Lista de términos relacionados con la serie ISO 27000 y la seguridad de la información, definidos en el contexto de los sistemas de gestión de seguridad de la información.
Muchas definiciones provienen de ISO/IEC 27000 estándar disponible para descarga de forma gratuita.
(Inglés: Corrective action). Acción para eliminar la causa de una no conformidad y prevenir su repetición. Va más allá de la simple corrección.
Acción preventiva(Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales no conformidades. Es un concepto de ISO 27001:2005. En ISO 27001:2013, ya no se emplea; ha quedado englobada en Riesgos y Oportunidades.
Accreditation bodyVéase: Entidad de acreditación.
Aceptación del riesgo(Inglés: Risk acceptance). Decisión informada de asumir un riesgo concreto [Fuente: Guía ISO 73: 2009].
La aceptación del riesgo puede ocurrir sin tratamiento de riesgo o durante el proceso de tratamiento de riesgo. Los riesgos aceptados están sujetos a monitoreo y revisión.
Activo(Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor para la organización.
Alcance(Inglés: Scope). Ámbito de la organización que queda sometido al SGSI.
Alcance de auditoría(Inglés: Audit scope). Extensión y límites de una auditoría.
Alta dirección(Inglés: Top management). Persona o grupo de personas que dirige y controla una organización al más alto nivel.
La alta dirección (o alta gerencia) tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización. Si el alcance del sistema de gestión cubre solo una parte de una organización, la alta dirección se refiere a aquellos que dirigen y controlan esa parte de la organización. A la alta dirección a veces se le llama gerencia ejecutiva y puede incluir directores ejecutivos (CEO), directores financieros (CFO), directores de información (CIO) y funciones similares.
Amenaza(Inglés: Threat). Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
Análisis de riesgos(Inglés: Risk analysis). Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. [Fuente: Guía ISO 73: 2009]
El análisis de riesgos proporciona la base para la estimación de riesgos y las decisiones sobre el tratamiento de riesgos. El análisis de riesgos incluye la estimación de riesgos.
Análisis de riesgos cualitativo(Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa algún tipo de escalas de valoración para situar la gravedad del impacto y la probabilidad de ocurrencia.
Análisis de riesgos cuantitativo(Inglés: Quantitative risk analysis). Análisis de riesgos en función de las pérdidas financieras que causaría el impacto.
AssetVéase: Activo.
Assets inventoryVéase: Inventario de activos.
Ataque(Inglés: Attack). Intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer uso no autorizado de un activo.
AuditVéase: Auditoría.
Auditor(Inglés: Auditor). Persona encargada de verificar, de manera independiente, el cumplimiento de unos determinados requisitos.
Auditor de primera parte(Inglés: First party auditor). Auditor interno que audita la organización en nombre de ella misma.
Auditor de segunda parte(Inglés: Second party auditor). Auditor que audita una organización en nombre de otra. Por ejemplo, cuando una empresa audita a su proveedor de outsourcing, o cuando una administración pública ordena una auditoriía de una empresa.
Auditor de tercera parte(Inglés: Third party auditor). Auditor que audita una organización en nombre de una tercera parte independiente que emite un certificado de cumplimiento.
Auditor jefe(Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y efectiva de la auditoría, dentro del alcance y del plan de auditoría acordado.
Auditoría(Inglés: Audit). Proceso sistemático, independiente y documentado para obtener evidencias de auditoriía y evaluarlas objetivamente para determinar el grado en el que se cumplen los criterios de auditoría.
Autenticación(Inglés: Authentication). Provisión de una garantía de que una característica afirmada por una entidad es correcta.
Autenticidad(Inglés: Authenticity). Propiedad de que una entidad es lo que afirma ser.
AuthenticationVéase: Autenticación.
AvailabilityVéase: Disponibilidad.
Norma británica de seguridad de la información, publicada por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera era un conjunto de buenas prácticas para la gestión de la seguridad de la información -no certificable- y la parte segunda especificaba el sistema de gestión de seguridad de la información -certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de éstos últimos.
BSIBritish Standards Institution, la entidad de normalización del Reino Unido, responsable en su día de la publicación de la norma BS 7799, origen de ISO 27001. Su función como entidad de normalización es comparable a la de AENOR en España.
Base measurementVéase: Medida base.
Business Continuity PlanVéase: Plan de continuidad del negocio.
Véase: Entidad de certificación.
CIAVéase: CID. Acrónimo inglés de confidentiality, integrity y availability, las dimensiones básicas de la seguridad de la información.
CID(Inglés: CIA). Acrónimo español de confidencialidad, integridad y disponibilidad, las dimensiones básicas de la seguridad de la información.
CISACertified Information Systems Auditor. Es una acreditación ofrecida por ISACA.
CISMCertified Information Security Manager. Es una acreditación ofrecida por ISACA.
CISSPCertified Information Systems Security Professional. Es una acreditación ofrecida por ISC2.
ChecklistLista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar durante la implantación del SGSI para facilitar su desarrollo.
Clear desk policyVéase: Política de escritorio despejado.
CobiTControl Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de empresas y auditores.
Competencia(Inglés: Competence). Capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos.
Compromiso de la Dirección(Inglés: Management commitment). Alineamiento firme de la Dirección de la organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. La versión de 2013 de ISO 27001 lo engloba bajo la cláusula de Liderazgo.
Comunicación y consulta de riesgos(Inglés: Risk communication and consultation). Conjunto de procesos continuos e iterativos que una organización lleva a cabo para proporcionar, compartir u obtener información y entablar un diálogo con las partes interesadas con respecto a la gestión del riesgo.
La información puede relacionarse con la existencia, naturaleza, forma, probabilidad, importancia, evaluación, aceptabilidad y tratamiento del riesgo.
La consulta es un proceso bidireccional de comunicación informada entre una organización y sus partes interesadas sobre un tema antes de tomar una decisión o determinar una dirección sobre ese tema. La consulta es un proceso que impacta en una decisión a través de la influencia en lugar del poder y una aportación a la toma de decisiones, no a la toma conjunta de decisiones.
Comunidad de intercambio de información(Inglés: Information sharing community). Grupo de organizaciones que acuerdan compartir información (una organización puede ser un individuo).
Confidencialidad(Inglés: Confidentiality). Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.
ConfidentialityVéase: Confidencialidad.
Conformidad(Inglés: Conformity). Cumplimiento de un requisito.
Continuidad de la seguridad de la información(Inglés: Information security continuity). Procesos y procedimientos para garantizar una operativa continuada de la seguridad de la información.
Consecuencia(Inglés: Consequence). Resultado de un evento que afecta los objetivos.
[Fuente: Guía ISO 73: 2009]: Un evento puede llevar a una serie de consecuencias. Una consecuencia puede ser segura o incierta y, en el contexto de la seguridad de la información, suele ser negativa. Las consecuencias pueden expresarse cualitativa o cuantitativamente. Las consecuencias iniciales pueden incrementarse a través de los efectos secundarios.
(Inglés: Governing body). Persona o grupo de personas responsables del desempeño y la conformidad de la organización. El órgano de gobierno puede, en algunas jurisdicciones, ser una junta directiva.
Contexto externo(Inglés: External context). Ambiente externo en el que la organización busca alcanzar sus objetivos.
[Fuente: Guía ISO 73: 2009]: El contexto externo puede incluir el entorno cultural, social, político, legal, regulatorio, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local. También factores y tendencias clave que tienen impacto en los objetivos de la organización o relaciones y percepciones y valores de partes interesadas externas.
Contexto interno(Inglés: Internal context). Ambiente interno en el que la organización busca alcanzar sus objetivos.
[Fuente: Guía ISO 73: 2009]: El contexto interno puede incluir:
- gobernanza, estructura organizativa, roles y responsabilidades;
- políticas, objetivos y las estrategias que existen para lograrlos;
- las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías);
- sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales);
- relaciones y percepciones y valores de las partes interesadas internas;
- la cultura de la organización;
- normas, directrices y modelos adoptados por la organización;
- forma y alcance de las relaciones contractuales.
Contramedida(Inglés: Countermeasure). Véase: Control.
ControlMedida por la que se modifica el riesgo.
[Fuente: ISO Guide 73:2009] Los controles incluyen procesos, políticas, dispositivos, prácticas, entre otras acciones que modifican el riesgo. Es posible que los controles no siempre ejerzan el efecto de modificación previsto o supuesto. Los términos salvaguarda o contramedida son utilizados frecuentemente como sinónimos de control.
Control correctivo(Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado pero que se corrige.
Control detectivo(Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
(Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una amenaza, p.ej., por medio de avisos o de medidas que llevan al atacante a desistir de su intención.
Control preventivo(Inglés: Preventive control). Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
Control selectionVéase: Selección de controles.
Corrección(Inglés: Correction). Acción para eliminar una no conformidad detectada. Si lo que se elimina es la causa de la no conformidad, véase acción correctiva.
CorrectionVéase: Corrección.
Corrective actionVéase: Acción correctiva.
Corrective controlVéase: Control correctivo.
CountermeasureContramedida. Véase: Control.
Criterio del riesgo(Inglés: Risk criteria). Términos de referencia contra los cuales se estima la importancia del riesgo [Fuente: Guía ISO 73: 2009].
Los criterios del riesgo se basan en los objetivos de la organización y el contexto externo y el contexto interno. Los criterios de riesgo pueden derivarse de estándares, leyes, políticas y otros requisitos.
(Inglés: Statement of Applicability; SOA). Documento que enumera los controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y tratamiento de riesgos- y su justificación, así como la justificación de las exclusiones de controles del anexo A de ISO 27001.
Desastre(Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la misma afectada de manera significativa.
Detective controlVéase: Control detectivo.
Deterrent controlVéase: Control disuasorio.
Directiva o directriz(Inglés: Guideline). Una descripción que clarifica qué debería ser hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.
DisasterVéase: Desastre.
Disponibilidad(Inglés: Availability). Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.
DRIIInstituto Internacional de Recuperación de Desastres.
DTISecretaría de Industria y Comercio del Reino Unido. Edita muchas guías prácticas en el ámbito de la seguridad de la información.
(Inglés: Effectiveness). Grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados.
ENACEntidad Nacional de Acreditación. Es el organismo español de acreditación, auspiciado por la Administración, que acredita organismos que realizan actividades de evaluación de la conformidad, sea cual sea el sector en que desarrollen su actividad. Además de laboratorios, entidades de inspección, etc., también acredita a las entidades de certificación, que son las que a su vez certificarán a las empresas en las diversas normas.
Entidad de acreditación(Inglés: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina), etc. En nuestra sección Normalización y Acreditación figuran todas las de países de habla hispana.
Entidad de certificación(Inglés: Certification body). Una empresa u organismo acreditado por una entidad de acreditación para auditar y certificar según diversas normas (ISO 27001, ISO 9001, ISO 14000, etc.) a empresas usuarias de sistemas de gestión.
Entidad de comunicación de información confiable(Inglés: Trusted information communication entity). Organización autónoma que apoya el intercambio de información dentro de una comunidad de intercambio de información.
Entidad de normalización(Inglés: Standards body). Un organismo oficial que genera y publica normas. Suele haber una por país. Son ejemplos de entidades de normalización: AENOR (España), BSI (Reino Unido), DGN (México), IRAM (Argentina), etc. En nuestra sección Normalización y Acreditación figuran todas las de países de habla hispana.
Estándar de implementación de seguridad(Inglés: Security implementation standard). Documento que especifica formas autorizadas para materializar la seguridad.
Estimación de riesgos(Inglés: Risk evaluation). Proceso de comparar los resultados del análisis de riesgos con los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable o tolerable. [Fuente: ISO Guide 73:2009]
La estimación de riesgos ayuda en la decisión sobre el tratamiento de riesgos.
Evaluación de riesgos(Inglés: Risk assessment). Proceso global de identificación, análisis y estimación de riesgos. [Fuente: ISO Guide 73:2009]
Evento(Inglés: Event). Ocurrencia o cambio de un conjunto particular de circunstancias.
[Fuente: ISO Guide 73: 2009]: Un evento puede ser una o más ocurrencias y puede tener varias causas. Un evento puede consistir en que algo no suceda. Un evento a veces puede ser referido como un "incidente" o "accidente".
Evento de seguridad de la información(Inglés: Information security event). Ocurrencia identificada del estado de un sistema, servicio o red de comunicaciones que indica una posible violación de la política de seguridad de la información o falla de los controles, o una situación previamente desconocida que puede ser relevante para la seguridad.
Evidencia objetiva(Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación de un elemento del sistema de gestión de seguridad de la información.
Externalizar(Inglés: Outsource). Establecer un acuerdo donde una organización externa realiza parte de la función o proceso de una organización. Las organizaciones externas está fuera del alcance del sistema de gestión, aunque la función o proceso tercerizado esté dentro del alcance.
(Inglés: Stage 1 Audit). Etapa de la auditoría de primera certificación en la que, fundamentalmente a través de la revisión de documentación, se analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2.
Fase 2 de auditoría(Inglés: Stage 2 Audit). Etapa de la auditoría de primera certificación en la que se comprueba que la organización se ajusta a sus propias políticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo eficaz.
Fiabilidad(Inglés: Reliability). Propiedad del comportamiento y de unos resultados consistentes previstos.
First party auditorVéase: Auditor de primera parte.
Función de medida(Inglés: Measurement function). Algoritmo o cálculo realizado para combinar dos o más medidas de base [Fuente: ISO/IEC/IEEE 15939:2017].
(Inglés: Key management). Controles referidos a la gestión de claves criptográficas.
Gestión de incidentes de seguridad de la información(Inglés: Information security incident management). Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información.
Gestión de riesgos(Inglés: Risk management). Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. [Fuente: ISO Guide 73:2009].
Se compone de la evaluación y el tratamiento de riesgos.
GuidelineVéase: Directiva.
Gobernanza de la seguridad de la información(Inglés: Governance of information security). Sistema mediante el cual las actividades de seguridad de la información (3.28) de una organización (3.28) se dirigen y controlan.
Governing bodyVéase: Consejo de administración.
Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
(Inglés: Risk identification). Proceso de encontrar, reconocer y describir riesgos [Fuente: Guía ISO 73:2009].
La identificación de riesgos implica la identificación de las fuentes del riesgo, eventos, sus causas y sus posibles consecuencias. La identificación de riesgos puede involucrar datos históricos, análisis teóricos, opiniones informadas y de expertos, y las necesidades de las partes interesadas.
IECInternational Electrotechnical Commission. Organización internacional que publica estándares relacionados con todo tipo de tecnologías eléctricas y electrónicas.
IIAInstituto de Auditores Internos.
Impacto(Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc-.
ImpactVéase: Impacto.
Incidente de seguridad de la información(Inglés: Information security incident). Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.
Indicador(Inglés: Indicator). Medida que proporciona una estimación o evaluación.
Información documentada(Inglés: Documented information). Información requerida para ser controlada y mantenida por una organización y el medio en el que está contenida.
La información documentada puede estar en cualquier formato y medio y desde cualquier fuente y puede referirse al sistema de gestión (incluidos los procesos relacionados), información creada para que la organización funcione (documentación) y/o evidencias de resultados alcanzados (registros).
Information processing facilitiesVéase: Recursos de tratamiento de información.
Information securityVéase: Seguridad de la información.
Information security incidentVéase: Incidente de seguridad de la información.
Information security incident managementVéase: Gestión de incidentes de seguridad de la información.
Information Security Management System (ISMS)Véase: Sistema de Gestión de Seguridad de la Información (SGSI).
Integridad(Inglés: Integrity). Propiedad de la información relativa a su exactitud y completitud.
IntegrityVéase: Integridad.
Interested partyVéase: Parte interesada.
Inventario de activos(Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
IRCAInternational Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001.
ISACAInformation Systems Audit and Control Association. Publica CobiT y gestiona diversas acreditaciones personales en el ámbito de la auditoría de sistemas y la seguridad de la información.
ISC2Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que gestiona diversas acreditaciones personales en el ámbito de la seguridad de la información.
ISMSInformation Security Management System. Véase: SGSI.
ISOOrganización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de entidades nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar estándares (normas).
ISO 17799Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO transcribiendo la primera parte de BS7799. Dio lugar a ISO 27002, por cambio de nomenclatura, el 1 de Julio de 2007. Ya no está en vigor.
ISO 19011“Guidelines for auditing management systems”. Norma con directrices para la auditoría de sistemas de gestión. Guía de utilidad para el desarrollo, ejecución y mejora del programa de auditoría interna de un SGSI.
ISO/IEC 27001Norma que establece los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Primera publicación en 2005; segunda edición en 2013. Es la norma en base a la cual se certifican los SGSI a nivel mundial.
ISO/IEC 27002Código de buenas prácticas en gestión de la seguridad de la información. Primera publicación en 2005; segunda edición en 2013. No es certificable.
ISO 9001Norma que establece los requisitos para un sistema de gestión de la calidad.
ISSAInformation Systems Security Association.
ITILIT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.
ITSECCriterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).
Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las tecnologías de la información.
Véase: Gestión de claves.
Véase: Auditor jefe.
LikelihoodVéase: Probabilidad.
Véase: Compromiso de la Dirección.
Measurement functionVéase: Función de medida.
Medida(Inglés: Measure). Variable a la que se asigna un valor como resultado de la medición [FUENTE: ISO/IEC/IEEE 15939: 2017].
Medida base/fundamental(Inglés: Base measure). Medida definida en términos de un atributo y el método para cuantificarla. Una medida base es funcionalmente independiente de otras medidas.
Medida derivada(Inglés: Derived measure). Medida que se define como una función de dos o más valores de medidas base/fundamentales.
Medición(Inglés: Measurement). Proceso para determinar un valor.
Mejora continuaActividad recurrente para aumentar el rendimiento.
Método de medida(Inglés: Measurement method). Secuencia lógica de operaciones, descrita genéricamente, utilizada para cuantificar un atributo con respecto a una escala específica.
[Fuente: ISO / IEC / IEEE 15939: 2017] El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un atributo. Se pueden distinguir dos tipos: subjetivo (cuantificación que implica juicio humano) y objetivo (cuantificación basada en reglas numéricas).
Monitoreo(Inglés: Monitoring). Determinar el estado de un sistema, un proceso o una actividad. Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente..
Oficina Nacional de Normas de los EE.UU.
Necesidad de información(Inglés: Information need). Conocimiento requerido para gestionar objetivos, metas, riesgos y problemas [Fuente: ISO/IEC/IEEE 15939: 2017].
NIST(ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.
Nivel de riesgo(Inglés: Level of risk). Magnitud de un riesgo expresado en relación a la combinación de consecuencias y su probabilidad [Fuente: ISO Guide 73: 2009].
No conformidad(Inglés: Nonconformity). Incumplimiento de un requisito.
NonconformityVéase: No conformidad.
No repudioCapacidad de probar la ocurrencia de un evento o acción reclamada y sus entidades de origen.
Según [CCN-STIC-405:2006]: El no repudio o irrenunciabilidad es un servicio de seguridad que permite probar la participación de las partes en una comunicación.
Según [OSI ISO-7498-2]: Servicio de seguridad que previene que un emisor niegue haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor niegue su recepción (cuando realmente lo ha recibido).
Véase: Evidencia objetiva.
Objetivo(Inglés: Objective). Resultado a alcanzar.
Un objetivo puede ser estratégico, táctico u operativo. Los objetivos pueden relacionarse con diferentes disciplinas (como las metas financieras, de salud y seguridad y ambientales) y pueden aplicarse a diferentes niveles (como estratégico, de toda la organización, proyecto, producto y proceso). Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, como un objetivo de seguridad de la información o mediante el uso de otras palabras con un significado similar (por ejemplo, propósito, meta o hito).
En el contexto de los sistemas de gestión de seguridad de la información, la organización establece los objetivos de seguridad de la información, de acuerdo con la política de seguridad de la información, para lograr resultados específicos.
(Inglés: Control objective). Declaración que describe lo que se debe lograr como resultado de la implementación de los controles.
Objetivo de la revisión(Inglés: Review objective). Declaración que describe lo que se debe lograr como resultado de una revisión.
Organización(Inglés: Organization). Persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos.
El concepto de organización incluye pero no se limita a un comerciante individual, compañía, corporación, agencia, empresa, autoridad, sociedad, organización benéfica o institución, o parte o combinación de las anteriores, ya sea sociedad anónima o no, pública o privada.
OutsourceVéase: Externalización.
(Inglés: Interested party / Stakeholder). Persona u organización que puede afectar a, ser afectada por o percibirse a sí misma como afectada por una decisión o actividad.
PDCAPlan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). La actual versión de ISO 27001 ya no lo menciona directamente, pero sus cláusulas pueden verse como alineadas con él.
Plan de continuidad del negocio(Inglés: Bussines Continuity Plan). Plan orientado a permitir la continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.
Plan de tratamiento de riesgos(Inglés: Risk treatment plan). Documento que define las acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.
Política(Inglés: Policy). Intenciones y dirección de una organización, expresada formalmente por su alta dirección.
Política de escritorio despejado(Inglés: Clear desk policy). La política de la empresa que indica a los empleados que deben dejar su área de trabajo libre de cualquier tipo de informaciones susceptibles de mal uso en su ausencia.
Preventive actionVéase: Acción preventiva.
Preventive controlVéase: Control preventivo.
Probabilidad(Inglés: Likelihood). Posibilidad de que ocurra algo.
Proceso(Inglés: Process). Conjunto de actividades interrelacionadas o interactuantes que transforman unas entradas en salidas.
Proceso de gestión del riesgo(Inglés: Risk management process). Aplicación sistemática de políticas de gestión, procedimientos y prácticas a las actividades de comunicación, consultoría, establecimiento del contexto e identificación, análisis, evaluación, tratamiento, monitoreo y revisión de riesgos [Fuente: ISO Guide 73: 2009].
ISO/IEC 27005 utiliza el término "proceso" para describir la gestión de riesgos en general. Los elementos dentro del proceso de gestión de riesgos se denominan "actividades".
ProcessVéase: Proceso.
Profesional del sistema de gestión de seguridad de la información (SGSI)(Inglés: Information security management system (ISMS) professional). Persona que establece, implementa, mantiene y mejora continuamente uno o más procesos del sistema de gestión de seguridad de la información.
Propietario del riesgo(Inglés: Risk owner). Persona o entidad con responsabilidad y autoridad para gestionar un riesgo [Fuente: ISO Guide 73:2009].
Véase: Análisis de riesgos cualitativo.
Quantitative risk analysisVéase: Análisis de riesgos cuantitativo.
(Inglés: Information processing facilities). Cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizadas para su alojamiento.
ReliabilityVéase: Fiabilidad.
Rendimiento(Inglés: Performance). Resultado medible.
El rendimiento puede relacionarse con hallazgos cuantitativos o cualitativos. El rendimiento puede relacionarse con la gestión de actividades, procesos, productos (incluidos servicios), sistemas u organizaciones.
Requisito(Inglés: Requirement). Necesidad o expectativa que es establecida, generalmente de forma implícita u obligatoria.
“Generalmente implícita” significa que es costumbre o práctica común para la organización y las partes interesadas donde la necesidad o expectativa bajo consideración está implícita. Un requisito especificado es uno que se establece, por ejemplo, en información documentada.
Residual riskVéase: Riesgo residual.
Revisión(Inglés: Review). Actividad realizada para determinar la idoneidad, adecuación y efectividad del objeto de estudio para lograr los objetivos establecidos [Fuente: ISO Guide 73: 2009].
Riesgo(Inglés: Risk). Efecto de la incertidumbre sobre los objetivos.
Un efecto es una desviación de lo esperado: positivo o negativo.
La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o probabilidad.
El riesgo a menudo se caracteriza por la referencia a posibles "eventos" (Guía ISO 73: 2009) y "consecuencias" (Guía ISO 73: 2009) o una combinación de estos.
El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la "probabilidad" asociada (Guía ISO 73: 2009) de ocurrencia.
En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información pueden expresarse como un efecto de incertidumbre sobre los objetivos de seguridad de la información.
El riesgo de seguridad de la información está asociado con el potencial de que las amenazas exploten las vulnerabilidades de un activo de información o grupo de activos de información y, por lo tanto, causen daños a una organización.
Riesgo residual(Inglés: Residual risk). El riesgo que permanece tras el tratamiento del riesgo.
El riesgo residual puede contener un riesgo no identificado. El riesgo residual también puede denominarse "riesgo retenido".
RiskVéase: Riesgo.
Risk acceptanceVéase: Aceptación del riesgo.
Risk analysisVéase: Análisis de riesgos.
Risk assessmentVéase: Evaluación de riesgos.
Risk criteriaVéase: Criterio del riesgo.
Risk evaluationVéase: Estimación de riesgos.
Risk identificationVéase: Identificación de riesgos.
Risk managementVéase: Gestión de riesgos.
Risk management processVéase: Proceso de gestión de riesgos.
Risk ownerVéase: Propietario del riesgo.
Risk treatmentVéase: Tratamiento de riesgos.
Risk treatment planVéase: Plan de tratamiento de riesgos.
Salvaguarda. Véase: Control.
Salvaguarda(Inglés: Safeguard). Véase: Control.
Sarbanes-OxleyLey de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la seguridad de la información financiera.
SC27Subcomité 27 del JTC1 (Joint Technical Committee) de ISO e IEC. Se encarga del desarrollo de los estándares relacionados con técnicas de seguridad de la información..
ScopeVéase: Alcance.
Second party auditorVéase: Auditor de segunda parte.
Segregación de tareas(Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.
Segregation of dutiesVéase: Segregación de tareas.
Seguridad de la información(Inglés: Information security). Preservación de la confidencialidad, integridad y disponibilidad de la información.
Adicionalmente, otras propiedades como la autenticidad, la responsabilidad, el no repudio y la confiabilidad también pueden estar involucradas.
Selección de controles(Inglés: Control selection). Proceso de elección de los controles que aseguren la reducción de los riesgos a un nivel aceptable.
SGSI(Inglés: ISMS). Véase: Sistema de Gestión de la Seguridad de la Información.
Sistema de Gestión(Inglés: Management System). Conjunto de elementos interrelacionados o interactivos de una organización para establecer políticas y objetivos y procesos para alcanzar esos objetivos.
Un sistema de gestión puede abordar una sola disciplina o varias disciplinas. Los elementos del sistema incluyen la estructura, roles y responsabilidades, planificación y operación de la organización. El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un grupo de organizaciones.
Sistema de Gestión de la Seguridad de la Información(Inglés: Information Security Management System). Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.
Sistema de Información(Inglés: Information system). Conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes que manejan información.
SoAAcrónimo inglés de Statement of Applicability. Véase: Declaración de aplicabilidad.
SSCPSystems Security Certified Practitioner. Una acreditación personal de ISC2.
Stage 1 AuditVéase: Fase 1 de auditoría.
Stage 2 AuditVéase: Fase 2 de auditoría.
StakeholderVéase: Parte interesada.
Standards bodyVéase: Entidad de normalización.
Statement of Applicability (SoA)Véase: Declaración de aplicabilidad.
Véase: Auditor de tercera parte.
ThreatVéase: Amenaza.
Tratamiento de riesgos(Inglés: Risk treatment). Proceso para modificar el riesgo [Fuente: Guía ISO 73: 2009].
Las acciones de tratamiento del riesgo pueden contemplar:
- evitar el riesgo al decidir no comenzar o continuar con la actividad que da lugar al riesgo;
- asumir o aumentar el riesgo para aprovechar una oportunidad;
- eliminar la fuente de riesgo;
- modificar la probabilidad;
- modificar las consecuencias;
- compartir el riesgo con otra parte o partes (incluidos contratos y financiación del riesgo);
- retener el riesgo mediante una elección informada.
Las acciones de tratamiento del riesgo sobre consecuencias negativas a veces se denominan "mitigación de riesgos", "eliminación de riesgos", "prevención de riesgos" y "reducción de riesgos".
El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
Trazabilidad(Inglés: Accountability). Según [CESID:1997]: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad.
Norma española de ámbito local como versión adaptada de BS7799-2. Ya no está en vigor.
(Inglés: Vulnerability). Debilidad de un activo o control que puede ser explotada por una o más amenazas.
VulnerabilityVéase: Vulnerabilidad.
Vulnerabilidad(Inglés: Vulnerability). Debilidad de un activo o control que puede ser explotada por una o más amenazas.
VulnerabilityVéase: Vulnerabilidad.
WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estándares relacionados con técnicas de seguridad de la información.