justificadas y, en todo caso, existir una proporcionalidad entre ellas y los riesgos.
Gestin de personal
Todo el personal relacionado con la informacin y los sistemas deber ser formado e informado de sus
deberes y obligaciones en materia de seguridad.
Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.
Asimismo, el personal relacionado con la informacin y los sistemas, ejercitar y aplicar los principios
de seguridad en el desempeo de su cometido.
Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la informacin del
sistema debe estar identificado de forma nica, de modo que se sepa, en todo momento, quin recibe
derechos de acceso, de qu tipo son stos, y quin ha realizado determinada actividad.
El significado y alcance del uso seguro del sistema se concretar y plasmar en unas
normas de seguridad.
Profesionalidad
La seguridad de los sistemas estar atendida, revisada y auditada por personal cualificado, dedicado e
instruido en todas las fases de su ciclo de vida:
Instalacin.
Mantenimiento.
14/35
Esquema Nacional de Seguridad
Gestin de incidencias.
Desmantelamiento.
Asimismo, el personal de las Administraciones pblicas recibir la formacin especfica necesaria para
garantizar la seguridad de las tecnologas de la informacin aplicables a los sistemas y servicios de la
Administracin.
Las Administraciones pblicas exigirn, de manera objetiva y no discriminatoria, que las organizaciones
que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idneos
de gestin y madurez en los servicios prestados.
La citada certificacin deber estar de acuerdo con las normas y estndares de mayor
reconocimiento internacional, en el mbito de la seguridad funcional.
15/35
Esquema Nacional de Seguridad
El sistema proporcionar la mnima funcionalidad requerida para que la organizacin alcance sus
objetivos.
Las funciones de operacin, administracin y registro de actividad sern las mnimas necesarias,
y se asegurar que slo son accesibles por las personas, o desde emplazamientos o equipos,
autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados.
En un sistema de explotacin se eliminarn o desactivarn, mediante el control de la
configuracin, las funciones que no sean de inters, sean innecesarias e, incluso, aquellas que
sean inadecuadas al fin que se persigue.
El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilizacin insegura
requiera de un acto consciente por parte del usuario.
16/35
Esquema Nacional de Seguridad
Se deber conocer en todo momento el estado de seguridad de los sistemas, en relacin a las
especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten,
reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.
Forman parte de la seguridad los procedimientos que aseguren la recuperacin y conservacin a largo
plazo de los documentos electrnicos producidos por las Administraciones pblicas en el mbito de sus
competencias.
Adems, toda informacin en soporte no electrnico, que haya sido causa o consecuencia directa de la
informacin electrnica a la que se refiere el Esquema Nacional de Seguridad deber estar protegida con
el mismo grado de seguridad que sta.
Para ello se aplicarn las medidas que correspondan a la naturaleza del soporte en que se
encuentren, de conformidad con las normas de aplicacin a la seguridad de los mismos.
17/35
Esquema Nacional de Seguridad
Registro de actividad
Con la finalidad exclusiva de lograr el cumplimiento del objeto del Esquema Nacional de Seguridad, con
plenas garantas del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los
afectados, y de acuerdo con la normativa sobre proteccin de datos personales, de funcin pblica o
laboral, y dems disposiciones que resulten de aplicacin, se registrarn las actividades de los usuarios,
reteniendo la informacin necesaria para monitorizar, analizar, investigar y documentar actividades
indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que acta.
Incidentes de seguridad
Se establecer un sistema de deteccin y reaccin frente a cdigo daino.
Continuidad de la actividad
18/35
Esquema Nacional de Seguridad
Los sistemas dispondrn de copias de seguridad y establecern los mecanismos necesarios para
garantizar la continuidad de las operaciones, en caso de prdida de los medios habituales de trabajo.
Cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carcter personal le
ser de aplicacin lo dispuesto en la normativa en materia de proteccin de datos de carcter personal,
sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad.
19/35
Esquema Nacional de Seguridad
Las medidas de seguridad establecidas en el Esquema Nacional de Seguridad podrn ser reemplazadas
por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el
riesgo sobre los activos y se satisfacen los principios bsicos y los requisitos mnimos previstos en el
Esquema Nacional de Seguridad.
20/35
Esquema Nacional de Seguridad
Las Administraciones pblicas podrn determinar aquellos sistemas de informacin a los que no les sea
de aplicacin lo dispuesto en el Esquema Nacional de Seguridad por tratarse de sistemas no relacionados
con el ejercicio de derechos ni con el cumplimiento de deberes por medios electrnicos ni con el acceso
por medios electrnicos de los ciudadanos a la informacin y al procedimiento administrativo.
Comunicaciones electrnicas
Firma electrnica
Los mecanismos de firma electrnica se aplicarn en los trminos indicados por el Esquema Nacional de
Seguridad y de acuerdo con lo preceptuado en la poltica de firma electrnica y de certificados, segn se
establece en el Esquema Nacional de Interoperabilidad.
21/35
Esquema Nacional de Seguridad
Todo ello debe entenderse sin perjuicio de lo previsto en las medidas de seguridad del
Esquema Nacional de Seguridad, que deber adaptarse a cada circunstancia.
Auditora de la Seguridad
La auditora se realizar en funcin de la categora del sistema as como de acuerdo con lo previsto en el
Esquema Nacional de Seguridad para las auditorias de seguridad.
La auditora profundizar en los detalles del sistema hasta el nivel que considere que
proporciona evidencia suficiente y relevante, dentro del alcance establecido para la
auditora.
Cabe destacar que en la realizacin de esta auditora se utilizarn los criterios, mtodos de trabajo y de
conducta generalmente reconocidos, as como la normalizacin nacional e internacional aplicables a este
tipo de auditoras de sistemas de informacin.
22/35
Esquema Nacional de Seguridad
Los informes de auditora sern presentados al responsable del sistema y al responsable de seguridad
competentes.
Los citados informes sern analizados por el responsable de seguridad que presentar sus conclusiones al
responsable del sistema para que adopte las medidas correctoras adecuadas.
Por otro lado, el Centro Criptolgico Nacional articular los procedimientos necesarios para la recogida y
consolidacin de la informacin, as como los aspectos metodolgicos para su tratamiento y explotacin,
a travs de los correspondientes grupos de trabajo que se constituyan al efecto en el Comit Sectorial de
Administracin Electrnica y en la Comisin de Estrategia TIC para la Administracin General del
Estado.
23/35
Esquema Nacional de Seguridad
24/35
Esquema Nacional de Seguridad
Normas de conformidad
Mecanismos de control
Cada rgano de la Administracin pblica o Entidad de Derecho Pblico establecer sus mecanismos de
control para garantizar de forma real y efectiva el cumplimiento del Esquema Nacional de Seguridad.
Publicacin de conformidad
Los rganos y Entidades de Derecho Pblico darn publicidad en las correspondientes sedes electrnicas
a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores,
obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.
Actualizacin permanente
El Esquema Nacional de Seguridad se deber mantener actualizado de manera permanente. Se
desarrollar y perfeccionar a lo largo del tiempo, en paralelo al progreso de los servicios de
Administracin electrnica, de la evolucin tecnolgica y nuevos estndares internacionales sobre
seguridad y auditora en los sistemas y tecnologas de la informacin y a medida que vayan
consolidndose las infraestructuras que le apoyan.
Categoras
25/35
Esquema Nacional de Seguridad
Facultades
La facultad para efectuar las valoraciones as como la modificacin posterior, en su caso, corresponder,
dentro del mbito de su actividad, al responsable de cada informacin o servicio.
La facultad para determinar la categora del sistema corresponder al responsable del mismo.
26/35
Esquema Nacional de Seguridad
Dimensiones de la seguridad
A fin de poder determinar el impacto que tendra sobre la organizacin un incidente que afectara a la
seguridad de la informacin o de los sistemas, y de poder establecer la categora del sistema, se tendrn
en cuenta las siguientes dimensiones de la seguridad, que sern identificadas por sus correspondientes
iniciales en maysculas:
Disponibilidad [D].
Autenticidad [A].
Integridad [I].
Confidencialidad [C].
Trazabilidad [T].
Cada dimensin de seguridad afectada se adscribir a uno de los siguientes niveles: BAJO, MEDIO o
ALTO. Si una dimensin de seguridad no se ve afectada, no se adscribir a ningn nivel.
27/35
Esquema Nacional de Seguridad
Nivel BAJO
Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las
dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organizacin,
sobre sus activos o sobre los individuos afectados.
Nivel MEDIO
Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las
dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organizacin, sobre
sus activos o sobre los individuos afectados.
28/35
Esquema Nacional de Seguridad
Nivel ALTO
Se utilizar cuando las consecuencias de un incidente de seguridad que afecte a alguna de las
dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organizacin,
sobre sus activos o sobre los individuos afectados.
29/35
Esquema Nacional de Seguridad
Medidas de seguridad
Auditora de la seguridad
Objeto de la auditora
La seguridad de los sistemas de informacin de una organizacin ser auditada en los siguientes
trminos:
Que la poltica de seguridad define los roles y funciones de los responsables de la informacin,
los servicios, los activos y la seguridad del sistema de informacin.
Que existen procedimientos para resolucin de conflictos entre dichos responsables.
Que se han designado personas para dichos roles a la luz del principio de separacin de
funciones.
Que se ha realizado un anlisis de riesgos, con revisin y aprobacin anual.
Que se cumplen las recomendaciones de proteccin descritas en el anexo II, sobre Medidas de
Seguridad, en funcin de las condiciones de aplicacin en cada caso.
Que existe un sistema de gestin de la seguridad de la informacin, documentado y con un
proceso regular de aprobacin por la direccin.
30/35
Esquema Nacional de Seguridad
Niveles de auditora
Los niveles de auditora que se realizan a los sistemas de informacin, sern los siguientes:
Interpretacin
La interpretacin del presente anexo se realizar segn el sentido propio de sus palabras, en relacin con
el contexto, antecedentes histricos y legislativos, entre los que figura lo dispuesto en la instruccin
tcnica CCN-STIC correspondiente, atendiendo al espritu y finalidad de aquellas.
Resumen
Resumen de la unidad
31/35
Esquema Nacional de Seguridad
Ejercicios
15
15
Localice, en Internet, cinco pginas Web de cualquier Administracin Pblica en la que puedan iniciarse
procedimientos.
Pasos a seguir
1. Lo ms prctico es utilizar algn buscador como puede ser Google o Yahoo.
2. No obstante si an as se siguen teniendo dificultades para buscar informacin en Internet
recomiendo la lectura de este interesante artculo de lvaro Ibez: Cmo buscar y encontrar
informacin en Internet
32/35
Esquema Nacional de Seguridad
Recursos
Enlaces de Inters
https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330
Real Decreto 3/2010, de 8 de Enero.
https://www.boe.es/buscar/act.php?id=BOE-A-2007-16830
Orden PRE/2740/2007, de 19 de Septiembre
https://www.boe.es/diario_boe/txt.php?id=BOE-A-2014-4950
Ley 9/2014, 9 de Mayo, General de Telecomunicaciones
http://www.boe.es/buscar/act.php?id=BOE-A-2010-1330
Real Decreto 3/2010, de 8 de enero
http://www.boe.es/diario_boe/txt.php?id=BOE-A-2014-4950
La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
Glosario.
Autenticidad: Propiedad o caracterstica consistente en que una entidad es quien dice ser o bien
que garantiza la fuente de la que proceden los datos.
33/35
Esquema Nacional de Seguridad
Gestin de incidentes: Plan de accin para atender a los incidentes que se den. Adems de
resolverlos debe incorporar medidas de desempeo que permitan conocer la calidad del sistema
de proteccin y detectar tendencias antes de que se conviertan en grandes problemas.
Gestin de riesgos: Actividades coordinadas para dirigir y controlar una organizacin con
respecto a los riesgos.
Principios bsicos de seguridad: Fundamentos que deben regir toda accin orientada a asegurar
la informacin y los servicios.
34/35
Esquema Nacional de Seguridad
Proceso: Conjunto organizado de actividades que se llevan a cabo para producir a un producto o
servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.
Proceso de seguridad: Mtodo que se sigue para alcanzar los objetivos de seguridad de la
organizacin. El proceso se disea para identificar, medir, gestionar y mantener bajo control los
riesgos a que se enfrenta el sistema en materia de seguridad.
Riesgo: Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms
activos causando daos o perjuicios a la organizacin.
Servicios acreditados: Servicios prestados por un sistema con autorizacin concedida por la
autoridad responsable, para tratar un tipo de informacin determinada, en unas condiciones
precisas de las dimensiones de seguridad, con arreglo a su concepto de operacin.
SGSI: Sistema de gestin que, basado en el estudio de los riesgos, se establece para crear,
implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la
informacin. El sistema de gestin incluye la estructura organizativa, las polticas, las
actividades de planificacin, las responsabilidades, las prcticas, los procedimientos, los
procesos y los recursos.
Vulnerabilidad: Una debilidad que puede ser aprovechada por una amenaza.
35/35