ISO 27000 Norma

Tal como hace referencia el título de este capítulo de la norma, en él se citan las
referencias normativas en las que está basada la norma ISO 27001.

Actualmente se cita como referencia normativa la norma ISO / IEC 27000: 2018
tecnología de la información - Técnicas de seguridad - Sistemas de gestión de
seguridad de la información - Descripción general y vocabulario
ISO / IEC 27000: 2018 nos aporta una perspectiva general de los sistemas de
gestión de seguridad de la información (SGSI). Para ello, nos proporciona los
términos y definiciones que se utilizan comúnmente en la familia de normas
sobre seguridad de la información.
En este documento se proporcionan:
- Los términos y definiciones de uso común en la familia de normas

SGSI aunque ISO 27000, no abarca todos los términos y
definiciones aplicados en los sistemas de gestión SGSI. Es por ello
que cada estándar SGSI puede definir nuevos términos de uso. Tal
es el caso de la norma ISO 27001 que define además sus
propios términos y definiciones.
ISO 27000 EXPLICADA PUNTO POR PUNTO

ISO 27000 punto por punto
 ISO 27000 términos y definiciones
 ISO 27000 ¿qué es un sgsi?
 ISO 27000 enfoque de procesos
 ISO 27000 ¿por qué es importante un sgsi?
 ISO 27000 establecimiento, seguimiento, mantenimiento
y mejora de un sgsi.
 ISO 27000 factores críticos de éxito del sgsi
 ISO 27000 beneficios de la familia de normas 27000
 ISO 27000 la familia de normas
ISO 27000 TÉRMINOS Y DEFINICIONES
La norma define los siguientes términos y definiciones como lenguaje común
para todos los estándares ISO sobre la seguridad de la información
ISO 27000 Glosario de términos y definiciones

 3.1 CONTROL DE ACCESO
 3.2 ATAQUE
 3.3 AUDITORIA
 3.4 ALCANCE DE AUDITORÍA
 3.5 AUTENTICACIÓN
 3.6 AUTENTICIDAD
 3.7 DISPONIBILIDAD
 3.8 MEDIDA BASE
 3.9 COMPETENCIA
 3.10 CONFIDENCIALIDAD
 3.11 CONFORMIDAD
 3.12 CONSECUENCIA
 3.13 MEJORA CONTINUA
 3.14 CONTROL
 3.15 OBJETIVO DE CONTROL
 3.16 CORRECCIÓN
 3.17 ACCIÓN CORRECTIVA
 3.18 MEDIDA DERIVADA
 3.19 INFORMACIÓN DOCUMENTADA
 3.20 EFECTIVIDAD
 3.21 EVENTO
 3.22 CONTEXTO EXTERNO
 3.23 GOBERNANZA DE LA SEGURIDAD DE LA
INFORMACIÓN
 3.24 ÓRGANO RECTOR
 3.25 INDICADOR
 3.26 NECESIDAD DE INFORMACIÓN
 3.27 INSTALACIONES DE PROCESAMIENTO DE
INFORMACIÓN
 3.28 SEGURIDAD DE INFORMACIÓN
 3.29 CONTINUIDAD DE LA SEGURIDAD DE LA
INFORMACIÓN
 3.30 EVENTO DE SEGURIDAD DE LA
INFORMACIÓN
 3.31 INCIDENTE DE SEGURIDAD DE LA
INFORMACIÓN
 3.32 GESTIÓN DE INCIDENTES DE SEGURIDAD DE
LA INFORMACIÓN
 3.33 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI) PROFESIONAL.
 3.34 COMUNIDAD DE INTERCAMBIO DE
INFORMACIÓN
 3.35 SISTEMA DE INFORMACIÓN
 3.36 INTEGRIDAD
 3.37 PARTE INTERESADA
 3.38 CONTEXTO INTERNO
 3.39 NIVEL DE RIESGO
 3.40 PROBABILIDAD
 3.41 SISTEMA DE GESTIÓN
 3.42 MEDIDA
 3.43 MEDICIÓN
 3.44 FUNCIÓN DE MEDICIÓN
 3.45 MÉTODO DE MEDIDA
 3.46 MONITOREO
 3.47 NO CONFORMIDAD
 3.48 NO REPUDIO
 3.49 OBJETIVO
 3.50 ORGANIZACIÓN
 3.51 EXTERNALIZAR
 3.52 DESEMPEÑO
 3.53 POLÍTICA
 3.54 PROCESO
 3.55 CONFIABILIDAD
 3.56 REQUISITO
 3.57 RIESGO RESIDUAL
 3.58 REVISIÓN
 3.59 OBJETO DE REVISIÓN
 3.60 OBJETIVO DE REVISIÓN
 3.61 RIESGO
 3.62 ACEPTACIÓN DEL RIESGO
 3.63 ANÁLISIS DE RIESGO
 3.64 EVALUACIÓN DE RIESGOS
 3.65 COMUNICACIÓN Y CONSULTA DE RIESGOS.
 3.66 CRITERIOS DE RIESGO
 3.67 EVALUACIÓN DE RIESGO
 3.68 IDENTIFICACIÓN DE RIESGO
 3.69 GESTIÓN DE RIESGOS
 3.70 PROCESO DE GESTIÓN DE RIESGOS
 3.71 PROPIETARIO DE RIESGO
 3.72 TRATAMIENTO DE RIESGO
 3.73 ESTÁNDAR DE IMPLEMENTACIÓN DE
SEGURIDAD
 3.74 AMENAZA
 3.75 ALTA DIRECCIÓN
 3.76 ENTIDAD DE COMUNICACIÓN DE
INFORMACIÓN CONFIABLE
 3.77 VULNERABILIDAD
3.1 CONTROL DE ACCESO
“medios para garantizar que el acceso a los activos esté autorizado y restringido
según los requisitos comerciales y de seguridad”
El control de acceso es una forma de limitar el acceso a un sistema o a recursos

físicos o virtuales. En sistemas de la información, el control de acceso es un
proceso mediante el cual los usuarios obtienen acceso y ciertos privilegios a los
sistemas, recursos o información.
En los sistemas de control de acceso, los usuarios deben presentar las

credenciales antes de que se les pueda otorgar el acceso. En los sistemas físicos,
estas credenciales pueden tener muchas formas, pero las credenciales que no se
pueden transferir brindan la mayor seguridad.
En el siguiente articulo pueden leer mas acerca de los requisitos para el control
de accesos.
CONTROL DE ACCESO en ISO 27002

3.2 ATAQUE
"Intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no
autorizado o hacer un uso no autorizado de un activo"
Los ataques cibernéticos son los mas comunes hoy en día. Un ciber ataque es un
ataque contra un sistema informático, una red o una aplicación o dispositivo
habilitado para Internet. Los piratas informáticos utilizan una variedad de
herramientas para lanzar ataques, incluidos malware, ransomware , kits de
explotación y otros métodos.
En la actualidad
Las víctimas de ataques cibernéticos pueden ser aleatorias o dirigidas,
dependiendo de las intenciones de los delincuentes cibernéticos. Durante 2017,
hemos sufrido una ola sin precedentes de ataques ransomware. Las noticias sobre
el brote de ransomware comenzaron en Europa, y el Servicio Nacional de Salud
de Gran Bretaña fue uno de los primeros objetivos del ataque cibernético antes de
despegar a nivel mundial. Los hospitales se cerraron en todo el Reino Unido
cuando los archivos se cifraron. Al final, miles de organizaciones se vieron
afectadas en más de 150 países.
Si bien un ataque de ransomware es solo una forma de ataque cibernético, otros
ataques ocurren cuando los piratas informáticos crean un código malicioso
conocido como malware y lo distribuyen a través de campañas de correo
electrónico no deseado o campañas de phishing.
3.3 AUDITORÍA
Proceso sistemático, independiente y documentado para obtener evidencia de
auditoría y evaluarla objetivamente para determinar hasta qué punto se cumplen
los criterios de auditoría.
Las auditorias pueden ser internas o externas
En cuanto a las auditorías Internas pueden ser realizadas por la misma

organización o por una parte externa en su nombre.
Los conceptos de "Evidencia de auditoría" y "criterios de auditoría" se definen en

ISO 19011 dentro del proceso de recopilación de información para alcanzar las
conclusiones de auditoria.
Una auditoría incluye una verificación que garantice que la seguridad de la
información cumple con todas las expectativas y requisitos de la norma ISO
27001 dentro de una organización. Durante este proceso, se revisa la
documentación del SGSI se entrevista a los empleados sobre los roles de
seguridad y otros detalles relevantes.
Cada organización debe realizar auditorías de seguridad de forma periódica para

garantizar que los datos y los activos estén protegidos.
En primer lugar se define el alcance de la auditoría detallando los activos de la

empresa relacionados con la seguridad de la información, incluidos equipos
informáticos, teléfonos, redes, correo electrónico, datos y cualquier elemento
relacionado con el acceso, como tarjetas, tokens y contraseñas.
En segundo lugar, se deben revisar las amenazas de activos, tanto las que ya se
han detectado como las posibles o futuras. Para ello deberemos debe mantenerse
al tanto de las nuevas tendencias en el campo de la seguridad de la información,
así como de las medidas de seguridad adoptadas por otras compañías.
En tercer lugar, el equipo de auditoría debe estimar impacto que podría causar la
posible materialización de las amenazas para la seguridad de la informaciones
este momento es cuando hay que evaluar el plan y los controles establecidos para
mantener las operaciones comerciales después de que haya ocurrido una amenaza
Finalmente deberemos evaluar la eficacia de las medidas de control establecidas

y de la evaluación del riesgo potencial de las amenazas a los distintos activos de
información para establecer informes de resultados de auditorías que nos
permitan evaluar las necesidades de mejora tanto en los controles establecidos
como en las necesidades de hacer cambios en la evaluación de los riesgos de los
activos
Leer más sobre:
Consideraciones sobre la auditoría de sistemas de información

3.4 ALCANCE DE AUDITORÍA
Alcance y límites de una auditoría
El alcance de una auditoria generalmente incluye una descripción de las áreas

físicas, unidades organizacionales, actividades y procesos, así como el periodo de
tiempo cubierto
Consideraciones sobre la auditoría de sistemas de información

3.5 AUTENTICACIÓN
"Garantía de que una característica reivindicada de una entidad es correcta"
En el contexto de los sistemas informáticos, la autenticación es un proceso que
garantiza y confirma la identidad de un usuario. La autenticación es uno de los
aspectos básicos en la seguridad de la informacion, junto con los tres pilares, a
saber: la integridad, disponibilidad, y confidencialidad.
La autenticación comienza cuando un usuario intenta acceder a la información.

Primero, el usuario debe probar sus derechos de acceso y su identidad. Al iniciar
sesión en una computadora, los usuarios comúnmente ingresan nombres de
usuario y contraseñas con fines de autenticación. Esta combinación de inicio de
sesión, que debe asignarse a cada usuario, autentica el acceso. Sin embargo, este
tipo de autenticación puede ser evitado por los hackers.
Una mejor forma de autenticación, la biométrica, depende de la presencia del

usuario y la composición biológica (es decir, la retina o las huellas dactilares).
Esta tecnología hace que sea más difícil para los piratas informáticos ingresar en
los sistemas informáticos.
El método de autenticación de la infraestructura de clave pública (PKI) utiliza

certificados digitales para probar la identidad de un usuario. También hay otras
herramientas de autenticación, como tarjetas de claves y tokens USB. Una de las
mayores amenazas de autenticación ocurre con el correo electrónico, donde la
autenticidad suele ser difícil de verificar.
3.6 AUTENTICIDAD
Propiedad que una entidad es lo que dice ser.
¿Qué es la autenticidad?
¿Qué entendemos por autenticidad en Seguridad de la Información? La
autenticidad es la seguridad de que un mensaje, una transacción u otro
intercambio de información proviene de la fuente de la que afirma
ser. Autenticidad implica prueba de identidad.
Podemos verificar la autenticidad a través de la autenticación . El proceso de
autenticación usualmente involucra más de una "prueba" de identidad (aunque
una puede ser suficiente).
Asegurando la autenticidad
Para la interacción del usuario con los sistemas, programas y entre sí, la
autenticación es fundamental. La entrada de ID de usuario y contraseña es el
método de autenticación más frecuente. También parece presentar la mayoría de
los problemas. Las contraseñas pueden ser robadas u olvidadas. Descifrar
contraseñas puede ser simple para los hackers si las contraseñas no son lo
suficientemente largas o no lo suficientemente complejas. Recordar docenas de
contraseñas para docenas de aplicaciones puede ser frustrante para usuarios
domésticos y usuarios empresariales
3.7 DISPONIBILIDAD
Propiedad de ser accesible y utilizable a solicitud de una entidad autorizada
La disponibilidad, en el contexto de los sistemas de información se refiere a la

capacidad de un usuario para acceder a información o recursos en una ubicación
específica y en el formato correcto.
La disponibilidad es uno de los tres pilares de la Seguridad de la Información

junto con la integridad y confidencialidad.
Cuando un sistema no funciona regularmente, la disponibilidad de la información

se ve afectada y afecta significativamente a los usuarios. Además, cuando los
datos no son seguros y no están fácilmente disponibles, la seguridad de la
información se ve afectada. Otro factor que afecta la disponibilidad es el tiempo.
Si un sistema informático no puede entregar información de manera eficiente, la
disponibilidad se ve comprometida.
Los sistemas de almacenamiento de datos son los que en definitiva nos
garantizan la disponibilidad de la información. El almacenamiento de datos por
lo general puede ser local o en una instalación externa o en la nube. También
pueden establecerse planes para garantizar la disponibilidad de la información en
instalaciones externas cuando fallan los elementos de almacenamiento internos.
El caso es que la información debe estar disponible para en todo momento pero
solo para aquellos con autorización para acceder a ella.
3.8 MEDIDA BASE

Definida en términos de un atributo y el método para cuantificarlo.
Una medida base es funcionalmente independiente de otras medidas .
Como parte de una evaluación, a menudo es importante desarrollar o utilizar

indicadores existentes o medidas de implementación y / o resultados.
El uso de un indicador o medida existente puede tener la ventaja de producir

datos sólidos que pueden compararse con otros estudios, siempre que sea
apropiado.
Se ha realizado un trabajo considerable para desarrollar medidas e indicadores

que puedan utilizarse para los resultados de los proyectos de desarrollo.
Los términos "medida", "métrica" e indicador "a menudo se usan indistintamente

y sus definiciones varían según los diferentes documentos y organizaciones. Por
lo tanto, siempre es útil verificar qué significan estos términos en contextos
específicos.
Los términos que comúnmente se asocian con las mediciones incluyen:

 Un objetivo es el valor de un indicador que se espera alcanzar en un punto
específico en el tiempo. A menudo se utiliza un punto de referencia para
significar lo mismo.
 Un índice es un conjunto de indicadores relacionados que pretenden
proporcionar un medio para realizar comparaciones significativas y
sistemáticas de desempeño entre programas que son similares en
contenido y / o tienen las mismas metas y objetivos.
 Un estándar es un conjunto de indicadores, puntos de referencia o índices
relacionados que proporcionan información socialmente significativa con
respecto al desempeño.
3.9 COMPETENCIA
Capacidad de aplicar conocimientos y habilidades para lograr los resultados
esperados.
Hoy más que nunca, en el mundo interconectado y moderno se revela como algo
absolutamente necesario, establecer requisitos en las competencias para los
profesionales de seguridad de la información. Las peculiaridades del enfoque
europeo para el desarrollo de las competencias profesionales de la seguridad de la
información se discuten utilizando el ejemplo del Marco Europeo de
Competencia Electrónica e-CF 3.0. Sobre esta base, se proponen dos incluso dos
marcos específicos, si bien breves de contenido, como son las nuevas normas
internacionales ISO / IEC 27021 e ISO / IEC 19896.
Por otro lado, la cultura corporativa de una organización influye en el

comportamiento de los empleados y, en última instancia, contribuye a la
efectividad de una organización. La información es un activo vital para la
mayoría de las organizaciones. Por lo tanto, idealmente, una cultura corporativa
debe incorporar controles de seguridad de la información en las rutinas diarias y
el comportamiento implícito de los empleados.
Sin duda el nivel de madurez de la “competencia “en seguridad de la información

es un posible método para evaluar en qué medida la seguridad de la información
está incorporada en la cultura corporativa actual de una organización.
3.10 CONFIDENCIALIDAD
Propiedad por la que la información no se pone a disposición o se divulga a
personas, entidades o procesos no autorizados
La confidencialidad, cuando nos referimos a sistemas de información, permite a

los usuarios autorizados acceder a datos confidenciales y protegidos. Existen
mecanismos específicos garantizan la confidencialidad y salvaguardan los datos
de intrusos no deseados o que van a causar daño.
La confidencialidad es uno de los pilares de Seguridad de la información junto

con la, disponibilidad e integridad.
La información o los datos confidenciales deben divulgarse únicamente a

usuarios autorizados.Siempre que hablamos de confidencialidad en el ámbito de
la seguridad de la información nos hemos de plantear un sistema de clasificación
de la información.
Por ejemplo, en el ámbito de la seguridad de la información en una organización

militar, está claro que se debe obtener un cierto nivel de autorización
dependiendo de los requisitos de datos a los que se puede o desea acceder. Según
el caso, los datos pueden estar clasificados como confidencial (secreta), o en un
nivel superior como “Top Secret” “. Aquellos con autorizaciones para acceder a
datos confidenciales sin más no deben poder en ningún caso acceder a
información “Top Secret”.
Las mejores prácticas utilizadas para garantizar la confidencialidad son las

siguientes:
 Un proceso de autenticación, que garantiza que a los usuarios autorizados

se les asignen identificaciones de usuario y contraseñas confidenciales.
Otro tipo de autenticación es la biométrica.
 Se pueden emplear métodos de seguridad basados en roles para garantizar
la autorización del usuario o del espectador. Por ejemplo, los niveles de
acceso a los datos pueden asignarse al personal del departamento
específico.
 Los controles de acceso aseguran que las acciones del usuario
permanezcan dentro de sus roles. Por ejemplo, si un usuario está
autorizado para leer pero no escribir datos, los controles del sistema
definidos pueden integrarse.
3.11 CONFORMIDAD
Cumplimiento de un requisito
Leer más sobre Conformidad en: REQUISITO 3.56
La conformidad es el “cumplimiento de un requisito”. Cumplir significa cumplir

o cumplir con los requisitos. Hay muchos tipos de requisitos. Existen requisitos
de calidad, requisitos del cliente, requisitos del producto, requisitos de gestión,
requisitos legales, requisitos de la seguridad de la información etc. Los requisitos
pueden especificarse explícitamente (como los requisitos de la norma ISO 27001)
o estar implícitos. Un requisito específico es uno que se ha establecido (en un
documento, por ejemplo la política de seguridad o de uso del correo electrónico).
Cuando su organización cumple con un requisito, puede decir que cumple con
ese requisito.
Más información sobre NO CONFORMIDADES

La no conformidad es el "incumplimiento de un requisito". La no conformidad se
refiere a la falta de cumplimiento de los requisitos. Una no conformidad es una
desviación de una especificación, un estándar o una expectativa.
Un requisito es una necesidad, expectativa u obligación. Puede ser declarado o

implícito por una organización, sus clientes u otras partes interesadas. Hay
muchos tipos de requisitos. Algunos de estos incluyen requisitos de la Seguridad
de la Informacion, Proteccion de datos personales, requisitos del cliente,
requisitos de gestión, requisitos del producto y requisitos legales. Cuando su
organización no cumple con uno de estos requisitos, se produce una no
conformidad. ISO 27001 enumera los requisitos del sistema de gestión de la
Seguridad de la informacion. Cuando su organización se desvía de estos
requisitos, se produce una no conformidad. Las no conformidades se clasifican
como críticas, mayores o menores.
No conformidad menor: cualquier no conformidad que no afecte de manera

adversa la seguridad de la información, el rendimiento, la durabilidad, la
capacidad de intercambio, la fiabilidad, la facilidad de mantenimiento, el uso u
operación efectiva, el peso o la apariencia (cuando sea un factor), la salud o la
seguridad de un producto. Múltiples no conformidades menores cuando se
consideran colectivamente pueden elevar la categoría a una no conformidad
mayor o crítica.
No conformidad Mayor: cualquier no conformidad que no sea crítica, que
puede dar lugar a fallas o reducir sustancialmente la seguridad de la información,
la capacidad de uso del producto para el propósito previsto y que no pueda ser
completamente eliminada por medidas correctivas o reducido a una no
conformidad menor por un un control establecido.
No conformidad crítica: cualquier no conformidad sobre la seguridad de la
información que pueda causar daño a las personas, su imagen o su reputación,
tanto las que usan, mantienen o dependen del producto, o aquellas que impiden el
desempeño de procesos críticos para la organización.
3.12 CONSECUENCIA
Resultado de un evento que afecta a los objetivos
Como vemos las consecuencias son algo relacionado con los eventos y los
objetivos de la seguridad de la información
EVENTOS
Un evento en la seguridad de la información es un cambio en las operaciones
diarias de una red o servicio de tecnología de la información que indica que una
política de seguridad puede haber sido violada o que un control de seguridad
puede haber fallado.
Cuando un evento afecta a los resultados de un proceso o tiene consecuencias no
deseadas como la interrupción de servicios, pérdida de datos o afecta a la
confidencialidad, disponibilidad o integridad de la información entonces decimos
que es un evento con consecuencias.
En un contexto informático, los eventos incluyen cualquier ocurrencia

identificable que tenga importancia para el hardware o software del sistema.
Los eventos de seguridad son aquellos que pueden tener importancia para la
seguridad de los sistemas o datos. La primera indicación de un evento puede
provenir de una alerta definida por software o de que los usuarios finales
notifiquen al departamento de mantenimiento o al centro de soporte que, por
ejemplo, los servicios de red se han desacelerado.
Como regla general, un evento es una ocurrencia o situación relativamente menor

que se puede resolver con bastante facilidad y los eventos que requieren que un
administrador de TI tome medidas y clasifique los eventos cuando sea necesario
como como incidentes.
Un ticket del departamento de soporte de un solo usuario que informa que cree
haber contraído un virus es un evento de seguridad, ya que podría indicar un
problema de seguridad. Sin embargo, si se encuentra evidencia del virus en el
ordenador del usuario, puede considerarse un incidente de seguridad.
Según los informes de los organismos nacionales de ciberseguridad se producen

decenas de miles de eventos de seguridad por día en las grandes organizaciones.
Los productos de seguridad, como el software antivirus, pueden reducir la
cantidad de eventos de seguridad y muchos procesos de respuesta de incidencia
pueden automatizarse para que la carga de trabajo sea más manejable.
SISTEMAS DE ADMINISTRACION DE EVENTOS (¿QUE SON?)

Los eventos que no requieren la acción de un administrador pueden ser
manejados automáticamente por la información de seguridad y por sistemas
denominados de administración de eventos (SIEM).
Los sistemas de administración de información y eventos nacieron en el entorno
de la industria de métodos de pago por tarjeta para luego extenderse como
solución para grandes y medianas empresas
Se trata de ver todos los datos relacionados con la seguridad desde un único
punto de vista para facilitar que las organizaciones de todos los tamaños detecten
patrones fuera de lo común aplicando
 Tecnologías de la información (firewalls, antivirus, prevención de

intrusiones
 Bases de datos (Registros de información y patrones de comportamientos)
 Inteligencia artificial
 Análisis forense y de comportamientos
 Informes de seguridad
OBJETIVOS DE SEGURIDAD
Los sistemas de información son vulnerables a la modificación, intrusión o mal
funcionamiento.
Los sistemas de gestión para la seguridad de la información tienen como objetivo

proteger a los sistemas de estas amenazas. Para ello se establecen criterios
basados en una evaluación previa de los riesgos que estas amenazas suponen para
poner los controles necesarios de forma que las pérdidas o perjuicios esperados
por estas amenazas se encuentren en algún momento en niveles aceptables
Para definir los objetivos de seguridad podríamos tener en cuenta el siguiente

principio fundamental:
"La protección de los intereses de quienes dependen de la

información, y los sistemas de información y Comunicaciones que
entregan la información, por daños resultantes de fallas de
disponibilidad, confidencialidad e integridad”
El objetivo de seguridad utiliza tres términos.
 Disponibilidad los sistemas de información en cuanto a que estén
disponibles y se pueden utilizar cuando sea necesario;
 Confidencialidad los datos y la información son revelados solamente a
aquellos que tienen derecho a saber de ella
 La Integridad los datos y la información están protegidos contra
modificaciones no autorizadas (integridad).
La prioridad relativa y la importancia de la disponibilidad, la confidencialidad y

la integridad varían de acuerdo con los datos y su clasificación dentro del sistema
de información y el contexto empresarial en el que se utiliza.
3.13 MEJORA CONTINUA

Actividad recurrente para mejorar el rendimiento
Si la mejora se define como acciones que se traducen en una mejora de los

resultados, entonces la mejora continua es simplemente identificar y realizar
cambios enfocados a conseguir la mejora del rendimiento y resultados de una
organización. La mejora continua es un concepto que es fundamental para las
teorías y programas de gestión de la calidad y de la seguridad de la información.
La mejora continua es clave para la gestión de la seguridad de la Información
La seguridad de la información es un problema complejo en muchos sentidos:

redes complejas, requisitos complejos y tecnología compleja. Pero sería mucho
más manejable si fuera estático. Sin embargo, está lejos de ser estático. Se
agregan nuevos sistemas a la red. Los requisitos del negocio cambian con
frecuencia. Y el panorama de amenazas es extremadamente dinámico. Gestionar
la seguridad en este entorno es un reto importante.
Una clave para una administración de seguridad efectiva es comprender el estado

actual de los riesgos y las tareas de la seguridad de la información
La complejidad introduce intrínsecamente errores, huecos y los oculta al mismo

tiempo.
CASO PRACTICO:
Por ejemplo, un firewall, implementado con el propósito específico de

limitar el riesgo al controlar el acceso, a menudo tiene configuraciones
tan complicadas que es imposible entender qué acceso se permite. Esto
dificulta el entendimiento del riesgo que está limitando o exponiendo.
Ayudar a analizar estas configuraciones complejas y proporcionar
visibilidad sobre qué acceso se permite o deniega ha sido un valor clave
de Security Manager durante más de una década.
Se necesita, por tanto, más que un análisis ocasional para garantizar
una seguridad efectiva.
Con los cambios casi constantes que ocurren en la red y el panorama dinámico de
amenazas, se requiere una evaluación continua de la seguridad.
La forma más efectiva de automatizar este análisis es establecer controles,

definiciones de configuración o comportamiento correctos o incorrectos y evaluar
continuamente la seguridad de la red con respecto a esos controles. Lo que hace
con este análisis es lo que separa a las organizaciones de seguridad
verdaderamente efectivas del resto.
Mejorar la seguridad requiere algo más que arreglar lo que está roto. Requiere
medir la efectividad de las operaciones de seguridad; Tecnología, personas y
procesos. La evaluación continua de los controles de seguridad definidos y la
medición de los resultados a lo largo del tiempo crea un marco para medir las
operaciones de seguridad.
Establecer la expectativa de que la mejora es el objetivo, dará como resultado una

mejor seguridad.
3.14 CONTROL
Medida que modifica un riesgo.
Los controles de seguridad son medidas de seguridad técnicas o administrativas
para evitar, contrarrestar o minimizar la pérdida o falta de disponibilidad debido a
las amenazas que actúan por una vulnerabilidad asociada a la amenaza. En esto
consiste un riesgo de seguridad.
Los controles están referenciados casi siempre a un aspecto de la seguridad, pero

rara vez se definen.
Los controles también se pueden definir por su propia naturaleza, como controles
de compensación técnicos, administrativos, de personal, preventivos, de
detección y correctivos, así como controles generales.
Esto de los controles de seguridad podría parecer algo extremadamente técnico

sin embargo la experiencia nos dice que el “ambiente de control” establece el
tono de una organización, influyendo en la conciencia de control de su gente. Es
la base de todos los otros componentes del control interno como son la disciplina
y la estructura.
Los valores éticos en una organización se desarrollan también con la competencia

de su personal y el estilo con el que se organizan y hacen cumplir los controles
establecidos, también para la seguridad de la información
En primer lugar, encontramos los controles asociados a las acciones que las
personas toman, llamamos a estos controles administrativos.
Los controles administrativos son el proceso de desarrollar y garantizar el

cumplimiento de las políticas y los procedimientos. Tienden a ser cosas que los
empleados pueden hacer, o deben hacer siempre, o no pueden hacer. Otra clase
de controles en seguridad que se llevan a cabo o son administrados por sistemas
informáticos, estos son controles técnicos.
Los controles de la fase de actividad pueden ser técnicos o administrativos y se
clasifican de la siguiente manera:
 Controles preventivos para evitar que la amenaza entre en contacto con la

debilidad.
 Controles de detección para identificar que la amenaza ha aterrizado en
nuestros sistemas.
 Controles correctivos para mitigar o disminuir los efectos de la amenaza
que se manifiesta.
CASO PRACTICO:
Veamos unos ejemplos de controles técnicos.
Los cortafuegos serán principalmente controles preventivos.
Los Sistemas de protección contra intrusión (IPS) podrían configurarse

para ser tanto preventivos como de detección. Los Sistemas de
Detección de intrusiones (IDS) serán puramente controles de
identificación o de detección.
Reinstalar un sistema operativo sospechoso de tener malware será

entonces un control correctivo.
Los controles forenses y la respuesta a incidentes son ejemplos de

controles administrativos o de personal que en todo caso se enmarcan
como controles correctivos.
CONTOLES ALTERNATIVOS
Finalmente existen una serie de controles que podemos llamar alternativos o de
compensación
Los controles alternativos están diseñados para acercarse lo más posible al el

efecto que de los controles originales, cuando los controles diseñados
originalmente no pueden usarse debido a las limitaciones del entorno.
Estos generalmente se requieren cuando nuestros controles de la fase de actividad
no están disponibles o cuando fallan.
DEFINICION DE COTROLES DE COMPENSACION

Los controles de compensación pueden considerarse cuando una entidad no
puede cumplir con un requisito explícitamente como se indica, debido a
restricciones técnicas o documentadas legítimas del negocio, pero ha mitigado
suficientemente el riesgo asociado con el requisito mediante la implementación
de otros controles.
Veamos una tabla ejemplo:
Controles Preventivos Detección Correctivos Compensación

3.15 OBJETIVO DE CONTROL
Declaración que describe lo que se debe lograr como resultado de la
implementación de controles (3.14)
Este concepto hace posible cumplir con la filosofía de la norma ISO 27001 donde
la base de la misma se encuentra el ciclo PDCA (LINK A PDCA EN PUBNRTO
LA REVISION DE LA DIRECCION COMO PARTE DE LA EJORA
CONTINUA) donde se hace imprescindible conocer y averiguar hasta qué punto
se alcanzan los objetivos
En concreto:
 En la planificación del sistema se establecen los objetivos

 En la implantación del sistema se debe establecen en qué medida se
alcanzan sus objetivos
 En la monitorización del sistema deberemos realizar una medición real del
desempeño de los objetivos
 En la Evaluación del desempeño deberemos evaluar el cumplimiento de
los objetivos y establecer medidas de mejora si fueran necesarias
Los requisitos de la norma ISO 27001 nos llevan a establecer al menos dos tipos
de objetivos medibles
 Objetivos medibles para los procesos de Gestión de Seguridad de la

Información y en general para todo el SGSI
 Objetivos para los controles de seguridad
Esto no quita que podamos definir objetivos a otros niveles como departamentos,
personales etc.
¿Cómo establecer objetivos fáciles de medir para los controles de seguridad?

La primera regla para establecer objetivos es: los objetivos deben ser específicos,
medibles, alcanzables, relevantes y basados en el tiempo.
CASO PRACTICO:
Si disponemos de un firewall que detecta y evita el tráfico no deseado

Analice el firewall contra la política de acceso de la organización:
detecte violaciones, para determinar el nivel de cumplimiento.
Para ello bastaría con medir las incidencias de tráfico no deseado y

establecer los límites de lo que es aceptable. Ahí tenemos nuestro
¡objetivo!
Si disponemos de un sistema de copias de seguridad
Podremos establecer un objetivo de máxima cantidad de tiempo

aceptable de perdida de datos. Por ejemplo 12 horas o menos. ¡Aquí
tenemos nuestro objetivo medible!
¿Cómo podemos entonces comprobar esto?

No espere a saber si el objetivo se cumple mediante una restauración de
datos por causa de un problema o necesidad real. Realice pruebas de
restauración de datos y compruebe cuantos datos pueden llegar a
perderse.
En definitiva, establezca objetivos concretos y por tanto fáciles de medir

como la reducción en un 5% de los incidentes de seguridad en equipos
de usuarios o en aplicaciones de correo electrónico, etc.
Se necesita, por tanto, más que un análisis ocasional para garantizar

una seguridad efectiva.
Establecer y medir Objetivos el camino hacia la mejora de la seguridad

La única vía para poder gestionar la seguridad de la información pasa por
establecer los objetivos y medirlos aunque suponga un aspecto bastante nuevo e
inexplorado de la seguridad de la información.
Está claro que hay que vencer ciertos obstáculos ya que a menudo se considera
como una sobrecarga pero esto es debido seguramente a la falta de conocimiento
en primer lugar, ya que las razones prácticas cuando se conocen pueden despejar
este primer y mayor inconveniente.
3.16 CORRECCIÓN
Acción para eliminar una no conformidad detectada
Una no conformidad es cualquier incumplimiento de un requisito. VEASE 3.11

Un requisito puede ser el de un cliente, de un organismo legal o regulador, de la
normas ISO 27001 o de un procedimiento interno de la propia organización o de
la seguridad de la información.
A la hora de reaccionar ante una no conformidad podemos tomar acciones para
 Corregir una no conformidad tratando las consecuencias inmediatas

 Determinar las causas de la no conformidad para eliminarlas mediante una
acción correctiva de forma que ya no se vuelva a producir
En este sentido una correccción se define como la acción tomada

para evitar las consecuencias inmediatas de una no conformidad.
En este sentido una acción correctiva se define como la acción
tomada para evitar la repetición de una no conformidad mediante la
identificación y tratamiento de las causas que la provocaron.
3.17 ACCIÓN CORRECTIVA
Acción para eliminar la causa de una no conformidad y para prevenir la
recurrencia.
3.18 MEDIDA DERIVADA
medida (3.42) que se define como una función de dos o más valores de medidas
base (3.8)
Las medidas o indicadores derivados son aquellos que se establecen en base a

otro indicador existente. Los indicadores derivados normalmente se refieren a:
 Fórmulas de Cálculo como los subtotales o funciones de agregación
dinámica de datos como son los datos pre-calculados como por ejemplo
sumas continuas etc.
 Datos o indicadores y de funciones sin agregación dinámica intrínseca o
propia como pueden ser cálculos de promedios o conteo de ocurrencias de
la variable o medida base.
3.19 INFORMACIÓN DOCUMENTADA

Se refiere a la información necesaria que una organización debe controlar y
mantener actualizada tomando en cuenta y el soporte en que se encuentra. La
información documentada puede estar en cualquier formato (audio, video,
ficheros de texto etc.) así como en cualquier tipo de soporte o medio
independientemente de la fuente de dicha información. En general la información
documentada se refiere a:
 Al sistema de gestión y sus procesos

 Información necesaria para la actividad de la propia
 Evidencias o registros de los resultados obtenidos en cualquier proceso del
sistema de gestión o de la organización
En un sistema de gestión no debemos pasar por alto el control y la organización

de nuestra documentación de forma que cumplamos con los requisitos para
almacenar, administrar y revisar la documentación.
En primer lugar deberemos garantizar que los contenidos de la documentación

sean adecuados y describan de la forma más práctica y correcta posible los
procesos ya que la documentación debe ser la herramienta para demostrar que se
han implementado correctamente los procesos.
A veces una estructura demasiado compleja con distintos niveles de información

y accesos diferenciados puede no ser necesaria y complicar las cosas
innecesariamente
Nuestra experiencia nos enseña que la mayoría de las veces basta con una buena
asesoría de implementación en Sistemas de Gestión para organizar la
información de acuerdo a lo que la organización necesita y que diseñas un
sistema propio de gestión documental puede resultar costoso y un gasto de
tiempo y recursos que no siempre es necesario.
En el siguiente enlace le dejamos una información sobre la documentacion de un

SGSI:
Documentación obligatoria requeridas por la norma ISO 27001

3.20 EFECTIVIDAD
En qué medida se realizan las actividades planificadas y se logran los resultados
planificados.
Un sistema de Gestión para la seguridad de la información es un conjunto de

elementos interrelacionados entre sí mediante las múltiples actividades de la
organización. Cada actividad definida por un proceso tendrá una o varias
entradas así como salidas, necesarias por lo demás para su control. Todas las
salidas de los procesos estarán enfocadas a la consecución de los objetivos de la
seguridad de la información de la organización. La eficacia por tanto es la
medida en que los procesos contribuyen a la consecución de los objetivos de la
Seguridad de la Información. En el caso la eficacia de los procesos se medirá en
el orden en que contribuyen a la consecución de los objetivos de seguridad de la
información
La efectividad se refiere al grado en que se logra un efecto planificado para la

seguridad de la información. Las actividades planeadas para la seguridad de la
información serán efectivas si estas actividades se realizan de acuerdo a lo
planificado en los objetivos para la seguridad de la información.
De manera similar, los resultados planificados son efectivos si estos resultados se

logran realmente.
La efectividad consiste en hacer lo planificado, completar las actividades y

alcanzar los objetivos.
3.21 EVENTO
Ocurrencia o cambio de un conjunto particular de circunstancias
 Un evento puede ser repetitivo y puede tener varias causas.

 Un evento puede consistir en algo que no sucede.
 Un evento puede ser clasificado como un “incidente” o “accidente”.
Un evento de seguridad es cualquier ocurrencia observable que sea relevante para

la seguridad de la información. Esto puede incluir intentos de ataques o fallos que
descubren vulnerabilidades de seguridad existentes
Hemos de diferenciar los eventos en la seguridad de la información de los

incidentes de seguridad. Un incidente es un evento de seguridad que provoca
daños o riesgos para los activos y operaciones de seguridad de la información.
Un evento de seguridad es algo que sucede que podría tener implicaciones de

seguridad de la información. Un correo electrónico no deseado es un evento de
seguridad porque puede contener enlaces a malware. Las organizaciones pueden
recibir miles o incluso millones de eventos de seguridad identificables cada día.
Estos normalmente se manejan mediante herramientas automatizadas o
simplemente se registran.
Un incidente de seguridad es un evento de seguridad que provoca daños como la

pérdida de datos. Los incidentes también pueden incluir eventos que no implican
daños, pero son riesgos viables. Por ejemplo, un empleado que hace clic en un
enlace en un correo electrónico no deseado que lo hizo a través de los filtros
puede ser visto como un incidente.
Los eventos de seguridad pasan en su mayoría inadvertidos para los usuarios. En

el momento que los usuarios detectan actividad sospechosa, normalmente se
recomienda que se reporte como un incidente.
3.22 CONTEXTO EXTERNO

Entorno externo en el que la organización busca alcanzar sus objetivos
el contexto externo puede incluir :
 El entorno cultural, social, político, jurídico, reglamentario, financiero,

tecnológico, económico, natural y competitivo, ya sea internacional,
nacional, regional o local;
 Influencias y tendencias clave que tienen impacto en los objetivos de la
organización
 los valores de actores externos y como es percibida la organización (sus
relaciones con el entorno externo)
Para definir correctamente el contexto externo podríamos comenzar por un

análisis del entorno centrándonos en aquellos factores que podrían afectar a la
organización o que están relacionados con las actividades y objetivos de la
organización.
El proceso de definición del contexto externo no es un proceso que se realiza una

sola vez y ya hemos terminado, sino que necesitamos controlar en todo momento
los cambios en los entornos externos, y tener en cuenta los puntos de vista de las
partes interesadas.
También podemos investigar el entorno externo de forma sistemática. Un

enfoque simple para realizar esta tareas seria comenzar con una lista de puntos en
torno a los siguientes factores, que luego pueden desarrollarse:
 Los factores políticos son la medida en que los gobiernos o las influencias

políticas pueden impactar o impulsar las tendencias o culturas globales,
regionales, nacionales, locales y comunitarias. Pueden incluir estabilidad
política, política exterior, prácticas comerciales y relaciones laborales.
 Los factores económicos incluyen tendencias y factores globales,
nacionales y locales, mercados financieros, ciclos crediticios, crecimiento
económico, tasas de interés, tasas de cambio, tasas de inflación y costo de
capital.
 Los factores sociales incluyen cultura, conciencia de salud, demografía,
educación, crecimiento de la población, actitudes profesionales y énfasis
en la seguridad.
 Los factores tecnológicos incluyendo sistemas informáticos, avances o
limitaciones tecnológicas, inteligencia artificial, robótica, automatización,
incentivos tecnológicos, la tasa de cambio tecnológico, investigación y
desarrollo, etc.
 Jurídico – Cuestiones legislativas o reglamentarias y sensibilidades.
 Los factores ambientales incluyen el clima global, regional y local, el
clima adverso, los peligros naturales, los desechos peligrosos y las
tendencias relacionadas
3.23 GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIÓN

Sistema por el cual las actividades de seguridad de la información de una
organización son dirigidas y controladas
El gobierno de la seguridad de la información es la estrategia de una empresa

para reducir el riesgo de acceso no autorizado a los sistemas y datos de
tecnología de la información.
Las actividades de gobierno de la seguridad implican el desarrollo, la

planificación, la evaluación y la mejora de la gestión de riesgos para la seguridad
de la información y las políticas de seguridad de una organización
El gobierno de la seguridad de la empresa incluye determinar cómo las distintas

unidades de negocio de la organización, los ejecutivos y el personal deben
trabajar juntos para proteger los activos digitales de una organización, garantizar
la prevención de pérdida de datos y proteger la reputación pública de la
organización.
Las actividades de gobierno de la seguridad de la empresa deben ser coherentes

con los requisitos de cumplimiento, la cultura y las políticas de gestión de la
organización.
El desarrollo y el mantenimiento de la gobernanza de la seguridad de la
información pueden requerís la realización de pruebas de análisis de amenazas,
vulnerabilidades y riesgos que son específicas para la industria de la empresa.
El gobierno de la seguridad de la información también se refiere a la estrategia de

la empresa para reducir la posibilidad de que los activos físicos que son
propiedad de la empresa puedan ser robados o dañados. En este contexto, el
gobierno de la seguridad incluye barreras físicas, cerraduras, sistemas de cercado
y respuesta a incendios, así como sistemas de iluminación, detección de intrusos,
alarmas y cámaras.
3.24 ÓRGANO RECTOR

Persona o grupo de personas que son responsables del desempeño de la
organización
El órgano rector puede ser una junta directiva o consejo de administración.
En el caso de la seguridad de la información el órgano rector será el responsable

del desempeño o el resultado del sistema de gestión de la seguridad de la
información. EN definitiva, el órgano rector tendrá la responsabilidad de rendir
cuentas del rendimiento del sistema de gestión de la seguridad de la información
Este factor es algo que aún no es asumido por muchas empresas donde vemos
que ante los fallos de seguridad producidos en grandes empresas en los últimos
años revelan que menos de la mitad de los directivos de estas empresas están al
tanto verdaderamente de las políticas de seguridad de la información dentro de
sus propias organizaciones.
El problema al que nos enfrentamos es bastante más frecuente de lo que

imaginamos. Basta pensar que en la actualidad simplemente cuesta aun encontrar
una reunión del consejo de administración de una gran empresa, dedicado a los
riesgos de tecnología de la información y las estrategias para abordar los riesgos.
Es por ello que la norma insiste en dedicar todo un capítulo de LIDERAZGO a
dejar claro que la responsabilidad de impulsar y mantener el sistema de gestión
para la seguridad de la información reside en los órganos rectores de cada
organización
Mas información sobre LIDERAZGO

3.25 INDICADOR
Medida que proporciona una estimación o evaluación.
Los indicadores para la evaluación de la seguridad de la información a menudo

sirven como evidencia forense de posibles intrusiones en un sistema o red host.
Un sistema de información debe permitir a los especialistas de la seguridad de la

información y a los administradores del sistema detectar intentos de intrusión u
otras actividades maliciosas.
Los indicadores permiten analizar y mejorar las técnicas y comportamientos ante

un malware o amenaza en particular. Estos indicadores también proporcionan
datos para entender mejor las amenazas, generando información valiosa para
compartir dentro de la comunidad para mejorar aún más la respuesta a incidentes
y las estrategias de respuesta de una organización.
Normalmente los indicadores se pueden sacar en los dispositivos que se

encuentran en los registros de eventos y las entradas de un sistema, así como en
sus aplicaciones y servicios. Para ello los administradores de sistemas también
emplean herramientas que monitorean los dispositivos y redes para ayudar a
mitigar, si no prevenir, violaciones o ataques.
Aquí hay algunos indicadores que se utilizar habitualmente en sistemas de

seguridad de la información:
 Tráfico inusual que entra y sale de la red

 Archivos desconocidos en aplicaciones y procesos en el sistema.
 Actividad sospechosa en administrador o cuentas privilegiadas.
 Actividades irregulares como el tráfico o actividad en sistemas que
normalmente no se utilizan
 Inicios de sesión, acceso y otras actividades de red que indiquen ataques
de sondeo o de fuerza bruta
 Picos anómalos de solicitudes y volumen de lectura en archivos de la
empresa
 Tráfico de red que atraviesa puertos inusualmente utilizados
 Configuraciones de archivos, servidores de nombres de dominio (DNS) y
registro alterados, así como cambios en la configuración del sistema,
incluidos los de dispositivos móviles
 Grandes cantidades de archivos comprimidos y datos inexplicablemente
encontrados en lugares donde no deberían estar
3.26 NECESIDAD DE INFORMACIÓN

Conocimiento necesario para gestionar objetivos, riesgos y problemas.
Este es un concepto relacionado con el desarrollo de procesos de medición que

determinen qué información de medición se requiere, cómo se deben aplicar las
medidas y los resultados del análisis, y cómo determinar si los resultados del
análisis son válidos más que nada en escenarios aplicables a las disciplinas de
ingeniería y gestión de sistemas y software.
Para establecer los objetivos de seguridad de la información que tengan en cuenta

los riesgos y las amenazas deberemos establecer unos criterios de necesidad de
información. Se trata en definitiva de contar con un modelo que defina las
actividades que se requieren para especificar adecuadamente el proceso de
medición para obtener dicha información.
Idealmente los procesos de medición deben ser flexibles, adaptables y adaptables

a las necesidades de los diferentes usuarios.
3.27 INSTALACIONES DE PROCESAMIENTO DE INFORMACIÓN

Cualquier sistema de procesamiento de información, servicio o infraestructura, o
la ubicación física que lo alberga
Las instalaciones de procesamiento de información en una empresa, deben ser
consideradas como un activo de información que es necesario alcanzar las metas
y objetivos de la organización
Para comprender esto en el escenario de una certificación de una norma de

seguridad de la información debemos tener en cuenta que deberemos afrontar una
auditoría de las instalaciones de procesamiento de información demostrando que
está controlada y puede garantizar un procesamiento oportuno, preciso y eficiente
de los sistemas de información y aplicaciones en condiciones normales y
generalmente disruptivas.
De acuerdo con la norma ISO 27001, una auditoría de instalaciones de

procesamiento de información es la evaluación de cualquier sistema, servicio,
infraestructura o ubicación física que contenga y procese información. Una
instalación puede ser una actividad o un lugar que puede ser tangible o
intangible; así como, un hardware o un software.
3.28 SEGURIDAD DE INFORMACIÓN

Preservación de la confidencialidad, integridad y disponibilidad de la
información
Además hay que considerar otras propiedades, como la autenticidad, la

responsabilidad, el no repudio y la confiabilidad también pueden estar
involucrados.
La seguridad de la información como vemos tiene por objetivo la protección de

la confidencialidad, integridad y disponibilidad de los datos de los sistemas de
información de cualquier amenaza y de cualquiera que tenga intenciones
maliciosas.
La confidencialidad, la integridad y la disponibilidad a veces se conocen como la

tríada de seguridad de la información que actualmente ha evolucionado
incorporando nuevos conceptos tales como la autenticidad, la responsabilidad, el
no repudio y la confiabilidad.
La seguridad de la información debe ser considerada desde la base de un análisis

y evaluación de riesgos teniendo en cuenta cualquier factor que pueda actuar
como un riesgo o una amenaza para la confidencialidad, integridad y
disponibilidad etc. de los datos
La información confidencial debe conservarse; no puede modificarse,

modificarse ni transferirse sin permiso. Por ejemplo, un mensaje podría ser
modificado durante la transmisión por alguien que lo intercepte antes de que
llegue al destinatario deseado. Las buenas herramientas de criptografía pueden
ayudar a mitigar esta amenaza de seguridad.
Las firmas digitales pueden mejorar la seguridad de la información al mejorar los

procesos de autenticidad y hacer que las personas prueben su identidad antes de
poder acceder a los datos de un sistema de información
3.29 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN

Procesos y procedimientos para garantizar la continuidad de las operaciones de
seguridad de la información
El termino continuidad de la seguridad de la información se utiliza dentro de la

norma ISO 27001 para describir el proceso que garantice la confidencialidad,
integridad y disponibilidad de la información cuando un incidente ocurre o una
amenaza se materializa.
Con cierta frecuencia se interpreta este punto como una necesidad de contar con
planes de continuidad del negocio asumiendo como requisito la implementación
de un plan de continuidad del negocio integral para cumplir con el punto de la
norma que nos habla de la continuidad de la seguridad de la información.
Un plan de continuidad del negocio sin duda puede ser una gran ayuda para
garantizar que las funciones de seguridad de la información se mantengan aunque
no es un requisito de la norma ISO 27001 un plan de seguridad integran enfocado
a la continuidad de los servicios en general
Entonces, ¿Qué significa realmente la continuidad de la seguridad de la

información? La continuidad de la seguridad de la información significa en
principio garantizar que tengamos la capacidad de mantener las medidas de
protección de la información cuando ocurra un incidente.
En este sentido hemos de tener en cuenta que la continuidad de la seguridad de la

información debería ir un paso más adelante que la continuidad del negocio
aunque la continuidad del negocio no es objeto de la norma 27001
En un caso hipotético de imposibilidad de acceso instalaciones debido a un

incidente cualquiera deberíamos tener en cuenta en primer lugar poder garantizar
que la empresa pueda continuar operando, que los clientes puedan recibir
servicios, que los pagos se procesen y que los servicios sigan funcionando, es
decir, la continuidad comercial tradicional. Pero desde una perspectiva de
seguridad de la información, también debe poder asegurarse de que los datos
estén protegidos mientras se implementan métodos de trabajo alternativos, por
ejemplo, los usuarios que acceda por teletrabajo y procesan datos confidenciales.
3.30 EVENTO DE SEGURIDAD DE LA INFORMACIÓN

Ocurrencia identificada de un sistema, servicio o estado de red que indica un
posible incumplimiento de la política de seguridad de la información o falla de
los controles o una situación desconocida que puede ser relevante para la
seguridad
Podríamos considerar como un evento en la seguridad de la información a

cualquier cambio observado en el comportamiento normal de un sistema de
información, entorno, proceso, flujo de trabajo o persona y que pueda afectar a la
seguridad de la información. Por ejemplo: si se encuentran modificaciones en las
listas de control de acceso para un router o modificaciones en las reglas de
configuración de un firewall.
Debemos distinguir además de la diferencia entre un evento de seguridad de la

información y las alertas. Una alerta es una notificación de que se ha producido
un evento en particular (o una serie de eventos), que y que se envía a los
responsables para la seguridad de la información en cada caso con el propósito de
generar una acción.
3.31 INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN

Un evento o una serie de eventos de seguridad de la información no deseados o
inesperados que tienen una probabilidad significativa de comprometer las
operaciones comerciales y amenazar la seguridad de la información
Un incidente de seguridad de la información puede definirse también como

cualquier evento que tenga el potencial de afectar la preservación de la
confidencialidad, integridad, disponibilidad o valor de la información
Aquí les dejamos una lista con varios ejemplos típicos de incidentes en la
seguridad de la información:
 Revelación no autorizada o accidental de información clasificada o

sensible; p.ej. envió de un correo electrónico que contiene información
confidencial o clasificada enviada a destinatarios incorrectos.
 Robo o pérdida de información clasificada o sensible; p.ej. copia impresa
de clasificados o sensibles
 Información robada de un maletín olvidado en un restaurante o perdido
 Modificación no autorizada de información clasificada o sensible; p.ej.
alterando copia maestra de registro de estudiante o personal
 Robo o pérdida de equipo que contiene información clasificada o sensible;
p.ej. ordenador portátil que contiene información confidencial o
clasificada
 Acceso no autorizado a los sistemas de información de la Organización;
p.ej. Ejemplo de virus, malware, ataque de denegación de servicio.
 Acceso no autorizado a áreas que contienen equipo de TI que almacena
información confidencial o confidencial; p.ej. entrada no autorizada en un
centro de datos o salas de control de la red informática.
3.32 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN
Conjunto de procesos para detectar, informar, evaluar, responder, tratar y
aprender de los incidentes de seguridad de la información
El conjunto de procesos para tratar los incidentes de la seguridad de la

información debe
 Identificar,
 Administrar y registrar,
 Analizar las amenazas en tiempo real
 Buscar respuestas sólidas y completas a cualquier problema
 Mantener una infraestructura que permita realizar estas funciones
Hemos de tener en cuenta que un incidente de seguridad puede ser cualquier

cosa, desde una amenaza activa hasta un intento de intrusión que ha generado un
riesgo o ha conseguido comprometer la seguridad generando una violación de
datos. También debemos considerar las violaciones a las políticas y el acceso no
autorizado a datos como salud, finanzas, números de seguridad social y registros
de identificación personal etc.
EL PROCESO DE GESTIÓN DE INCIDENTES DE INFORMACION

La gestión de incidentes de la seguridad de la información debe en primer lugar
responder a las amenazas que día a día crecen tanto en volumen como en
sofisticación. Pero no debemos quedarnos solamente en adoptar medidas sino
que se trata más bien de adoptar prácticas que además de identificar, responder y
mitigar lo más rápidamente posible cualquier tipo de incidentes, al mismo tiempo
nos hagan más resistentes y nos protejan contra futuros incidentes.
El proceso de gestión de incidentes de seguridad de la información generalmente

comienza con una alerta que nos provee de la información necesaria sobre el
incidente para involucrar al equipo de respuesta a incidentes A partir de ahí, el
personal de respuesta a incidentes investigará y analizará el incidente para
determinar su alcance, evaluar los daños y desarrollar un plan de mitigación.
A modo de ejemplo podemos tomar como modelo una estrategia sistemática para
la gestión de incidentes de seguridad basado en la norma ISO / IEC 27035 que
nos describe un proceso de cinco pasos para la gestión de incidentes de
seguridad, que incluye:
 1. Estar preparados para el manejo de incidencias.

 3. Monitorear, identificar e informar de todos los incidentes.
 4. Evalúe y clasifique los incidentes para determinar los próximos pasos
apropiados para mitigar el riesgo.
 5. Responda al incidente conteniéndolo, investigándolo y resolviendo
 6. Aprenda y documente los puntos clave de cada incidente
RESPUESTA A INCIDENTES DE LA SEGURIDAD DE LA

INFORMACION
Está claro que las medidas de respuesta a incidentes pueden variar según la
organización y sus objetivos comerciales y operacionales, aunque podríamos
definir una serie de pasos generales que a menudo se toman para administrar las
amenazas.
El proceso de respuesta a incidentes suele comenzar con una investigación

completa de un sistema anómalo o irregularidad en el sistema, los datos o el
comportamiento del usuario.
CASO PRÁCTICO Respuesta a incidentes Seguridad de la Información
Si hemos identificado un servidor que funciona más lentamente de lo normal. A

partir de ahí, deberíamos evaluar el problema para determinar si el
comportamiento es el resultado de un incidente de seguridad. Si ese es el caso,
entonces el incidente será analizado más a fondo; la información se recopila y se
documenta para determinar el alcance del incidente y los pasos necesarios para la
resolución, y se escribe un informe detallado del incidente de seguridad.
Si el incidente implica el acceso indebido a datos o el robo de registros

confidenciales de clientes, entonces se puede hacer una comunicación donde se
involucre la gerencia asesorado por un equipo de relaciones públicas. También
deberá comunicarse y hacer partícipe a las autoridades cuando sea preceptivo
PLANIFIQUE LAS RESPUESTAS

Las respuestas a los incidentes de la seguridad de la información deben si es
posible basarse en un proceso planificado. Para ello veamos algunos puntos a
tener en cuenta para elaborar un plan que establezca los procedimientos
adecuados:
 Desarrolle un plan de gestión de incidentes de seguridad de la información

a través de políticas que incluyan los procedimientos de sobre cómo se
detectan, informan, evalúan y responden los incidentes.
 Establezca un conjunto de acciones para cada amenaza identificada que se
mantenga. actualizado con las lecciones aprendidas de incidentes
anteriores.
 Forme un equipo de respuesta a incidentes defina los roles y
responsabilidades de cara a la respuesta a incidentes. No se olvide de
incluir dentro de este equipo de respuesta a incidentes responsabilidades
dentro del epartamento de TI pero también del departamento de seguridad,
así como representación para otros departamentos como legal,
comunicaciones, finanzas y gestión u operaciones comerciales.
 Capacitación. Ocúpese garantizar la formación para las actividades
necesarias para realizar procedimientos de gestión de incidentes de
seguridad.
 Realice ensayos y pruebas de su plan de gestión de incidentes de seguridad
con escenarios de prueba de manera consistente para poder acometer las
correcciones que sean necesarias
 Aprenda de los incidentes de seguridad realizando análisis posteriores al
incidente para aprovechar tanto los éxitos como los fracasos. Esto le
permitirá realizar los ajustes a su programa de seguridad y al proceso de
administración de incidentes donde sea necesario.
 Análisis Forense. En algunos casos resulta conveniente la recopilación de
pruebas y el análisis forense. Un sistema de análisis forense quisiere
normalmente de:
o Una política de recopilación para que sea correcta y suficiente y
cuando corresponda, sea aceptado en trámites judiciales
o Capacitar o contar con miembros del equipo que tengan experiencia
y entrenamiento en técnicas forenses y funcionales
Las ventajas de contar con un plan de gestión de incidentes de seguridad de la

información consistente se traducen finalmente en
 Reducir los costos de recuperación ante incidentes

 Evitar las posibles responsabilidades y los daños a la organización
3.33 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

(SGSI) PROFESIONAL.
Persona que establece, implementa, mantiene y mejora continuamente uno o más
procesos del sistema de administración de seguridad de la información
Normalmente la persona que se ocupa de implementar el SGSI dentro de la

empresa es responsable de coordinar todas las actividades relacionadas con la
gestión de la seguridad de la información en la Organización. En organizaciones
pequeñas y medianas, este papel puede asignarse a una sola persona; en sistemas
más grandes, es aconsejable asignar este cometido a un grupo de personas
Las responsabilidades de una persona que este involucrada en la implementacion

de un sistema de gestion de la seguridad de la Información podemos resumirlas
en:
 Definición y supervisión del Sistema de Gestión de Seguridad de la

Información.
 Coordinación de todas las actividades relacionadas con el SGSI.
 Comunicación de información relativa a SGSI en la Organización.
 Contacto con autoridades y grupos de interés en el área de SGSI.
 Coordinar el proceso de gestión de riesgos.
 Supervisión y coordinación del Sistema de Gestión de Seguridad de la
Información.
 La persona debe tener habilidades directivas, de comunicación y técnicas.
3.34 COMUNIDAD DE INTERCAMBIO DE INFORMACIÓN

Grupo de organizaciones o individuos que aceptan compartir información.
Tanto en Estados Unidos como en Europa existen regulaciones tanto para

compartir como para proteger la información sensible y/o relativa a la seguridad
tanto de las propias organizaciones y usuarios como de las amenazas y ataques
sufridos contra la seguridad de la información
Es por ello que esta terminología se utiliza para identificar no solo las fuentes de
información sino aquellas organizaciones e individuos con los que vamos a
compartir información
INFORMACION DE SEGURIDAD
Nos interesa tocar el tema de como se debe compartir la información sobre la
Normalmente las agencias gubernamentales incluidas las regulaciones europeas

(RGPD) regulan también mediante procedimientos como deberemos compartir
información acerca de la seguridad de la información
Normalmente se requerirá que se elimine la información personal antes de

compartir indicadores de amenazas cibernéticas, y en ciertos casos se requerirá
que el los organismos de Seguridad a Nivel Nacional realice una revisión de la
privacidad de la información recibida.
También esta regulado los fines para los que se puede utilizar la información
sobre la seguridad de la información, algo que afecta no solo a entidades externas
con las que podemos compartir información sino a nuestra propia organización y
sus departamentos de seguridad de la información
Normalmente la información sobre seguridad solo puede ser utilizada para

 Identificar un propósito de ciberseguridad.
 Identificar el origen de una amenaza de seguridad informática o
vulnerabilidad.
 Identifique amenazas de ciberseguridad que involucren el uso de un
sistema de información por parte de un adversario o terrorista extranjero.
 Prevenir o mitigar una amenaza inminente de muerte, daños corporales
graves o daños económicos graves, incluido un acto terrorista o el uso de
un arma de destrucción masiva.
 Prevenir o mitigar una amenaza grave para un menor, incluida la
explotación sexual y las amenazas a la seguridad física.
 Prevenir, investigar, interrumpir o procesar un delito que surja de una
amenaza como ser delitos graves violentos o en relación con el fraude y el
robo de identidad.
3.35 SISTEMA DE INFORMACIÓN

Conjunto de aplicaciones, servicios, activos de tecnología de la información u
otros componentes de manejo de información
Cuando hablamos de sistemas de Información nos referimos un conjunto de

equipos involucrados de alguna forma en el manejo de información. Nos
referimos a equipos en sentido amplio incluyendo el Hardware y el Software así
como las conexiones y la propia información contenida en los sistemas
informáticos (aplicaciones) así como a los usuarios y a aquellos soportes e
instalaciones que permiten que estos equipos almacenen o procesen la
información.
Por otro lado, un sistema de información comúnmente se refiere a un sistema

informático básico, pero también puede describir un sistema de conmutación
telefónica o de control ambiental.
El factor para considerar a un sistema como sistema de información e si involucra

recursos para información compartida o procesada, así como las personas que
administran el sistema. Las personas se consideran parte del sistema porque sin
ellas, los sistemas no funcionarían correctamente.
Hay muchos tipos de sistemas de información, dependiendo de la necesidad para
la cual están diseñados. Un sistema de soporte de operaciones, como un sistema
de procesamiento de transacciones, convierte los datos comerciales
(transacciones financieras) en información valiosa. De manera similar, un sistema
de información de gestión utiliza la información de la base de datos para generar
informes, lo que ayuda a los usuarios y las empresas a tomar decisiones basadas
en los datos extraídos.
En un sistema de apoyo a las decisiones, los datos se obtienen de varias fuentes y

luego son revisados por los gerentes, quienes toman las determinaciones en
función de los datos compilados. Un sistema de información para ejecutivos es
útil para examinar las tendencias comerciales, ya que permite a los usuarios
acceder rápidamente a información estratégica personalizada en forma de
resumen.
Según el nivel de la información los sistemas de información se pueden clasificar

en:
 Sistemas de soporte de operaciones, incluidos los sistemas de

procesamiento de transacciones. (decisiones operativas)
 Sistemas de información para la gestión (Decisiones de gestión)
 Sistemas de información ejecutiva (decisiones estratégicas)
En cuanto al tipo de datos o conocimiento almacenado podemos clasificarlos en
 Sistemas de transacciones de datos (Datos básicos)

 Sistemas de soporte en oficinas (Datos básicos)
 Sistemas de Gestión de la información (Conocimientos e información
genera)
 Sistemas de soporte para toma de decisiones (Conocimiento específicos
tecnológicos)
 Sistemas de información gerencial (Conocimiento específicos Know-how)
3.36 INTEGRIDAD
Propiedad de la exactitud y la integridad
La integridad de la información se refiere a la exactitud y consistencia generales
de los datos o expresado de otra forma, como la ausencia de alteración cuando se
realice cualquier tipo de operación con los datos, lo que significa que los datos
permanecen intactos y sin cambios
Como regla general para poder mantener y comprobar la integridad de los datos,
los valores de los datos se estandarizan de acuerdo con un modelo o tipo de
datos. De esta forma podremos comprobar que todas las características de los
datos se mantienen de forma correcta y están completos
La integridad de los datos es una función relacionada con la seguridad de forma

que un servicio de integridad tiene la función de mantener la información
exactamente como fue ingresada en operaciones tales como la captura de datos,
el almacenamiento, la recuperación, la actualización o la transferencia.
La integridad de los datos puede una medida del rendimiento de cualquier

operación realizada con la información si tomamos en cuenta la tasa de error
detectada en cada operación.
La corrupción o alteración de los datos pueden ocurrir de forma accidental (por

ejemplo, a través de errores de programación) o maliciosamente (por ejemplo, a
través de infracciones o hacks). Para evitar o minimizar la posibilidad corrupción
de los datos existen una serie de herramientas o controles tales como:
 Cifrado de datos, que bloquea los datos por cifrado

 Copia de seguridad de datos, que almacena una copia de datos en una
ubicación alternativa
 Controles de acceso, incluida la asignación de privilegios de lectura /
escritura.
 Validación de entrada, para evitar la entrada incorrecta de datos.
 Validación de datos, para certificar transmisiones no corrompidas.
INTEGRIDAD EN BASES DE DATOS

En bases de datos, la integridad de los datos generalmente es un requisito a
considerar durante la fase de diseño de la base de datos mediante el uso el uso de
métodos o rutinas de verificación de errores y procedimientos de validación.
El concepto de integridad de los datos garantiza que todos los datos de una base
de datos puedan rastrearse y conectarse a otros datos. Esto asegura que todo es
recuperable y se puede buscar.
Tener un sistema de integridad de datos único, bien definido y bien controlado

aumenta la estabilidad, el rendimiento, la reutilización y facilita el
mantenimiento. Si una de estas características no se puede implementar en la
estructura de la base de datos, puede también implementarse a través del
software.
3.37 PARTE INTERESADA

Persona u organización que puede afectar, verse afectada o percibirse como
afectada por una decisión o actividad.
Este concepto se refiere a cualquiera de las personas u organizaciones que

pueden verse afectadas por una situación, o que esperan un beneficio económico
o de otro tipo de una situación: Así nos encontramos con los empleados,
proveedores, clientes y otros posibles interesados
Más Información sobre El contexto del SGSI

3.38 CONTEXTO INTERNO
Entorno interno en el que la organización busca alcanzar sus objetivos.
El contexto interno puede incluir:
 Gobierno, estructura organizativa, roles y responsabilidades;

 Políticas, objetivos, y las estrategias que existen para lograrlos;
 Las capacidades, entendidas en términos de recursos y conocimiento (por
ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías;
 Sistemas de información, flujos de información y procesos de toma de
decisiones (tanto formales como informales);
 Relaciones con, y percepciones y valores de las partes interesadas internas;
 La cultura de la organización;
 Normas, lineamientos y modelos adoptados por la organización;
 Forma y alcance de las relaciones contractuales.
Más Información sobre El contexto del SGSI
3.39 NIVEL DE RIESGO
Magnitud de un riesgo expresada en términos de la combinación de
consecuencias y su probabilidad
El nivel de riesgo es un elemento necesario en la evaluación de riesgos para la

seguridad de la información. El nivel de riesgo es el resultado del cálculo del
riesgo como una forma de ponderar el riesgo para la seguridad de la información
ante una determinada amenaza
El nivel de riesgo es el elemento que nos permite razonar las medidas necesarias
para mitigar o reducir el riesgo y es un elemento fundamental para la toma de
decisiones.
Dentro del proceso de análisis de riesgos se acepta como fórmula para el cálculo
del nivel de riesgo
Nivel de riesgo = probabilidad (de un evento de interrupción) x pérdida

(relacionada con la ocurrencia del evento)
En este escenario el nivel de riesgo es una medida de la pérdida esperada
relacionada con algo (es decir, un proceso, una actividad de producción, una
inversión...) sujeta a La ocurrencia del evento de interrupción considerado.
Se trata pues de una forma de cuantificar o medir el riesgo.
Otra forma de considerar esta fórmula es
Riesgo = Probabilidad de Fallo x Nivel de Daño Relacionado con el fallo

Más informacion detallada para Calcular Riesgo
3.40 PROBABILIDAD
Posibilidad de que algo suceda
La probabilidad en el análisis de riesgos

La probabilidad de que algo suceda o una amenaza contra la seguridad de la
información se concrete nos ayuda a pronosticar o conocer de manera anticipada
las consecuencias reales de una amenaza. Sin embargo, muchas veces la falta de
datos objetivos para ciertos tipos de amenazas de seguridad de la información
hace que sea difícil incorporar un enfoque de pronóstico basado en la
probabilidad.
Por otro lado, la probabilidad es un elemento fundamental en un proceso de

análisis de riesgo. Veamos cómo deberíamos incluir la probabilidad en las
actividades del proceso de análisis de riesgos
¿Qué es la probabilidad?
Definimos probabilidad como el grado de probabilidad de que ocurra un evento.
Primero consideramos el concepto clásico de probabilidad. La clave para este

concepto de probabilidad es que todas las posibilidades deben ser igualmente
probables.
Frecuencia
Otro concepto importante dentro de la probabilidad es la frecuencia como un
parámetro que mide la probabilidad de que ocurra un evento o un resultado dado,
dentro de un intervalo de tiempo en el que ocurrirán eventos similares.
El estudio de la frecuencia es una herramienta útil para calcular la probabilidad,

aunque no puede conocer el valor exacto de una probabilidad, puede estimarlo
observando la frecuencia con la que ocurrieron eventos similares en el pasado
CASO PRACTICO: EJEMPLO DE ESTIMACION DE FRECUENCIA

Un ejemplo común que utiliza la interpretación de probabilidad de
frecuencia es el pronóstico del tiempo. Si el pronóstico prevé una
probabilidad del 60 por ciento de lluvia, significa que en las mismas
condiciones climáticas, lloverá en el 60 por ciento de los casos. A
continuación, consideremos una variación de este caso: ¿cómo estimas
la probabilidad de que algo ocurra solo una vez? Considere cómo los
médicos estiman la probabilidad de cuánto tiempo tardará un paciente
en recuperarse de una enfermedad. Un médico puede verificar los
registros médicos y descubrir que en el pasado, el 50 por ciento de los
pacientes se recuperaron en dos meses bajo un plan de tratamiento
específico. Al utilizar esta información de casos similares, el médico
puede predecir que existe una probabilidad del 50 por ciento de que el
paciente se recupere en dos meses.
Probabilidad subjetiva
Finalmente otra herramienta a incorpora en la determinación de la probabilidad
es la probabilidad subjetiva. Ante la dificultad de tener datos objetivos sobre la
probabilidad podemos también considerar información indirecta, o colateral,
conjeturas, intuición u otros factores subjetivos para considerar o determinar la
probabilidad
Se trata de evaluar las probabilidades de manera diferente, según una evaluación

personal de una situación. Una desventaja de este enfoque es que a menudo es
difícil para las personas estimar la probabilidad, y la misma persona puede
terminar estimando diferentes probabilidades para el mismo evento utilizando
diferentes técnicas de estimación.
Probabilidad y seguridad de la información

La problemática de la obtención de datos objetivos en el cálculo de la
probabilidad de que ocurran eventos o ataques contra la seguridad de la
información cuando no tenemos datos propios debe afrontarse estudiando los
eventos similares en nuestro sector o en sectores que aunque no sean exactamente
el nuestro y así podremos extrapolar en nuestro caso concreto la probabilidad de
ocurrencia.
Por ejemplo podríamos intentar evaluar cuantos ataques informáticos en el sector

bancario serian aplicables a organizaciones en el sector de fabricación?
Aunque esto nos deja con una probabilidad subjetiva de amenazas resultantes
podríamos realizar estimaciones con ayuda de los siguientes factores:
 Motivo: ¿qué tan motivado está el atacante? ¿El atacante está motivado

por preocupaciones políticas? ¿Es el atacante un empleado descontento?
¿Es un activo un objetivo especialmente atractivo para los atacantes?
 Medios: ¿qué ataques pueden afectar sus activos críticos? ¿Cuán
sofisticados son los ataques? ¿Los posibles atacantes tienen las habilidades
para ejecutar los ataques?
 Oportunidad: ¿qué tan vulnerable es su infraestructura informática? ¿Qué
tan vulnerables son los activos críticos específicos?
En general, debe tener cuidado al incorporar la probabilidad en su análisis de

riesgo y tener en cuenta una combinación de datos de frecuencia y estimación
subjetiva.
3.41 SISTEMA DE GESTIÓN

Conjunto de elementos interrelacionados o interactivos de una organización para
establecer políticas y objetivos y procesos para alcanzar esos objetivos
>Más información: ¿Qué es un SGSI?
3.42 MEDIDA
Variable a la que se asigna un valor como resultado de la medida
Mas info en 3.8 Medida Base
3.43 MEDICIÓN
Proceso para determinar un valor
MONITOREO MEDICIÓN ANÁLISIS Y EVALUACIÓN

El monitoreo, la medición, el análisis y la evaluación son críticos para la
evaluación del desempeño del sistema de gestión de la seguridad de la
información SGSI.
El objetivo primario de estos términos es establecer un marco para medir el

desempeño tanto cualitativo como cuantitativo de un SGSI de forma que
podamos obtener la información de en qué grado estamos cumpliendo los
objetivos del SGSI
Finalmente la medida del desempeño a través de un análisis y evaluación nos

conduce a un sistema objetivo de obtención de medidas de mejora que conduzcan
a un sistema que se supera a si mismo con el tiempo: La mejora continúa de la
En toda planificación de un SGSI se debería determinar cómo monitorear, medir,

analizar y luego evaluar los procesos de la seguridad de la información y sus
resultados.
Se determinará que medir, con que método, cuales son los parámetros y con qué
método o formula realizaremos el análisis y evaluación de lo que hemos medido.
METODOS DE MEDICION
Los métodos deben definir qué actividades son necesarias para garantizar
resultados válidos de monitoreo y mediciones.
Los métodos deben definir las etapas y los intervalos en el proceso cuando deben
realizarse las actividades de monitoreo y mediciones.
Los métodos deben definirse como se deben analizar y evaluar los resultados del
monitoreo y la medición.
Los resultados tienen que ver con la evaluación del desempeño y los objetivos
del SGSI.
ACLARANDO DIFERENCIAS ENTRE LOS DISTINTOS TERMINOS Y

DEFINICIONES
Antes de nada, veamos más en detalle la diferencia entre monitorear, medir,
analizar y evaluar un proceso:
Monitoreo: una inspección continua u observación del desempeño del proceso

para el propósito especial, objetivo o alcance definido
Medición: la actividad de entregar datos y un método para definir objetivamente
una medida cuantitativa o cualitativa y capturar una situación sin ninguna
referencia a la importancia.
Análisis: un conjunto de técnicas para examinar tendencias y tendencias de una
salida (proceso o producto)
Evaluación: la acción de comparar un proceso o las mediciones de una salida de
un proceso
OBJETIVO DEL MONITOREO, MEDICIÓN, ANÁLISIS Y
EVALUACIÓN
El objetivo del monitoreo, la medición, el análisis y la evaluación son los
responsables de la toma de decisiones un entendimiento a través de un informe
de situación sobre el desempeño de los procesos. Los datos que se incluyen en
los controles sugeridos por la norma, como las evaluaciones de proveedores o el
control de productos no conformes. Esas actividades deben indicar la eficacia del
SGSI y la medida en la que el SGSI cumple con sus objetivos de Seguridad de la
Información. Este tipo de informes proporciona los datos de las diferentes
unidades organizativas e información sobre problemas de calidad.
3.44 FUNCIÓN DE MEDICIÓN

Algoritmo o cálculo realizado para combinar dos o más medidas base (3.8)
Más información en Medida Derivada
3.45 MÉTODO DE MEDIDA
Secuencia lógica de operaciones, descrita genéricamente, utilizada en la
cuantificación de un atributo con respecto a una escala específica
Más información en Medición
3.46 MONITOREO
Determinar el estado de un sistema, un proceso o una actividad
Más información en Medición
3.47 NO CONFORMIDAD
Incumplimiento de un requisito
Más información en Corrección
3.48 NO REPUDIO
Capacidad para demostrar la ocurrencia de un evento o acción reclamada y sus
entidades de origen.
El no repudio es un concepto que garantiza que alguien no puede negar algo. En

el contexto de la seguridad de la información, normalmente el no rechazo se
refiere a la capacidad de garantizar que una parte de un contrato o una
comunicación no pueda negar la autenticidad de su firma en un documento o el
envío de un mensaje enviado por un origen determinado.
Resumiendo, el no repudio es una forma de demostrar que una información fue

enviada por un origen hacia un destino.
La garantía de no repudio se utiliza normalmente en contratos digitales, firmas y

mensajes de correo electrónico.
Y es que, ¿cómo podemos garantizar que una imagen, audio, video, documento,
programa o carpeta no se ha manipulado o cambiado?
Esta garantía se puede obtener mediante el uso de la función “hash”, que nos da
una prueba de la identificación y auténtico del origen de los datos. Esto se
complementa con la utilización de firmas digitales, así como de claves públicas.
Las claves públicas utilizadas de forma única para garantizar el no repudio,
pueden suponer un problema si el destinatario del mensaje ha expuesto, a
sabiendas o sin saberlo, su clave encriptada o secreta.
En cuanto a la seguridad de la información el no repudio no es el único criterio

para garantizar la integridad de los datos ya que en los ataques de “phishing” o
suplantación de identidad pueden comprometer igualmente la integridad de los
datos ya que incluso las firmas digitales
Además, es importante tener en cuenta que una firma digital aunque sea auténtica
puede ser mal utilizada por alguien que tenga o haya obtenido fraudulentamente
la clave privada. Este problema ha sido contrarrestado con las tarjetas
inteligentes.
La aplicación de sistemas de no repudio protege al destinatario y al remitente

cuando un destinatario niega recibir un correo electrónico. El no rechazo por
tanto, se convierte en un pilar esencial de la seguridad de la información cuando
se necesita.
3.49 OBJETIVO
Un objetivo se define como un resultado a lograr
Un objetivo puede ser estratégico, táctico u operacional.
Los objetivos pueden relacionarse con diferentes disciplinas (como los objetivos
financieros, de salud y seguridad, y ambientales) y pueden aplicarse en diferentes
niveles [como estratégico, para toda la organización, proyecto, producto y
proceso].
Más información en Objetivo de control
En el contexto de los sistemas de gestión de seguridad de la información, la
organización establece objetivos de seguridad de la información, en consonancia
con la política de seguridad de la información, para lograr los resultados
previstos.
3.50 ORGANIZACIÓN
Persona o grupo de personas que tiene sus propias funciones con
responsabilidades, autoridades y relaciones para lograr sus objetivos
El concepto de organización puede ser una persona física, una empresa o

corporación, un organismo público o sociedad privada, una organización
benéfica o institución, o también una parte o combinación de los mismos.
3.51 EXTERNALIZAR
Establecer un acuerdo donde una organización externa realiza parte de la función
o el proceso de una organización
Hemos de tener en cuenta que una organización externa está fuera del alcance del
sistema de gestión, aunque la función o proceso subcontratado está dentro del
alcance.
El concepto de externalización queda sumamente claro en su definición. Sin

embargo, en este punto se abre la puerta a tomar como procesos externalizados a
todos aquellos que se queden fuera del alcance del SGSI. Sobre este punto en
concreto puede ver más información en el siguiente link:
Más informacion sobre el alcance del SGSI de cara a la certificación

3.52 DESEMPEÑO
Resultado medible
El rendimiento puede relacionarse con resultados cuantitativos o cualitativos.
El rendimiento puede relacionarse con la gestión de actividades, procesos,

productos (incluidos servicios), sistemas u organizaciones.
El concepto de desempeño en un sistema de gestión es un requisito que nos
impone establecer un sistema para evaluar o medir la salud o efectividad en la
consecución de los objetivos previstos. De la misma manera que un médico
establece criterios para evaluar la salud de un paciente en base a unos indicadores
derivados de análisis bioquímicos y medidas sobre parámetros como la presión
arterial, un SGSI debe establecer un sistema de medición para poder evaluar la
salud o la eficacia de dicho sistema a la hora de cumplir con los objetivos de la
seguridad de la información.
Con este escenario, se deben definir indicadores significativos para medir el

rendimiento en base a una métrica que evalúe los factores que son clave para el
éxito de una organización.
DIFERENCIA ENTRE OBJETIVOS E INDICADORES

Un objetivo es algo que quiere lograr, mientras que un indicador es algo que se
usa para verificar si sus esfuerzos lo están llevando hacia el objetivo definido.
Por ejemplo, si el objetivo de Seguridad es alcanzar un nivel de interrupción
menor del 1%, el indicador de nivel de interrupciones lo ayudará a alcanzar y
mantener este parámetro en su lugar.
Es importante establecer objetivos que nos ayuden realmente a evaluar cómo se

cumplen los objetivos. Es por ello que la elección de los indicadores tiene una
importancia clave a la hora de tener un sistema útil para medir el desempeño y
sea de verdadera ayuda en la toma de decisiones para mejorar
CRITERIOS PARA SELECCIONAR INDICADORES PARA LA

SEGURIDAD DE LA INFORMACION
Veamos algunos criterios
Indicadores Relevantes para el negocio:

Para que un indicador sea relevante para el negocio debe ser relevante para los
objetivos del negocio. Así que deberemos buscar entre aquellos parámetros que
son importantes en la consecución de los objetivos comerciales, cumplimiento
legal, objetivos de la seguridad de la información etc.
Integrados con los procesos del negocio

La integración con los procesos significa en primer lugar que las actividades para
recopilar los datos de los indicadores sobre la seguridad de la información supone
la menor cantidad de trabajo posible, en comparación con las actividades usuales
requeridas propias del proceso del negocio.
Significativos:
El indicador debe ser capaz de identificar los factores relevantes (por ejemplo,
pasos del proceso, áreas organizativas, recursos, etc.) que necesitan atención. Por
ejemplo, un indicador relacionado con el número de intentos de inicio de sesión
fallidos define explícitamente la eficacia del proceso de inicio de sesión.
3.53 POLÍTICA
Intenciones y dirección de una organización, según lo expresado formalmente
por su alta dirección
Más informacion en "Una buena Política de la Seguridad de la Información"
3.54 PROCESO
Conjunto de actividades interrelacionadas o interactivas que transforman entradas
en salidas
El enfoque y la definición de procesos es un elemento fundamental en la visión

de las normas ISO y en el establecimiento de un SGSI.
El enfoque de procesos significa que una organización administra y controla los

procesos que conforman su organización, tanto las interacciones entre los
procesos y las entradas y las salidas que unen estos procesos.
ISO 27001 promueve el enfoque de procesos para gestionar una organización y

requiere que el SGSI considere a la organización como una serie de procesos
interrelacionados. Están interconectados porque la salida de un proceso es a
menudo la entrada a otro proceso.
ISO 27001 introduce el término enfoque de proceso en la Introducción, y se

aborda nuevamente en la sección Liderazgo
¿Qué son los procesos, las entradas y salidas?

Llamamos procesos a un grupo de tareas o actividades organizadas junto con
personas, equipos e instalaciones que en una secuencia especifica producen un
servicio o producto. En el contexto de la información los procesos pueden
referirse a las actividades que tratan con información para acceder, tratar,
modificar, transmitir o distribuir información.
Un proceso de información utiliza recursos para transformar una información de

entrada en una información de salida.
Un enfoque de procesos consiste en considerar como interaccionan los distintos

procesos y sus entradas y salidas que unen estos procesos. La salida de un
proceso se convierte en la entrada de otro. Cuando describimos todas las
actividades de una organización en base a procesos la cosa puede complicarse
por lo que es recomendable utilizar un diagrama o diagrama de flujo para
permitirle visualizar mejor la relación entrada-salida
La norma ISO 27001 está diseñada para gestionar y mejorar los procesos de la
seguridad de la información para ello deberíamos.
 1. Identificar los procesos clave de la seguridad de la información.

 2. Define cada proceso
 3. Establezca como medirá y evaluará el proceso.
 4. Determine los objetivos a alcanzar por cada proceso según lo
determinen sus mediciones.
 5. Establezca como va a evaluar la efectividad de los procesos
(periodicidad de las auditorias, procesos de evaluación etc.) para lograr la
mejora continua.
La efectividad de un sistema o una organización vendrá determinada por la
efectividad de cada proceso y la interactividad de estos procesos dentro del
sistema. Al establecer objetivos de sobre la seguridad de la información y auditar
la eficacia con la que los procesos cumplen esos objetivos, una organización
puede determinar si los procesos agregan valor o deben mejorarse.
En definitiva, el enfoque de procesos permite a la organización cumplir con los

requisitos de la seguridad de la información y la mejora continua de la misma
3.55 CONFIABILIDAD
Propiedad de la conducta y resultados esperados consistentes
La confiabilidad es un atributo de cualquier sistema de información (software,

hardware o una red, por ejemplo) que nos garantiza que el sistema en cuestión
tiene un desempeño de acuerdo con sus especificaciones.
La confiabilidad suele ir asociada a otros atributos de un sistema de información

como son la disponibilidad y la capacidad.
En el proceso de toma de decisiones de compra de equipos o sistemas

informáticos siempre tendremos en cuenta estos atributos por lo que la
confiabilidad, la disponibilidad y la capacidad de servicio son aspectos
importantes para el diseño en cualquier sistema.
En teoría, un producto confiable está totalmente libre de errores técnicos; en la

práctica, sin embargo, los proveedores normalmente nos dan los valores
confiabilidad de un producto como un porcentaje.
En sistemas o aplicaciones software es común tener en cuenta la evolución del

producto por las numerosas versiones durante un período significativo de tiempo.
Generalmente se consideran cada vez más confiables, ya que se supone que los
errores se han eliminado en versiones anteriores. Es por ello que la versión
estable y confiable de una aplicación debe siempre tenerse en cuenta antes de
realizar una migración o instalación de software
3.56 REQUISITO
Necesidad o expectativa que se declara, generalmente implícita u obligatoria.
"Generalmente implícito" significa que es una práctica habitual o común para la

organización y las partes interesadas que la necesidad o expectativa en cuestión
esté implícita.
Un requisito especificado es uno que se establece, por ejemplo, en la necesidad

de contar con información documentada.
Si una empresa cumple con los requisitos de una norma ISO, se dice que cumple
con la norma ISO. La certificación con ISO 27001 confirma que el negocio sigue
las pautas establecidas por ISO 27001 y se puede utilizar para mejorarla
seguridad de la información de su empresa.
Los requisitos para la seguridad de la información establecida en la norma ISO

27001 se pueden utilizar para la mejora de la imagen o confiabilidad de la
organización, para fines de certificación o para asuntos internos de una
organización.
3.57 RIESGO RESIDUAL

Riesgo restante después del tratamiento de riesgo
El riesgo residual puede contener un riesgo no identificado.
El riesgo residual también puede denominarse "riesgo retenido".
¿Qué es el riesgo residual?

Dentro de la norma ISO 27001, el riesgo residual es el riesgo que queda después
del aplicar los controles de riesgo.
Después de identificar los riesgos procedemos a tratar aquellos riesgos no
aceptables minimizando su impacto pero los riesgos no desaparecen después de
tratarlos por lo que algunos riesgos se mantendrán en un cierto nivel, y esto es lo
que son los riesgos residuales
El nivel de riesgo residual nos indicara si el tratamiento de riesgos ha sido

suficiente o no.
¿Cómo evaluamos es el riesgo residual?

Los riesgos residuales evalúan de la misma manera que realiza la evaluación de
riesgos inicial. Sin embargo, después de evaluar los riesgos residuales los
métodos de mitigación ya no se aplican de la misma forma ya que los riesgos
residuales tendrán unos impactos y una probabilidad de ocurrencia normalmente
menor
Tratamiento de riesgos residuales: Nivel aceptable de riesgo

Los riesgos residuales nos permiten evaluar si los tratamientos de riesgos
utilizados son realmente eficientes y suficientes para mitigar el riesgo; La
pregunta es: ¿cómo saber qué es suficiente? Aquí es donde entra en juego el
concepto de nivel aceptable de riesgos.
En este punto cada organización debe decidir cuál es su nivel de riesgo aceptable
en lo que suele denominarse perfil de riesgo. La norma ISO 27001 permite que
cada empresa decida si tendrá un perfil de riesgo conservador o por el contrario
prefiere operar con un riesgo moderado o incluso alto
En un entorno de riesgo alto está claro que es mucho más probable que ocurra
algo por lo que la decisión de trabajar en estos perfiles de riesgo suele ser más
típico en empresas en fases de inicio de operaciones mientras que las
organizaciones maduras prefieren niveles de riesgo más moderados o
conservadores.
Gestión de riesgos residuales.
Una vez que se determinan los riesgos residuales ternemos Básicamente tres
opciones:
 Si el nivel de riesgo está por debajo del nivel de riesgo aceptable, entonces
no hay que hacer nada: simplemente aceptamos el riesgo dejando
constancia de ello.
 Si el nivel de riesgo está por encima del nivel de riesgo aceptable,
entonces tendremos que investigar cómo establecer controles nuevos y
mejores a los existentes para el riesgo residual para luego reevaluar los
riesgos residuales.
 Si los costes de mitigar los riesgos residuales son mayores que el impacto
que pueden producir, aunque el nivel de riesgo este por encima del nivel
de riesgo aceptable, se debe evaluar la aceptación de dichos riesgos o
establecer medidas alternativas como la transferencia de dichos riesgos
mediante pólizas de seguros por ejemplo.
3.58 REVISIÓN
Actividad realizada para determinar la idoneidad, adecuación y eficacia de la
materia para alcanzar los objetivos establecidos
Este término de “revisión“nos remite a las acciones realizadas para determinar la

eficacia en definitiva de un sistema de gestión de la seguridad de la información
SGSI
La eficacia de un sistema de gestión de la seguridad de la información puede

determinarse por la relación entre los resultados obtenidos por el sistema de
gestión SGSI y los recursos utilizados. Consideraremos un sistema eficaz de
gestión de la seguridad de la información como un sistema que trae consigo un
efecto positivo y contrastable en la seguridad de la información.
Eficiencia del sistema de gestión de la Seguridad de la Información se refiere a la

medida en que se realizan las actividades planificadas dentro del SGSI y se
logran los resultados planificados.
Adecuación del sistema de gestión de la Seguridad de la Información:
Es la capacidad de este sistema para cumplir con los requisitos aplicables,
especificados por la organización o los estándares. Por ejemplo, los requisitos
pueden ser sobre la ISO 27001, La adecuación significa cumplir con todos
requisitos, ni más, ni menos.
Idoneidad del sistema de Seguridad de la Información:

Es la capacidad o idoneidad de este sistema para cumplir con un propósito
definido. Las organizaciones pueden identificar varios tipos de propósitos u
objetivos del sistema de Gestión de la Seguridad de la Información como por
ejemplo, garantizar un nivel máximo de incidencias en la seguridad de la
información.
3.59 OBJETO DE REVISIÓN
Artículo específico a revisar
En un modelo de evaluación del rendimiento o la idoneidad de un SGSI se

pueden definir una seria de factores críticos de evaluación de la cual depende el
éxito del sistema. Estos factores pueden componerse a su vez de indicadores
organizados en distintos niveles (Sistema ponderado)
Con un sistema ponderado, la evaluación del rendimiento refleja por un lado los
resultados de una investigación empírica realizada entre profesionales de
seguridad de la información acompañados por una valoración ponderada de los
indicadores organizados por niveles
Objetos de revisión
Normalmente el rendimiento de la seguridad de la información depende
principalmente de las medidas dirigidas a gestionar los riesgos de la información,
los empleados y las fuentes de información, mientras que los factores formales y
ambientales tienen un impacto menor.
Los expertos creen que la seguridad de la información debe evolucionar

sistemáticamente, donde se recomienda que los pasos iniciales incluyan la
revisión de objetos tales como controles de seguridad técnicos, lógicos y físicos,
mientras que las actividades avanzadas deben relacionar actividades de
administración predominantemente estratégicas.
En un modelo ponderado donde se asignan niveles a los objetos de revisión, las

organizaciones pueden determinar más eficazmente el nivel real de rendimiento
de la seguridad de la información.
3.60 OBJETIVO DE REVISIÓN

Declaración que describe lo que se debe lograr como resultado de una revisión
Un objetivo de revisión es la declaración concreta para describir lo que se desea

lograr como organización en relación con la seguridad de la información para un
objetivo concreto.
Por ejemplo una organización define como objetivo
"La entrega de un servicio en la nube seguro y confiable para los usuarios y

otras partes interesadas con confianza y seguridad garantizando la que la
plataforma es adecuada para el propósito de uso de información confidencial".
Este objetivo debe además definir una serie de objetivos revisables siempre sin
exagerar y manteniendo una exigencia de alto nivel como requiere este objetivo
definido
Por ejemplo:
 Objetivo de revisión 1: Tiempo de actividad del sistema con un objetivo

del 99,5%
 Objetivo de revisión 2: Nivel de fallos en copias de seguridad =0
 Objetivo de revisión 1: Numero de acciones correctivas sobre fallos del
sistema en un año =0
 Etc.
3.61 RIESGO
Efecto de la incertidumbre sobre los objetivos
Un efecto es una desviación de lo esperado - positivo o negativo.
La incertidumbre es el estado, incluso parcial, de la deficiencia de la información

relacionada, la comprensión o el conocimiento de un evento, su consecuencia o
probabilidad.
En el contexto de los sistemas de gestión de seguridad de la información, los

riesgos de seguridad de la información se pueden expresar como efecto de la
incertidumbre sobre los objetivos de seguridad de la información.
El riesgo de seguridad de la información está asociado con la posibilidad de que

las amenazas aprovechen las vulnerabilidades de un activo de información o
grupo de activos de información y, por lo tanto, causen daños a una organización.
Más información sobre Análisis de Riesgos

3.62 ACEPTACIÓN DEL RIESGO
Decisión informada de tomar un riesgo particular
La aceptación del riesgo puede ocurrir sin tratamiento de riesgo o durante el

proceso del tratamiento de riesgo.
Los riesgos aceptados están sujetos a monitoreo y revisión

3.63 ANÁLISIS DE RIESGO
Proceso para comprender la naturaleza del riesgo y para determinar el nivel de
riesgo
El análisis de riesgos proporciona la base para la evaluación de riesgos y las

decisiones sobre el tratamiento de riesgos
El análisis de riesgos incluye la estimación de riesgos.

3.64 EVALUACIÓN DE RIESGOS
Proceso global de identificación de riesgos, análisis de riesgos y evaluación de
riesgos
3.65 COMUNICACIÓN Y CONSULTA DE RIESGOS.
Conjunto de procesos continuos e iterativos que una organización lleva a cabo
para proporcionar, compartir u obtener información, y para dialogar con las
partes interesadas con respecto a la gestión de riesgos
Actualmente el posible impacto del riesgo tiene mucho que ver con la
comunicación del riesgo ya que las expectativas de las partes interesadas, el
público en general, los clientes y las entidades regulatorias pueden significar un
factor tremendamente importante en la gestión de una crisis en la seguridad de la
información
Cuando ocurre una crisis en la seguridad de la información puede ser como un

auténtico maremoto que ponga patas arriba cualquier forma de trabajo causando
una pérdida de control de la situación donde la imagen de la empresa y su
credibilidad con los clientes puede sufrir un colapso si no se maneja la situación
desde un plan de comunicaciones que permita actuar bajo unas premisas
previamente establecidas para minimizar el impacto de la crisis.
Además ciertos riesgos para la seguridad de la información aunque no supongan

una crisis deben, cuando se materializan, deben ser convenientemente
comunicados a las autoridades o a los afectados según corresponda tanto para
cumplir con los requisitos legales como para anticiparse a consecuencias no
deseadas y garantizar los derechos de los afectados así como para manifestar la
preocupación y seriedad de su organización
Lo que está claro es que una buena comunicación es clave en cualquier evento
sobre la seguridad de la información, tanto internamente como, en términos de
relacionarse con aquellos con un interés en su organización, y tener planes de
comunicación listos para enfrentar dificultades.
Una segunda razón es que la buena comunicación es una parte esencial de la

buena formulación de políticas en su sentido más amplio, incluida la
implementación y la planificación operativa.
3.66 CRITERIOS DE RIESGO

Términos de referencia contra los cuales se evalúa la importancia del riesgo
Los criterios de riesgo se basan en los objetivos de la organización, el contexto

externo y el contexto interno
Los criterios de riesgo pueden derivarse de normas, leyes, políticas y otros

requisitos.
3.67 EVALUACIÓN DE RIESGO
Proceso de comparar los resultados del análisis de riesgo con los criterios de
riesgo para determinar si el riesgo y / o su magnitud es aceptable o tolerable
La evaluación de riesgos ayuda en la decisión sobre el tratamiento de riesgos.

3.68 IDENTIFICACIÓN DE RIESGO
Proceso de búsqueda, reconocimiento y descripción de riesgos
La identificación del riesgo implica la identificación de las fuentes de riesgo, los
eventos sus causas y sus posibles consecuencias
La identificación del riesgo puede incluir datos históricos, análisis teóricos,

opiniones informadas y de expertos, y las necesidades de los interesados
3.69 GESTIÓN DE RIESGOS
Actividades coordinadas para dirigir y controlar una organización con respecto al
riesgo
3.70 PROCESO DE GESTIÓN DE RIESGOS
Aplicación sistemática de políticas de gestión procedimientos y prácticas a las
actividades de comunicación, consulta, establecimiento del contexto e
identificación, análisis, evaluación, tratamiento, seguimiento y revisión de
riesgos
ISO / IEC 27005 utiliza el término "proceso" para describir la gestión de riesgos
en general. Los elementos dentro del proceso de gestión de riesgos se conocen
como "actividades".
3.71 PROPIETARIO DE RIESGO
Persona o entidad con la responsabilidad y autoridad para gestionar un riesgo
(3.61)
3.72 TRATAMIENTO DE RIESGO
Proceso para modificar riesgo
El tratamiento del riesgo puede involucrar:
 Evitar el riesgo al decidir no comenzar o continuar con la actividad que

genera el riesgo;
 Tomar o aumentar el riesgo para buscar una oportunidad;
 Eliminar la fuente de riesgo;
 Cambiando la probabilidad
 Cambiando las consecuencias
 Compartir el riesgo con otra parte o partes (incluidos los contratos y la
financiación del riesgo);
 Retener el riesgo por elección informada.
3.73 ESTÁNDAR DE IMPLEMENTACIÓN DE SEGURIDAD
Documento que especifica formas autorizadas para realizar la seguridad.
Dentro de los posibles estándares para la seguridad de la información, la

Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica
Internacional (IEC) han desarrollado una serie de normas conocidas como la serie
27000 que se ha convertido en una referencia reconocida mundialmente para las
mejores prácticas en materia de seguridad de la información
La norma de referencia y la base de todas las normas ISO 27000 es la norma ISO
/ IEC 27001 también conocida como ISO 27001. Esta norma establece los
requisitos para que el sistema de gestión de seguridad de la información (SGSI)
de una organización pueda ser auditado y certificado.
La certificación ISO 27001 permite a las organizaciones demostrar que cumplen

con los requisitos legislativos y reglamentarios relacionados con la seguridad de
la información.
Además ISO 27001 acredita que una organización ha implementado un sistema

para asegurar y proteger datos confidenciales, personales y confidenciales.
ISO 27001 nos proporciona el entorno adecuado y reconocido

internacionalmente para proteger su información a través de un método efectivo,
prácticas de auditoría y pruebas, procesos organizativos y programas de
concientización del personal.
Más informacion sobre la familia de normas ISO 27001

3.74 AMENAZA
Causa potencial de un incidente no deseado, que puede causar daños a un sistema
u organización
Una amenaza, en el contexto de la seguridad de la información, se refiere a

cualquier cosa que pueda causar un daño grave a un sistema de información. Una
amenaza es algo que puede o no puede ocurrir, pero tiene el potencial de causar
daños graves. Las amenazas pueden provocar ataques a sistemas informáticos,
redes, instalaciones etc.
Una amenaza potencial siempre está asociada a una vulnerabilidad propia del
sistema de información. Una amenaza por tanto pone en riesgo nuestro sistema
de información debido a una vulnerabilidad del sistema. Como las amenazas no
pueden evitarse nuestra única opción será intentar corregir o disminuir lo más
posible nuestras vulnerabilidades para que los atacantes no puedan infiltrarse en
el sistema y causar daños.
Las amenazas pueden incluir desde virus, troyanos, puertas traseras hasta ataques
directos de piratas informáticos. A menudo, el término amenaza combinada es
más preciso, ya que la mayoría de las amenazas involucran múltiples causas. Por
ejemplo, un pirata informático podría usar un ataque de “phishing - robo de datos
para suplantacion de identidad ”, para obtener información sobre una red y
posteriormente entrar de forma fraudulenta en dicha red.
3.75 ALTA DIRECCIÓN

Persona o grupo de personas que dirige y controla una organización (3.50) al
nivel más alto
La alta dirección tiene el poder de delegar autoridad y proporcionar recursos

dentro de la organización.
Si el alcance del sistema de gestión cubre solo parte de una organización, la alta
gerencia se refiere a aquellos que dirigen y controlan esa parte de la
organización.
La alta dirección a veces se llama administración ejecutiva y puede incluir a los

directores ejecutivos, los directores financieros, los directores de información y
otros cargos similares.
Más información sobre Liderazgo
3.76 ENTIDAD DE COMUNICACIÓN DE INFORMACIÓN
CONFIABLE
Organización autónoma que apoya el intercambio de información dentro de una
comunidad de intercambio de información
Un sistema o entidad confiable es aquella en que se confía en una medida

específica para hacer cumplir una política de seguridad específica. En otras
palabras
Esto equivale a decir que un sistema de confianza es aquel cuyo fallo rompería
una política de seguridad (si existe una política en la que el sistema de confianza
es confiable).
3.77 VULNERABILIDAD
Debilidad de un activo o control que puede ser explotado por una o más
amenazas
Vulnerabilidad en el contexto de la seguridad de sistemas de la información

puede ser un fallo en un sistema que puede dejarlo accesible a los atacantes. Una
vulnerabilidad también puede referirse a cualquier tipo de debilidad en el propio
sistema de información, o a un conjunto de procedimientos o a cualquier cosa
que deje la seguridad de la información expuesta a una amenaza.
Los usuarios o el personal encargado de una red pueden proteger los sistemas de
las vulnerabilidades manteniendo actualizados los parches de seguridad del
software. El personal mismo puede ser una vulnerabilidad al no mantenerse
informado sobre las amenazas y las políticas para prevenirlas, o no si no las pone
en práctica.
ISO 27000 ¿QUÉ ES UN SGSI?

Un sistema de Gestión para la seguridad de la información consta de una serie de
políticas, procedimientos e instrucciones o directrices específicas para cada
actividad o sistema de información que persiguen como objetivo la protección de
los activos de información en una organización
SGSI PROCESO SISTEMATICO
 Establece o planifica la Seguridad de la información estableciendo los

procesos y objetivos a conseguir
 Se implementa la Seguridad de la información dentro de los procesos de la
organización
 Se opera y mantienen los procesos establecidos para la seguridad de la
información
 Se miden los resultados (Monitoreo) e indicadores de los distintos
procesos de la seguridad de la información
 Se evalúa (Revisión) la efectividad de los procesos de la seguridad en base
a los objetivos establecidos
 Se analizan los resultados y se establecen nuevos objetivos (Mejora)
SGSI ENFOQUE BASADO EN EL RIESGO

La planificación de la Seguridad de la información se debe realizar con un
enfoque basado en el riesgo de modo que se fundamenta en una evaluación de
riesgos y en los niveles de aceptación de riesgos definidos por la organización
para posteriormente tratar y gestionar los riesgos de manera efectiva.
La evaluación de riesgos se debe realizar mediante un análisis de los requisitos

para la protección de los activos de información de una organización para poder
seleccionar y aplicar Los controles apropiados para garantizar la protección de
estos activos de información,
SGSI PRINCIPIOS FUNDAMENTALES

Implantar con éxito un SGSI deberíamos tener en cuenta apoyarnos en los
siguientes principios fundamentales:
 Tomar conciencia de la necesidad de seguridad de la información

 Asignar responsabilidades y roles en las tareas de la seguridad de la
información;
 Temer el compromiso e implicación de la dirección de la organización y
de las partes interesadas
 Realizar la evaluaciones de riesgo para determinar los controles
apropiados para conseguir niveles aceptables de riesgo
 Incorporar los criterios de seguridad como un elemento esencial de las
redes y sistemas de información
 Promover la anticipación y la detección de incidentes de seguridad de la
información;
 Evaluación continua de la seguridad de la información para realizar
modificaciones cuando corresponda.
ISO 27000 ENFOQUE DE PROCESOS
Dentro de una organización se establecen y gestionan una serie de tareas

relacionadas entre sí y que necesitan estar coordinadas entre sí de forma eficiente
para conseguir el propósito de la organización.
Una tarea normalmente se compone de varias actividades ejecutadas en un orden

determinado y necesita de una serie de recursos (personal, equipos e
instalaciones) además de una serie de entradas para obtener un resultado final o
salidas. Esto es lo que normalmente denominanos un proceso en una
organización
La aplicación de un sistema de procesos dentro de una organización, junto con la

identificación e interacciones de estos procesos, y su gestión, se puede denominar
como un "enfoque de proceso".
Más información sobre "El Proceso"

ISO 27000 ¿POR QUÉ ES IMPORTANTE UN SGSI?
Hoy en día, los activos de información son vitales dentro de una organización
para la consecución de sus objetivos por lo que se deben abordar los riesgos para
la seguridad de la información que afecten a estos activos.
Para conseguir la seguridad de la información se requiere la gestionar los riesgos para la
seguridad de la información, lo que incluye:
 Los riesgos de amenazas físicas y humanas

 Riesgos relacionados con las tecnologías asociadas con todas las formas de
información utilizadas por la organización.
Se de esperar que la implementación de un SGSI debería ser una decisión

estratégica para una organización ya que es necesario integrar los criterios para la
seguridad de la información en todas las necesidades de la organización y sus
procesos.
Aunque la seguridad de la información es importante para cualquier empresa u

organización, resultando de vital importancia en empresas que basan su actividad
en comercio electrónico, banca, intercambio de datos o que manejan información
confidencial de miles de clientes. También resulta de vital importancia en
empresas que necesitan demostrar a sus clientes su capacidad de aplicar
principios de seguridad de la información con reconocimiento internacional y
acreditado por una entidad independiente en el caso de optar la certificación de su
SGSI
ISO 27000 ESTABLECIMIENTO, SEGUIMIENTO,

MANTENIMIENTO Y MEJORA DE UN SGSI.
Parea implementar un SGSI deberemos llevar a cabo una serie de pasos que al
menos deben incluir
 1. Una identificación y clasificación de los activos de información de la

organización según sus requisitos para la seguridad de la información que
van asociados al activo o al tipo de información que manejan
 2. Realizare una evaluación de riesgos para la seguridad de la información
identificados para cada activo de información
 3. Implementar un plan de tratamiento de riesgos de forma ponderada
teniendo en cuenta los resultados de la evaluación de riesgos
 4. implementar los controles seleccionados para minimizar los riesgos
inaceptables
 5. Medir los resultados de la implantación de los controles
 6. Evaluar la efectividad de los controles implementados asociados a los
activos de información
 7. Proponer planes de mejora para nuevos activos o riesgos identificados
así como para los controles que lo necesiten
Este proceso debe sistematizarse y mantenerse a lo largo del tiempo con el

objetivo de mejorar de forma continua la seguridad de la información en una
organización
Vea como implementar un SGSI paso a paso

ISO 27000 FACTORES CRÍTICOS DE ÉXITO DEL SGSI
La norma ISO 27000 enumera una serie de factores críticos a la hora de afrontar
una implementación con garantía de éxito de un SGSI.
1 TENER EN CUENTA OBJETIVOS Y POLÍTICAS PARA LA

SEGURIDAD DE LA INFORMACIÓN ESTÉN EN CONSONANCIA
CON LOS OBJETIVOS DE LA ORGANIZACIÓN
Actualmente ya no es suficiente que un responsable de la seguridad de la
información sea un técnico experto en seguridad, ahora este rol debe incorporar
una visión y experiencia empresarial necesarias para tener conversaciones de
mayor nivel con sus juntas directivas y equipos ejecutivos. En nuestra opinión, el
responsable de la seguridad de la información debe tener un lugar en por órganos
de dirección y ser considerado como un cargo confiable por los ejecutivos
principales del negocio.
2 INTEGRAR LA SEGURIDAD DE LA INFORMACIÓN EN LA

CULTURA DE LA ORGANIZACIÓN
La cultura de la organización debe integrar no solo los procesos de la seguridad
de la información sino también la filosofía de un sistema de gestión que tiene en
cuenta la seguridad de la información tanto en el diseño de procesos, en la
operación del sistema y su mantenimiento así como en la evaluación de sus
procesos y decisiones de mejora
Leer más sobre "La estructura de la empresa en la Cultura de la seguridad de la información"
3 OBTENER EL APOYO Y COMPROMISO DE TODOS LOS NIVELES
DE GESTIÓN, ESPECIALMENTE DE LA ALTA DIRECCIÓN
Más información sobre El Liderazgo en ISO 27001
4 REALIZAR UNA EVALUACIÓN DE RIESGOS QUE GARANTICE
UNA ADECUADA COMPRENSIÓN DE LOS REQUISITOS DE
PROTECCIÓN DE ACTIVOS DE INFORMACIÓN
La identificación de activos pasa por determinar qué datos, sistemas u otros
activos se considerarían las "joyas de la corona" de su organización. Por ejemplo,
¿qué activos tendrían el impacto más significativo en su organización si se
comprometiera su confidencialidad, integridad o disponibilidad?
En particular no es difícil identificar la importancia de la confidencialidad en

datos que contengan información como los números de seguridad social, datos
salud o que involucren propiedad intelectual de la información.
En cuento a la integridad, por ejemplo, si una empresa debe cumplir con

requisitos legales SOX y FCPA de control interno para cumplir con exigencias
USA, un problema menor de integridad en los datos de informes financieros
podría tener un costo enorme. O bien, si una empresa es un servicio de descarga
de contenido multimedia on line y la disponibilidad de los archivos se ve
comprometida, podrían perder suscriptores.
5 LA CAPACITACIÓN Y CONCIENCIACIÓN SOBRE LA SEGURIDAD

DE LA INFORMACIÓN DEBE INVOLUCRAR A TODOS LOS
EMPLEADOS
El éxito de un SGSI depende en gran medida o podríamos decir que pasa por
implicar de forma efectiva a todos los empleados y directivos en la realización de
las tareas y responsabilidades sobre la seguridad de forma activa y
comprometida.
Para ello se deben adoptar las medidas necesarias para este objetivo
Leer más sobre Comunicación y sensibilización en el SGSI

5 UN PROCESO EFECTIVO DE GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Por mucho que queramos evitarlos los incidentes en la seguridad de la
información se producirán con mayor o menor frecuencia y es por ello que
deberemos estar preparados para ello.
Nadie está libre hoy en día de sufrir incidentes contra la seguridad de la

información. Es por ello que la gestión adecuada de los incidentes marcara la
diferencia entre un sistema de gestión bien implantado y responderá a las
necesidades del negocio
Los incidentes deben tratarse desde
 Su detección
 Su adecuada comunicación interna
 Su tratamiento
 La comunicación externa
 El análisis causal
 El establecimiento de medidas de mejora para que disminuir su impacto
cuando sea necesario
Vea También NO CONFORMIDADES
6 UN ENFOQUE EFECTIVO DE GESTIÓN DE LA CONTINUIDAD
DEL NEGOCIO
La continuidad del negocio es un factor a abordar, ya que los incidentes en la
seguridad de la información pueden causar la indisponibilidad de los servicios o
productos prestados por la organización.
Es por este motivo que la continuidad del negocio debe ser un punto importante a
tener en cuenta en una organización e integrar los requisitos de continuidad del
negocio en la seguridad de la información
Normalmente en las organizaciones puede que las actividades de la seguridad de

la información estén separadas de la continuidad del negocio o la recuperación de
desastres. Esto sucede normalmente porque que la seguridad de la información
suele tener su propio conjunto de actividades centradas en la tecnología: proteger
los perímetros de la red, evitar el robo de información y neutralizar los virus y
otros programas maliciosos y la continuidad del negocio por el contrario, se
centra más en la organización en su conjunto y en las personas, los procesos, las
instalaciones y las tecnologías que la respaldan etc.
Sin embargo, para cumplir con los requisitos de un sistema de gestión para la
seguridad de la información, las actividades para la seguridad de la información
deben integrarse dentro de un sistema de gestión de la continuidad del negocio
mejor entre sí. Cualquier brecha de seguridad que afecte a los sistemas de
información es una amenaza para la continuidad del negocio y la recuperación de
desastres . Una brecha de seguridad que compromete los datos y la información
vital de la compañía también es un evento de continuidad empresarial. Una de las
mayores preocupaciones después de los eventos de seguridad es el daño a la
reputación de la organización. Esto también es una preocupación de continuidad
del negocio. Los vínculos entre las disciplinas son esenciales y deben
considerarse dentro
Más información sobre la Gestión de la Continuidad del Negocio en ISO 27001

7 EVALUAR EL DESEMPEÑO Y UTILIZAR LA INFORMACION PARA
LA MEJORA
La efectividad del sistema de gestión pasa por tener claro el establecimiento de
un sistema de medición para evaluar el desempeño en la gestión de seguridad de
la información y con ello obtener las ideas y sugerencias de retroalimentación
para mejorar.
ISO 27000 BENEFICIOS DE LA FAMILIA DE NORMAS

27000
EL primer beneficio de implantar un SGSI es la reducción de los riesgos de

seguridad de la información o lo que es lo mismo la disminución de la
probabilidad de ser afectado por los incidentes en la de seguridad de la
información
Otros beneficios de acogerse a las normas de la Serie ISO 27001 son
 Contar con una herramienta sistemática para implantar un SGSI que

responda a las necesidades de cualquier organización o negocio
 Permite integrar de forma coherente los objetivos de la seguridad de la
información con los objetivos del negocio, los procesos, la gestión de la
organización, la capacitación y sensibilización de los empleados así la
implantación de una cultura de la seguridad de la información en una
organización
 Permite adoptar las mejores prácticas internacionalmente aceptadas para la
seguridad de la información y adaptarlas a las necesidades de cada
organización
 Establecen un lenguaje común para la seguridad de la información y que
además permite la certificación de un SGSI por entidades de organismos
acreditados
 Promueve la confianza de las partes interesadas
 Mejoras las expectativas de los resultados de la organización y ayuda a
rentabilizar las inversiones en seguridad de la información
ISO 27000 LA FAMILIA DE NORMAS

ISO / IEC 27001
ISO 27001 es el buque insignia de las normas ISO 27001 y establece los
requisitos para implementar y certificar un sistema de la seguridad de la
información
Todo sobre la norma ISO 27001

ISO / IEC 27006
Esta norma establece los requisitos para seguir un proceso de auditoría y
certificación de acuerdo a la norma ISO 27001 y afecta a los organismos y
entidades de certificación
ISO / IEC 27009

Esta norma establece los requisitos para incluir controles para la seguridad de la
información distintos de los incluidos en el anexo A (ISO 27002) de la norma
ISO 27001 y se aplica si es necesario en sectores específicos que lo requieran,
ISO / IEC 27002

Guía sobre Controles de Seguridad de la Información
Esta guía nos ofrece una serie de controles que se utilizan como como guía de
implementación para lograr los objetivos de la seguridad de la información
Todo sobre la norma ISO 27002

ISO / IEC 27003
Documento de ayuda para la implementación de ISO 27001
Se trata de una guía para la implementación de un SGSI de acuerdo con ISO /

IEC 27001.
Vea como implementar un SGSI paso a paso

ISO / IEC 27004
Gestión de la seguridad de la información - Monitoreo, medición, análisis y evaluación
Documento de ayuda para implementar un SGSI en cuanto a
 El monitoreo y la medición del desempeño de la seguridad de la

información;
 El seguimiento y la medición de la eficacia de un sistema de gestión de
seguridad de la información (SGSI), incluidos sus procesos y controles;
 El análisis y la evaluación de los resultados de monitoreo y medición.
ISO / IEC 27005

Gestión de riesgos de seguridad de la información.
Documento de ayuda para implementar la gestión de riesgos de seguridad de la

información cumpliendo con los conceptos generales especificados en ISO / IEC
27001.
ISO / IEC 27007
Auditoría de sistemas de gestión de seguridad de la información
Documento de ayuda para la realización de auditorías de SGSI donde además se

nos proporcionan consejos para la selección de auditores y el establecimiento de
programas de auditorias
ISO / IEC TR 27008

Directrices para auditores sobre controles de seguridad de la información
Documento de ayuda para la selección e implementación de los controles de

seguridad además de:
 La operación de los controles

 La verificación del cumplimiento técnico de los controles
ISO / IEC 27013

Orientación sobre la implementación integrada de ISO / IEC 27001 e ISO / IEC
20000
Documento de ayuda para la implementación integrada de ISO / IEC 27001 e

ISO / IEC 20000-1 para las organizaciones que tienen la intención de:
 Implementar ISO / IEC 27001 cuando ISO / IEC 20000-1 ya esté

implementado, o viceversa;
 Implementar conjuntamente ISO / IEC 27001 e ISO / IEC 20000-1;
 Integrar sistemas de gestión existentes basados en ISO / IEC 27001 e ISO /
IEC 20000-1.
ISO / IEC TR 27016

Economía organizacional
Documento de ayuda sobre métodos para la valoración de activos de información
identificados así como sus riesgos potenciales, valoración de controles de
protección de información para determinar el nivel óptimo de recursos a aplicar.
ISO / IEC 27021

Requisitos de competencia para profesionales de sistemas de gestión de la
Especifican de requisitos de competencia para los profesionales responsables del

SGSI o involucrados en el establecimiento, implementación, mantenimiento y
mejora continua de uno o más procesos del sistema de gestión de seguridad de la
información según la norma ISO / IEC 27001
¿A quién le interesa la norma ISO 27021?
 A quienes deseen demostrar su competencia como profesionales del

sistema de gestión de la seguridad de la información (SGSI), o que deseen
comprender y cumplir la competencia requerida para trabajar en esta área,
y que deseen ampliar sus conocimientos,
 Organizaciones que buscan posibles candidatos profesionales del SGSI
para definir la competencia requerida para los puestos en roles
relacionados con el SGSI,
 Organismos para desarrollar la certificación para profesionales del SGSI
que necesitan un cuerpo de conocimiento (BOK) para las fuentes de
examen, y
 Organizaciones de capacitación, como universidades e instituciones
vocacionales, para alinear sus programas de estudio y cursos con los
requisitos de competencia para los profesionales de SGSI.
ISO / IEC 27010

Gestión de la seguridad de la información para comunicaciones intersectoriales e
interorganizacionales
Documento de ayuda para implementar la gestión de la seguridad de la

información en las comunidades que comparten información.
En este documento se proporcionan controles e instrucciones para su
implementación específicamente relacionados la seguridad de la información en
las comunicaciones entre organizaciones y entre sectores.
ISO / IEC 27011

Controles de seguridad de la información basados en ISO / IEC 27002 para
organizaciones de telecomunicaciones
Documento de ayuda con pautas que respaldan la implementación de los

controles de seguridad de la información en las organizaciones de
telecomunicaciones.
Ayuda para las empresas de telecomunicaciones para cumplir con los requisitos
básicos de administración de seguridad de la información de confidencialidad,
integridad, disponibilidad y cualquier otra propiedad de seguridad relevante.
ISO / IEC 27017

Pautas para implementar controles de seguridad de la información basados en
ISO / IEC 27002 para servicios en la nube
ISO 27017 contiene:
 Una guía de implementación adicional para los controles relevantes

especificados en ISO / IEC 27002
 Controles adicionales con guías de implementación que se relacionan
específicamente con los servicios en la nube.
ISO / IEC 27018

Pautas para la protección de información de identificación personal (PII) en
nubes públicas que actúan como procesadores de PII
ISO / IEC 27018 establece objetivos de control, controles y pautas comúnmente

aceptados para implementar medidas para proteger la información de
identificación personal (PII) de acuerdo con los principios de privacidad de ISO /
IEC 29100 para el entorno de computación en la nube pública.
ISO / IEC 27019

Controles de seguridad de la información para la industria de servicios públicos
de energía
Pautas basadas en ISO / IEC 27002 aplicada a los sistemas de control de procesos
utilizados por la industria de la energía para controlar y monitorear la producción
o generación, transmisión, almacenamiento y distribución de energía eléctrica,
gas, petróleo y calor, y Para el control de los procesos de soporte asociados.
ISO 27019 INCLUYE:
 control centralizado y distribuido de procesos, tecnología de control y

automatización, así como sistemas de información utilizados para su
funcionamiento, como dispositivos de programación y parametrización;
 controladores digitales y componentes de automatización, como
dispositivos de control y de campo o controladores lógicos programables
(PLC), incluidos sensores digitales y elementos de actuador;
 todos los sistemas de información de soporte adicionales utilizados en el
dominio de control de procesos, p. Ej. para tareas complementarias de
visualización de datos y para fines de control, monitoreo, archivo de datos,
registro de historiadores, informes y documentación;
 tecnología de comunicación utilizada en el dominio de control de proceso,
p. Ej. redes, telemetría, aplicaciones de telecontrol y tecnología de control
remoto;
 componentes de infraestructura de medición avanzada (AMI), por
ejemplo, contadores inteligentes;
 dispositivos de medición, por ejemplo, para valores de emisión;
 protección digital y sistemas de seguridad, por ejemplo, relés de
protección, PLC de seguridad, mecanismos de control de emergencia;
 sistemas de gestión de energía, por ej. de recursos energéticos distribuidos
(DER), infraestructuras de carga eléctrica, en hogares privados, edificios
residenciales o instalaciones industriales de clientes;
 componentes distribuidos de entornos de redes inteligentes, por ejemplo,
en redes de energía, en hogares privados, edificios residenciales o
instalaciones industriales de clientes;
 todo el software, el firmware y las aplicaciones instaladas en los sistemas
mencionados anteriormente, por ejemplo, Aplicaciones DMS (sistema de
gestión de distribución) u OMS (sistema de gestión de interrupciones);
 cualquier local que contenga los equipos y sistemas mencionados
anteriormente;
 Sistemas de mantenimiento remoto para los sistemas mencionados.
ISO 27019 no es aplicable al sector de la energía nuclear. Este sector está

cubierto por la norma IEC 62645

ISO 27000 Norma

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO 27000 Norma

Cargado por

Copyright:

Formatos disponibles

Tal como hace referencia el título de este capítulo de la norma, en él se citan las

referencias normativas en las que está basada la norma ISO 27001.

En este documento se proporcionan:

- Los términos y definiciones de uso común en la familia de normas

ISO 27000 EXPLICADA PUNTO POR PUNTO

ISO 27000 Glosario de términos y definiciones

El control de acceso es una forma de limitar el acceso a un sistema o a recursos

En los sistemas de control de acceso, los usuarios deben presentar las

CONTROL DE ACCESO en ISO 27002

Las auditorias pueden ser internas o externas

En cuanto a las auditorías Internas pueden ser realizadas por la misma

Los conceptos de "Evidencia de auditoría" y "criterios de auditoría" se definen en

Cada organización debe realizar auditorías de seguridad de forma periódica para

En primer lugar se define el alcance de la auditoría detallando los activos de la

Finalmente deberemos evaluar la eficacia de las medidas de control establecidas

Leer más sobre:

Consideraciones sobre la auditoría de sistemas de información

El alcance de una auditoria generalmente incluye una descripción de las áreas

Consideraciones sobre la auditoría de sistemas de información

La autenticación comienza cuando un usuario intenta acceder a la información.

Una mejor forma de autenticación, la biométrica, depende de la presencia del

El método de autenticación de la infraestructura de clave pública (PKI) utiliza

La disponibilidad, en el contexto de los sistemas de información se refiere a la

La disponibilidad es uno de los tres pilares de la Seguridad de la Información

Cuando un sistema no funciona regularmente, la disponibilidad de la información

3.8 MEDIDA BASE

Una medida base es funcionalmente independiente de otras medidas .

Como parte de una evaluación, a menudo es importante desarrollar o utilizar

El uso de un indicador o medida existente puede tener la ventaja de producir

Se ha realizado un trabajo considerable para desarrollar medidas e indicadores

Los términos "medida", "métrica" e indicador "a menudo se usan indistintamente

Los términos que comúnmente se asocian con las mediciones incluyen:

Por otro lado, la cultura corporativa de una organización influye en el

Sin duda el nivel de madurez de la “competencia “en seguridad de la información

La confidencialidad, cuando nos referimos a sistemas de información, permite a

La confidencialidad es uno de los pilares de Seguridad de la información junto

La información o los datos confidenciales deben divulgarse únicamente a

Por ejemplo, en el ámbito de la seguridad de la información en una organización

Las mejores prácticas utilizadas para garantizar la confidencialidad son las

 Un proceso de autenticación, que garantiza que a los usuarios autorizados

Leer más sobre Conformidad en: REQUISITO 3.56

La conformidad es el “cumplimiento de un requisito”. Cumplir significa cumplir

Más información sobre NO CONFORMIDADES

Un requisito es una necesidad, expectativa u obligación. Puede ser declarado o

No conformidad menor: cualquier no conformidad que no afecte de manera

En un contexto informático, los eventos incluyen cualquier ocurrencia

Como regla general, un evento es una ocurrencia o situación relativamente menor

Según los informes de los organismos nacionales de ciberseguridad se producen

SISTEMAS DE ADMINISTRACION DE EVENTOS (¿QUE SON?)

 Tecnologías de la información (firewalls, antivirus, prevención de

Los sistemas de gestión para la seguridad de la información tienen como objetivo

Para definir los objetivos de seguridad podríamos tener en cuenta el siguiente

"La protección de los intereses de quienes dependen de la

La prioridad relativa y la importancia de la disponibilidad, la confidencialidad y

3.13 MEJORA CONTINUA

Si la mejora se define como acciones que se traducen en una mejora de los

La seguridad de la información es un problema complejo en muchos sentidos:

Una clave para una administración de seguridad efectiva es comprender el estado

La complejidad introduce intrínsecamente errores, huecos y los oculta al mismo

Por ejemplo, un firewall, implementado con el propósito específico de

La forma más efectiva de automatizar este análisis es establecer controles,

Establecer la expectativa de que la mejora es el objetivo, dará como resultado una

Los controles están referenciados casi siempre a un aspecto de la seguridad, pero

Esto de los controles de seguridad podría parecer algo extremadamente técnico