ELECTIVA SEGURIDAD EN REDES

INTRODUCCIÓN LA SEGURIDAD EN REDES

GLOSARIO DE LA NORMA ISO 27001 Y 27002

LUIS ALBERTO FLOREZ PEÑA

CODIGO ESTUDIANTIL: 4151410019

DOCENTE:
HEYDER MEDRANO OLIER

UNIVERSIDAD DE CARTAGENA
FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS MODALIDAD A DISTANCIA
CARTAGENA DE INDIAS
OCTUBRE DE 2020
TÉRMINOS Y DEFINICIONES PARA LA NORMA TÉCNICA NTC-ISO/IEC 27001
Y PARA LA NORMA TÉCNICA NTC-ISO/IEC 27002

ACEPTACIÓN DEL RIESGO: Decisión de asumir un riesgo. [Guía ISO/IEC

73:2002]. Termino definido en la norma ISO 27001.

ACTIVO: Cualquier cosa que tiene valor para la organización. [NTC 5411-1:2006].
Termino definido en la norma ISO 27001 e ISO 27002.

AMENAZA: Causa potencial de un incidente no deseado, que puede ocasionar

daño a un sistema u organización. [NTC 5411-1:2006]. Termino definido en la
norma ISO 27002.

ANÁLISIS DE RIESGO: Uso sistemático de la información para identificar las

fuentes y estimar el riesgo. [Guía ISO/IEC 73:2002]. Termino definido en la norma
ISO 27001 e ISO 27002.

CONFIDENCIALIDAD: Propiedad que determina que la información no esté

disponible ni sea revelada a individuos, entidades o procesos no autorizados.
[NTC 5411-1:2006]. Termino definido en la norma ISO 27001.

CONTROL: Medios para gestionar el riesgo, incluyendo políticas, procedimientos,

directrices, prácticas o estructuras de la organización que pueden ser de
naturaleza administrativa, técnica, de gestión o legal. NOTA Control también se
usa como sinónimo de salvaguarda o contramedida. Termino definido en la norma
ISO 27002.

DECLARACIÓN DE APLICABILIDAD: Documento que describe los objetivos de

control y los controles pertinentes y aplicables para el SGSI de la organización.
NOTA: Los objetivos de control y los controles se basan en los resultados y
conclusiones de los procesos de valoración y tratamiento de riesgos, requisitos
legales o reglamentarios, obligaciones contractuales y los requisitos del negocio
de la organización en cuanto a la seguridad de la información. Termino definido en
la norma ISO 27001.
DIRECTRIZ: Descripción que aclara lo que se debería hacer y cómo hacerlo, para
alcanzar los objetivos establecidos en las políticas. [NTC 5411-1:2006]. Termino
definido en la norma ISO 27002.

DISPONIBILIDAD: Propiedad de que la información sea accesible y utilizable por

solicitud de una entidad autorizada. [NTC 5411-1:2006]. Termino definido en la
norma ISO 27001.

EVALUACIÓN DEL RIESGO: Proceso de comparar el riesgo estimado contra

criterios de riesgo dados, para determinar la importancia del riesgo. [Guía ISO/IEC
73:2002]. Termino definido en la norma ISO 27001.

EVALUACIÓN DE RIESGOS. Todo proceso de análisis y valoración del riesgo.

[ISO/IEC Guía 73:2002]. Termino definido en la norma ISO 27002.

EVENTO DE SEGURIDAD DE LA INFORMACIÓN: Presencia identificada de una

condición de un sistema, servicio o red, que indica una posible violación de la
política de seguridad de la información o la falla de las salvaguardas, o una
situación desconocida previamente que puede ser pertinente a la seguridad.
[ISO/IEC TR 18044:2004]. Termino definido en la norma ISO 27001.
Es la presencia identificada de un estado del sistema, del servicio o de la red que
indica un posible incumplimiento de la política de seguridad de la información, una
falla de controles, o una situación previamente desconocida que puede ser
pertinente para la seguridad. [ISO/IEC TR 18044:2000]. Termino definido en la
norma ISO 27002.

GESTIÓN DEL RIESGO: Actividades coordinadas para dirigir y controlar una

organización en relación con el riesgo. [Guía ISO/IEC 73:2002]. Termino definido
en la norma ISO 27001 e ISO 27002.

INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN: Un evento o serie de

eventos de seguridad de la información no deseados o inesperados, que tienen
una probabilidad significativa de comprometer las operaciones del negocio y
amenazar la seguridad de la información. [ISO/IEC TR 18044:2004]. Termino
definido en la norma ISO 27001.
Incidente de seguridad de la información. Un incidente de seguridad de la
información está indicado por un solo evento o una serie de eventos inesperados o
no deseados de seguridad de la información que tienen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad
de la información. Termino definido en la norma ISO 27002.

INTEGRIDAD: Propiedad de salvaguardar la exactitud y estado completo de los

activos. [NTC 5411-1:2006]. Termino definido en la norma ISO 27001.

POLÍTICA: Toda intención y directriz expresada formalmente por la Dirección.

Termino definido en la norma ISO 27002.

RIESGO. Combinación de la probabilidad de un evento y sus consecuencias.

[ISO/IEC Guía 73:2002]. Termino definido en la norma ISO 27002.

RIESGO RESIDUAL: Nivel restante de riesgo después del tratamiento del riesgo.
[Guía ISO/IEC 73:2002]. Termino definido en la norma ISO 27001.

SEGURIDAD DE LA INFORMACIÓN: Preservación de la confidencialidad, la

integridad y la disponibilidad de la información; además, puede involucrar otras
propiedades tales como: autenticidad, trazabilidad (Accountability), no repudio y
fiabilidad. [NTC-ISO/IEC 17799:2006]. Termino definido en la norma ISO 27001.
Preservación de la confidencialidad, integridad y disponibilidad de la información,
además, otras propiedades tales como autenticidad, responsabilidad, no-repudio y
confiabilidad pueden estar involucradas. Definido en la norma ISO 27002.

SERVICIOS DE PROCESAMIENTO DE INFORMACIÓN: Cualquier servicio,

infraestructura o sistema de procesamiento de información o los sitios físicos que
los albergan. Termino definido en la norma ISO 27002.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN – SGSI:

parte del sistema de gestión global, basada en un enfoque hacia los riesgos
globales de un negocio, cuyo fin es establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar la seguridad de la información. NOTA: El
sistema de gestión incluye la estructura organizacional, políticas, actividades de
planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.

TERCERA PARTE: Persona u organismo reconocido por ser independiente de las

partes involucradas, con relación al asunto en cuestión. [ISO/IEC Guía 2:1996].
Termino definido en la norma ISO 27002.

TRATAMIENTO DEL RIESGO: Proceso de selección e implementación de

medidas para modificar el riesgo. [Guía ISO/IEC 73:2002]. NOTA: En la presente
norma el término “control” se usa como sinónimo de “medida”. Termino definido en
la norma ISO 27002 e ISO 27001.

VALORACIÓN DEL RIESGO: Proceso global de análisis y evaluación del riesgo.

[Guía ISO/IEC 73:2002].
Valoración del riesgo. Proceso de comparación del riesgo estimado frente a
criterios de riesgo establecidos para determinar la importancia del riesgo. [ISO/IEC
Guía 73:2002].

VULNERABILIDAD. Debilidad de un activo o grupo de activos que puede ser

aprovechada por una o más amenazas. [NTC 5411-1:2006]. Termino definido en
la norma ISO 27002.
 REFERENCIAS BIBLIOGRAFICAS

 Norma técnica Colombiana NTC-ISO/IEC 27001 - 2006-03-22.

 Norma técnica Colombiana NTC-ISO/IEC 27002 - 2007-11-16.