Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD SISTEMAS DE
INFORMACIÓN
TERMINOLOGÍA.
Terminología
• Acción correctiva: (Inglés: Corrective • Amenaza: (Inglés: Threat). Causa
action). Acción para eliminar la causa de potencial de un incidente no deseado,
una no conformidad y prevenir su que puede provocar daños a un
Terminología
repetición. Va más allá de la simple sistema o a la organización..
corrección.
• Análisis de riesgos (Inglés: Risk
• Acción preventiva: (Inglés: Preventive analysis). Proceso para comprender la
action). Medida de tipo pro-activo naturaleza del riesgo y determinar el
orientada a prevenir potenciales no nivel de riesgo.
conformidades. Es un concepto de ISO
27001:2005. En ISO 27001:2013, ya no se • Análisis de riesgos cualitativo (Inglés:
emplea; ha quedado englobada en Riesgos Qualitative risk analysis). Análisis de
y Oportunidades. riesgos en el que se usa algún tipo de
escalas de valoración para situar la
• Aceptación del riesgo (Inglés: Risk gravedad del impacto y la probabilidad
acceptance). Decisión informada de de ocurrencia.
asumir un riesgo concreto.
• Análisis de riesgos cuantitativo (Inglés:
• Activo (Inglés: Asset). En relación con la Quantitative risk analysis). Análisis de
seguridad de la información, se refiere a riesgos en función de las pérdidas
cualquier información o elemento financieras que causaría el impacto.
relacionado con el tratamiento de la
misma (sistemas, soportes, edificios, • Auditor (Inglés: Auditor). Persona
personas...) que tenga valor para la encargada de verificar, de manera
organización. independiente, el cumplimiento de
unos determinados requisitos.
• Alcance: (Inglés: Scope). Ámbito de la
organización que queda sometido al SGSI.
Terminología
• Auditor de primera parte: (Inglés: First • Autenticación (Inglés: Authentication).
party auditor). Auditor interno que audita Provisión de una garantía de que una
la organización en nombre de ella misma. característica afirmada por una
Terminología
individuos, entidades o procesos no operaciones o servicios habituales de
autorizados. una organización durante el tiempo
• Control: Las políticas, los procedimientos, suficiente como para verse la misma
las prácticas y las estructuras organizativas afectada de manera significativa.
concebidas para mantener los riesgos de • Disponibilidad: (Inglés: Availability).
seguridad de la información por debajo Propiedad de la información de estar
del nivel de riesgo asumido. Control es accesible y utilizable cuando lo
también utilizado como sinónimo de requiera una entidad autorizada.
salvaguarda o contramedida. En una
definición más simple, es una medida que • Estimación de riesgos: (Inglés: Risk
modifica el riesgo. evaluation). Proceso de comparar los
resultados del análisis de riesgos con
• Declaración de aplicabilidad: (Inglés: los criterios de riesgo para determinar
Statement of Applicability; SOA). si el riesgo y/o su magnitud es
Documento que enumera los controles aceptable o tolerable.
aplicados por el SGSI de la organización -
tras el resultado de los procesos de • Evaluación de riesgos: (Inglés: Risk
evaluación y tratamiento de riesgos- y su assessment). Proceso global de
justificación, así como la justificación de las identificación, análisis y estimación de
exclusiones de controles del anexo A de riesgos.
ISO 27001.
Terminología
• Evidencia objetiva: (Inglés: Objective • Impacto (Inglés: Impact). El coste para
evidence). Información, registro o la empresa de un incidente -de la
declaración de hechos, cualitativa o escala que sea-, que puede o no ser
Terminología
cuantitativa, verificable y basada en medido en términos estrictamente
observación, medida o test, sobre financieros -p.ej., pérdida de
aspectos relacionados con la reputación, implicaciones legales, etc-.
confidencialidad, integridad o
disponibilidad de un proceso o servicio o • Incidente de seguridad de la
con la existencia e implementación de un información (Inglés: Information
elemento del sistema de gestión de security incident). Evento único o serie
seguridad de la información. de eventos de seguridad de la
información inesperados o no
• Gestión de incidentes de seguridad de la deseados que poseen una
información (Inglés: Information security probabilidad significativa de
incident management). Procesos para comprometer las operaciones del
detectar, reportar, evaluar, responder, negocio y amenazar la seguridad de la
tratar y aprender de los incidentes de información.
seguridad de la información.
• Integridad.(Inglés: Integrity). Propiedad
• Gestión de riesgos. (Inglés: Risk de la información relativa a su
management). Actividades coordinadas exactitud y completitud.
para dirigir y controlar una organización
con respecto al riesgo. Se compone de la • Inventario de activos. (Inglés: Assets
evaluación y el tratamiento de riesgos. inventory). Lista de todos aquellos
recursos (físicos, de información,
• Identificación de riesgos: (Inglés: Risk software, documentos, servicios,
identification). Proceso de encontrar, personas, intangibles, etc.) dentro del
reconocer y describir riesgos. alcance del SGSI, que tengan valor
para la organización y necesiten por
tanto ser protegidos de potenciales
riesgos.
Terminología
• Objetivo. (Inglés: Objetive). Declaración del • Plan de tratamiento de riesgos: (Inglés:
resultado o fin que se desea lograr Risk treatment plan). Documento que
mediante la implementación de define las acciones para gestionar los
Terminología
procedimientos de control en una riesgos de seguridad de la información
actividad determinada. inaceptables e implantar los controles
• Parte interesada: (Inglés: Interested party / necesarios para proteger la misma.
Stakeholder). Persona u organización que • Política de escritorio despejado:
puede afectar a, ser afectada por o (Inglés: Clear desk policy). La política
percibirse a sí misma como afectada por de la empresa que indica a los
una decisión o actividad. empleados que deben dejar su área
• PDCA:Plan-Do-Check-Act. Modelo de de trabajo libre de cualquier tipo de
proceso basado en un ciclo continuo de informaciones susceptibles de mal uso
las actividades de planificar (establecer el en su ausencia.
SGSI), realizar (implementar y operar el • Propietario del riesgo. (Inglés: Risk
SGSI), verificar (monitorizar y revisar el owner). Persona o entidad con
SGSI) y actuar (mantener y mejorar el responsabilidad y autoridad para
SGSI). La actual versión de ISO 27001 ya no gestionar un riesgo.
lo menciona directamente, pero sus
cláusulas pueden verse como alineadas • Recursos de tratamiento de
con él. información:(Inglés: Information
processing facilities). Cualquier
• Plan de continuidad del negocio:(Inglés: sistema, servicio o infraestructura de
Bussines Continuity Plan). Plan orientado a tratamiento de información o
permitir la continuación de las principales ubicaciones físicas utilizadas para su
funciones del negocio en el caso de un alojamiento.
evento imprevisto que las ponga en
peligro. • Residual risk:Véase: Riesgo residual.
Terminología
• Riesgo:(Inglés: Risk). Posibilidad de que • Sistema de Gestión de la Seguridad de
una amenaza concreta pueda explotar una la Información:(Inglés: Information
vulnerabilidad para causar una pérdida o Security Management System).
Terminología
daño en un activo de información. Suele Conjunto de elementos
considerarse como una combinación de la interrelacionados o interactuantes
probabilidad de un evento y sus (estructura organizativa, políticas,
consecuencias. planificación de actividades,
• Riesgo residual: (Inglés: Residual risk). El responsabilidades, procesos,
riesgo que permanece tras el tratamiento procedimientos y recursos) que utiliza
del riesgo. una organización para establecer una
política y unos objetivos de seguridad
• Seguridad de la información (Inglés: de la información y alcanzar dichos
Information security). Preservación de la objetivos, basándose en un enfoque
confidencialidad, integridad y de gestión del riesgo y de mejora
disponibilidad de la información. continua.
• Selección de controles:(Inglés: Control • SoA: Acrónimo inglés de Statement of
selection). Proceso de elección de los Applicability. Véase: Declaración de
controles que aseguren la reducción de los aplicabilidad.
riesgos a un nivel aceptable.
• Tratamiento de riesgos: (Inglés: Risk
• SGSI:(Inglés: ISMS). Véase: Sistema de treatment). Proceso de modificar el
Gestión de la Seguridad de la Información. riesgo, mediante la implementación de
controles.
Terminología
• Trazabilidad:(Inglés: Accountability). Según • .
[CESID:1997]: Cualidad que permite que
todas las acciones realizadas sobre la
Terminología
información o un sistema de tratamiento
de la información sean asociadas de modo
inequívoco a un individuo o entidad.
• Vulnerabilidad: (Inglés: Vulnerability).
Debilidad de un activo o control que
puede ser explotada por una o más
amenazas.
• ¿Por qué es importante?
• ¿Dónde interviene la
gestión de seguridad de la
información en una empresa?
• ¿Cómo es realmente ISO
27001?
•
INTRODUCCIÓN.
ISO 27001
• ISO 27001 es una norma internacional emitida por la
Organización Internacional de Normalización (ISO) y
describe cómo gestionar la seguridad de la información en
una empresa. La revisión más reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC
27001:2013. La primera revisión se publicó en 2005 y fue
desarrollada en base a la norma británica BS 7799-2.
• ISO 27001 puede ser implementada en cualquier tipo de
organización, con o sin fines de lucro, privada o pública,
pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una
metodología para implementar la gestión de la seguridad de
la información en una organización. También permite que
una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de
la información ha sido implementada en esa organización en
cumplimiento con la norma ISO 27001.
ISO 27001
• ISO 27001 se ha convertido en la principal norma
a nivel mundial para la seguridad de la
información y muchas empresas han certificado
su cumplimiento.
• El eje central de ISO 27001 es proteger la
confidencialidad, integridad y disponibilidad de la
información en una empresa.
• Esto lo hace investigando cuáles son los
potenciales problemas que podrían afectar la
información (es decir, la evaluación de riesgos) y
luego definiendo lo que es necesario hacer para
evitar que estos problemas se produzcan (es
decir, mitigación o tratamiento del riesgo).
ISO 27001
• Por lo tanto, la filosofía principal de la norma
ISO 27001 se basa en la gestión de riesgos:
• investigar dónde están los riesgos y luego
tratarlos sistemáticamente.
• Básicamente, la seguridad de la
información es parte de la gestión
global del riesgo en una
empresa, hay aspectos que se
superponen con la ciberseguridad, con la
gestión de la continuidad del negocio y con
la tecnología de la información
¿Cómo es realmente
ISO 27001?
• ISO/IEC 27001 se divide en 11 secciones más el anexo
A; las secciones 0 a 3 son introductorias (y no son
obligatorias para la implementación), mientras que
las secciones 4 a 10 son obligatorias, lo que implica
que una organización debe implementar todos sus
requerimientos si quiere cumplir con la norma.
• Los controles del Anexo A deben implementarse sólo
si se determina que corresponden en la Declaración
de aplicabilidad.
• De acuerdo con el Anexo SL de las Directivas ISO/IEC
de la Organización Internacional para la
Normalización, los títulos de las secciones de ISO
27001 son los mismos que en ISO 22301:2012, en la
nueva ISO 9001:2015 y en otras normas de gestión, lo
que permite integrar más fácilmente estas normas.
• Sección 0 – Introducción
• Sección 1 – Alcance
• Sección 2 – Referencias
normativas –
• Sección 3 – Términos y
definiciones –
• Sección 4 – Contexto de la
organización
• Sección 5 – Liderazgo –
• Sección 6 – Planificación –
• Sección 7 – Apoyo –
Esta foto de Autor desconocido está bajo licencia CC BY-NC-SA
• Sección 8 – Funcionamiento
• Sección 9 – Evaluación del
desempeño –Sección 10 – Mejora –