Definiciones según ISO/IEC 27001

1. Riesgo

El riesgo se refiere a la combinación de la probabilidad de un evento y sus consecuencias. En el

contexto de la seguridad de la información, se refiere a la potencial pérdida de integridad,
disponibilidad o confidencialidad de la información.

El riesgo se puede entender como una combinación de la probabilidad de que ocurra un evento
(amenaza que explota una vulnerabilidad) y la consecuencia o impacto de ese evento en la
organización o individuo. La amenaza, la vulnerabilidad y la consecuencia son componentes clave
para evaluar y comprender el riesgo.

Ejemplo complejo:

Riesgo: Interrupción prolongada de las operaciones de la cadena de suministro global debido a

eventos geopolíticos imprevistos.

Amenaza: Tensiones geopolíticas que llevan a sanciones comerciales, bloqueos o conflictos

armados en regiones clave.

Vulnerabilidad: La organización depende en gran medida de proveedores y fabricantes ubicados

en regiones geopolíticamente inestables y no tiene planes de contingencia o proveedores
alternativos establecidos.

Consecuencia: Si las tensiones geopolíticas interrumpen la cadena de suministro, la organización

podría enfrentar una paralización en la producción, lo que llevaría a la incapacidad de satisfacer la
demanda del cliente, pérdida de ingresos, aumento de costos al tratar de encontrar fuentes
alternativas en el corto plazo, daño a la reputación y posiblemente la pérdida de participación de
mercado a largo plazo.

Por lo tanto, el riesgo se describe como: "Existe el riesgo de que las tensiones geopolíticas en
regiones clave interrumpan nuestra cadena de suministro global, debido a nuestra dependencia de
proveedores en esas áreas y la falta de planes de contingencia. Esta interrupción podría paralizar
nuestra producción, resultando en pérdidas significativas de ingresos, daño a la reputación y
posibles pérdidas de participación de mercado".

2. Seguridad

La seguridad en el contexto de ISO/IEC 27001 se refiere a la preservación de la confidencialidad,

integridad y disponibilidad de la información. Adicionalmente, otras propiedades, como la
autenticidad, la responsabilidad, la no repudiación y la fiabilidad, también pueden estar
involucradas.

3. Auditoría

Una auditoría es un proceso sistemático, independiente y documentado para obtener evidencia de

auditoría y evaluarla objetivamente para determinar el grado en que se cumplen los criterios de
auditoría.

4. Amenaza

Una amenaza es un potencial causa de un incidente no deseado, que puede resultar en daño a un
sistema o a la organización.
5. Vulnerabilidad

Una vulnerabilidad es una debilidad de un activo o grupo de activos que puede ser explotada por
una o más amenazas.

"Las vulnerabilidades se generan desde el activo de información":

Verdadero en parte: Los activos de información pueden tener vulnerabilidades inherentes, ya sea
debido a fallos en el software, configuraciones incorrectas, falta de actualizaciones, entre otros. Sin
embargo, no todas las vulnerabilidades se originan exclusivamente desde el activo de información.
También pueden surgir de la infraestructura que lo soporta, la red en la que opera, o incluso los
procesos y procedimientos que lo rodean.
"Cuando se trata de personas, la vulnerabilidad se genera desde el comportamiento de las
personas":

Verdadero: Las personas son a menudo el eslabón más débil en la cadena de seguridad. A través
de tácticas como el phishing, los atacantes explotan la psicología humana para ganar acceso a
sistemas y datos. La falta de formación, la negligencia, o simplemente errores humanos pueden
introducir vulnerabilidades en un sistema de seguridad. Por eso, la formación y concienciación en
seguridad es esencial.
Dicho esto, es importante entender que las vulnerabilidades pueden surgir de múltiples fuentes y
no están limitadas únicamente a los activos de información o al comportamiento humano. La
gestión de riesgos y la seguridad de la información requieren un enfoque holístico que considere
todos los posibles vectores de amenaza.

Claro, vamos a desglosar un riesgo utilizando esos tres elementos:

Riesgo: Pérdida de datos confidenciales de clientes debido a un ataque cibernético.

Amenaza: Atacantes cibernéticos que buscan acceder a bases de datos para obtener información
confidencial.

Vulnerabilidad: El sistema de gestión de bases de datos de la empresa no ha sido actualizado en los

últimos dos años y contiene vulnerabilidades conocidas que no han sido parcheadas.

Consecuencia: Si los atacantes explotan con éxito la vulnerabilidad, podrían acceder y robar datos
confidenciales de clientes. Esto podría resultar en daños financieros para los clientes, pérdida de
confianza en la empresa, posibles sanciones legales y regulatorias para la empresa, y costos
asociados con la gestión de la brecha de seguridad y la notificación a los afectados.

Por lo tanto, el riesgo completo se describe como: "Existe el riesgo de que los atacantes
cibernéticos exploten una vulnerabilidad conocida en nuestro sistema de gestión de bases de datos
no parcheado, lo que podría resultar en la pérdida de datos confidenciales de clientes y las
consecuencias financieras, legales y de reputación asociadas".

El riesgo se puede entender como una combinación de la probabilidad de que ocurra un evento
(amenaza que explota una vulnerabilidad) y la consecuencia o impacto de ese evento en la
organización o individuo. La amenaza, la vulnerabilidad y la consecuencia son componentes clave
para evaluar y comprender el riesgo.

Ejemplo complejo:

Riesgo: Interrupción prolongada de las operaciones de la cadena de suministro global debido a

eventos geopolíticos imprevistos.
Amenaza: Tensiones geopolíticas que llevan a sanciones comerciales, bloqueos o conflictos
armados en regiones clave.

Vulnerabilidad: La organización depende en gran medida de proveedores y fabricantes ubicados en

regiones geopolíticamente inestables y no tiene planes de contingencia o proveedores alternativos
establecidos.

Consecuencia: Si las tensiones geopolíticas interrumpen la cadena de suministro, la organización

podría enfrentar una paralización en la producción, lo que llevaría a la incapacidad de satisfacer la
demanda del cliente, pérdida de ingresos, aumento de costos al tratar de encontrar fuentes
alternativas en el corto plazo, daño a la reputación y posiblemente la pérdida de participación de
mercado a largo plazo.

Por lo tanto, el riesgo se describe como: "Existe el riesgo de que las tensiones geopolíticas en
regiones clave interrumpan nuestra cadena de suministro global, debido a nuestra dependencia de
proveedores en esas áreas y la falta de planes de contingencia. Esta interrupción podría paralizar
nuestra producción, resultando en pérdidas significativas de ingresos, daño a la reputación y
posibles pérdidas de participación de mercado".

6. Información

La información es un activo que, al igual que otros activos importantes para los negocios, tiene
valor para una organización y, por lo tanto, requiere una protección adecuada.
Ciclo de vida de la información: Inicialmente se organiza para aplicar un análisis. Esa información,
se convierte en conocimiento. Luego ese conocimiento se convierte en Sabiduría.

Datos (Identificación):

Descripción: Los datos son hechos sin procesar, observaciones no organizadas o mediciones que,
por sí solas, no tienen un significado particular.

Relación con ISO 27001: En esta fase, es esencial identificar y clasificar los datos en función de su
sensibilidad y valor para la organización. La identificación adecuada garantiza que se apliquen las
medidas de seguridad adecuadas en las siguientes etapas del ciclo de vida.

Información (Análisis):

Descripción: Los datos se convierten en información cuando se les da contexto, se organizan o se

procesan de manera que tengan significado.

Relación con ISO 27001: Durante el análisis, la información se procesa y se almacena. Es crucial
garantizar la confidencialidad, integridad y disponibilidad de la información, especialmente cuando
se transmite o comparte.

Conocimiento (Conocimiento):

Descripción: El conocimiento surge cuando la información se utiliza, se experimenta o se aplica. Es

una comprensión profunda de la información y cómo se relaciona con otros datos e información.

Relación con ISO 27001: En esta fase, es esencial garantizar que solo las personas autorizadas
tengan acceso al conocimiento y que se utilice de manera adecuada y segura. También es el
momento de considerar la formación y capacitación para garantizar que el conocimiento se
distribuya y utilice adecuadamente dentro de la organización.

Sabiduría (Sabiduría):
Descripción: La sabiduría es la capacidad de tomar decisiones basadas en el conocimiento. Es el
nivel más alto en la jerarquía DIKW y se refiere a la aplicación del conocimiento en contextos
prácticos y decisiones informadas.

Relación con ISO 27001: La sabiduría implica tomar decisiones sobre la gestión de la seguridad de
la información basadas en el conocimiento acumulado. Esto puede incluir decisiones sobre políticas,
procedimientos, inversiones en tecnología y respuestas a incidentes de seguridad.

7. Continuidad del Negocio

La continuidad del negocio es un conjunto de procesos y técnicas utilizadas para asegurar que una
organización pueda continuar operando y recuperarse rápidamente después de un desastre o
interrupción. Se centra en proteger los recursos, activos y funciones esenciales de la organización,
y en garantizar que pueda mantener sus operaciones y servicios esenciales en tiempos de crisis.

2. Importancia de la Continuidad del Negocio

Reputación y Confianza: Las interrupciones pueden dañar la reputación de una empresa y la

confianza de sus clientes. Una estrategia de continuidad del negocio ayuda a minimizar este
impacto.

Reducción de Pérdidas Financieras: Una respuesta rápida y efectiva a las interrupciones puede
reducir significativamente las pérdidas financieras.

Cumplimiento Normativo: Algunos sectores, como el financiero o el sanitario, tienen regulaciones

que requieren planes de continuidad del negocio.

3. Fases de la Continuidad del Negocio

Análisis de Impacto en el Negocio (BIA): Identifica las funciones críticas del negocio y determina el
impacto de no realizar esas funciones durante diferentes periodos de tiempo.

Estrategias de Recuperación: Selecciona y implementa estrategias para recuperar las funciones

críticas identificadas en el BIA.

Desarrollo del Plan: Crea un plan documentado que detalle las acciones a seguir antes, durante y
después de una interrupción.

Pruebas y Ejercicios: Evalúa regularmente el plan para asegurarse de que es efectivo y actual.

Revisión y Mantenimiento: Actualiza el plan según los cambios en el negocio, la tecnología o el

entorno.

4. Desafíos en la Continuidad del Negocio

Cambio Tecnológico: La rápida evolución de la tecnología puede hacer que los planes queden
obsoletos rápidamente.

Cultura Organizacional: La resistencia al cambio y la falta de conciencia sobre la importancia de la

continuidad del negocio pueden ser obstáculos.

Recursos Limitados: Las organizaciones pueden no tener los recursos necesarios para desarrollar,
implementar y mantener un plan de continuidad del negocio. 1

1
Fuentes Consultadas

ISO 22301:2019 - Seguridad y resiliencia - Sistemas de gestió n de la continuidad del negocio - Requisitos.
1. Riesgos de Continuidad por Desastres Organizacionales:

Desastres Naturales: Incluyen terremotos, inundaciones, huracanes, tornados, incendios forestales

y otros eventos naturales que pueden interrumpir las operaciones de una organización.

Desastres Humanos: Estos pueden ser actos intencionados, como terrorismo, sabotaje o disturbios
civiles, o no intencionados, como accidentes industriales o errores humanos que resulten en
interrupciones significativas.

Pandemias y Brotes de Enfermedades: Eventos como la pandemia de COVID-19 han demostrado

cómo una crisis sanitaria puede afectar gravemente las operaciones de las organizaciones a nivel
mundial.

Problemas de Infraestructura: Fallas en servicios esenciales como electricidad, agua o transporte

pueden paralizar las operaciones.

Problemas Legales o Regulatorios: Cambios inesperados en la legislación o regulaciones, o litigios

imprevistos, pueden interrumpir las operaciones o incluso cerrar una organización.

2. Riesgos de Continuidad por Desastres Tecnológicos:

Fallos de Hardware: Esto incluye fallos en servidores, sistemas de almacenamiento, dispositivos de

red, y otros equipos esenciales.

Fallos de Software: Bugs, incompatibilidades o fallos en sistemas operativos, aplicaciones

empresariales o bases de datos pueden causar interrupciones significativas.

Ciberataques: Los ataques como ransomware, DDoS, y otros tipos de intrusiones maliciosas pueden
paralizar sistemas, robar datos, y causar interrupciones prolongadas.

Pérdida de Datos: Esto puede ser el resultado de fallos de hardware, errores humanos,
ciberataques o desastres naturales.

Interrupciones de Red: Las interrupciones en la conectividad, ya sea debido a fallos en los equipos,
problemas con los proveedores de servicios o ataques de denegación de servicio, pueden
interrumpir las operaciones.

Fallos en Sistemas de Respaldo o Recuperación: Aunque están diseñados para garantizar la

continuidad, estos sistemas también pueden fallar o no funcionar como se esperaba en una crisis.

BIA (Business Impact Analysis)

El Análisis de Impacto en el Negocio (BIA, por sus siglas en inglés) es un proceso esencial dentro
de la planificación de la continuidad del negocio y la recuperación de desastres. Su objetivo
principal es identificar y evaluar los efectos potenciales de una interrupción en las operaciones y
procesos comerciales durante un período de tiempo específico. A través del BIA, una organización
puede determinar las funciones críticas del negocio, los recursos necesarios para mantener esas
funciones y el impacto financiero y operativo de una interrupción.

RTO (Recovery Time Objective)

El Objetivo de Tiempo de Recuperación (RTO, por sus siglas en inglés) es el tiempo máximo
tolerable que una organización puede permitir que un sistema, aplicación o función específica esté
inactivo después de un incidente o desastre. Esencialmente, es el tiempo que le toma a una
organización recuperar una función o sistema después de una interrupción para evitar
consecuencias inaceptables. El RTO es un indicador clave en la planificación de la continuidad del
negocio y la recuperación de desastres.
RPO (Recovery Point Objective)

El Objetivo de Punto de Recuperación (RPO, por sus siglas en inglés) se refiere al punto más
antiguo en el tiempo en el que una organización puede tolerar la pérdida de datos en caso de un
incidente o desastre. En otras palabras, es la cantidad máxima de datos que una organización está
dispuesta a perder, medida en tiempo. Por ejemplo, si una organización tiene un RPO de 4 horas,
significa que puede tolerar la pérdida de datos de las últimas 4 horas. El RPO es esencial para
determinar la frecuencia de las copias de seguridad de datos.

Ejemplo práctico:

Supongamos que una empresa tiene un sistema de comercio electrónico. Después de realizar un
BIA, determina que no puede permitirse que el sistema esté inactivo más de 2 horas, por lo que
establece un RTO de 2 horas. Además, decide que no puede permitirse perder más de 30 minutos
de transacciones, por lo que establece un RPO de 30 minutos. Esto significa que la empresa debe
tener copias de seguridad de datos al menos cada 30 minutos y debe ser capaz de restaurar el
sistema en un máximo de 2 horas después de cualquier interrupción.

BCP (Business Continuity Planning)

Definición:

El Plan de Continuidad del Negocio (BCP, por sus siglas en inglés) es un conjunto de protocolos y
procedimientos que una organización implementa para garantizar que las funciones esenciales del
negocio puedan continuar durante y después de un desastre o interrupción. El BCP se centra en
proteger los recursos, activos y funciones del negocio que son vitales para la organización.

Objetivo:

El objetivo principal del BCP es identificar y mitigar los riesgos asociados con interrupciones
inesperadas, garantizando que la organización pueda mantener o reanudar rápidamente sus
operaciones en caso de un incidente.

Componentes clave:

Análisis de Impacto en el Negocio (BIA)

Estrategias de recuperación

Planes de comunicación

Capacitación y pruebas

DRP (Disaster Recovery Planning)

Definición:

El Plan de Recuperación de Desastres (DRP, por sus siglas en inglés) es un subconjunto del BCP y
se centra específicamente en la recuperación de sistemas de TI, aplicaciones y datos después de un
desastre. Mientras que el BCP aborda la continuidad de todo el negocio, el DRP se centra en la
tecnología y cómo recuperarla.

Objetivo:

El objetivo principal del DRP es restaurar la infraestructura tecnológica y los sistemas a un estado
operativo en el menor tiempo posible después de una interrupción.

Componentes clave:
Objetivo de Tiempo de Recuperación (RTO)

Objetivo de Punto de Recuperación (RPO)

Estrategias de recuperación de datos y sistemas

Procedimientos de respaldo y restauración

Capacitación y pruebas

Relación entre BCP y DRP:

Aunque BCP y DRP se utilizan a menudo de manera intercambiable, es importante entender que
son distintos pero complementarios. El BCP se ocupa de la continuidad del negocio en su totalidad,
incluyendo aspectos como recursos humanos, instalaciones y comunicaciones. Por otro lado, el DRP
se centra específicamente en la recuperación de sistemas de TI y datos. En la mayoría de las
organizaciones, el DRP forma parte integral del BCP, asegurando que tanto las operaciones del
negocio como la infraestructura tecnológica estén protegidas y puedan recuperarse rápidamente en
caso de interrupción o desastre.

BCP (Business Continuity Planning):

Definición:

El BCP se refiere a los procesos y procedimientos que una organización pone en marcha para
garantizar que las funciones esenciales del negocio puedan continuar durante y después de un
desastre o interrupción.

Componentes clave:

Infraestructura física: Esto incluye edificios, oficinas, centros de datos, y otros activos físicos que
son esenciales para las operaciones del negocio.

Tecnología: Aunque el BCP no se centra exclusivamente en la tecnología, sí considera sistemas y

aplicaciones que son esenciales para las operaciones del negocio.

Personas: El recurso más valioso de cualquier organización. El BCP debe considerar cómo se
manejarán las necesidades y responsabilidades de los empleados durante y después de un
desastre.

DRP (Disaster Recovery Planning):

Definición:

El DRP es un subconjunto del BCP y se centra específicamente en la recuperación de sistemas de

TI, aplicaciones y datos después de un desastre.

Componentes clave:

Tecnología: El DRP se centra en la infraestructura tecnológica, incluyendo servidores, redes,

aplicaciones, bases de datos y otros componentes críticos de TI.

Objetivo de Tiempo de Recuperación (RTO): El tiempo máximo tolerable que un sistema puede
estar fuera de línea.

Objetivo de Punto de Recuperación (RPO): La cantidad máxima de datos que se pueden perder,
medido en tiempo.

Diferencias clave entre BCP y DRP:

Enfoque: Mientras que el BCP tiene un enfoque más amplio y considera todos los aspectos del
negocio (personas, procesos y tecnología), el DRP se centra específicamente en la tecnología y
cómo recuperarla después de un desastre.

Alcance: El BCP aborda cómo mantener en funcionamiento todas las operaciones críticas del
negocio durante una interrupción, mientras que el DRP se centra en cómo restaurar rápidamente
los sistemas y aplicaciones de TI después de un desastre.

Objetivo: El objetivo del BCP es garantizar la continuidad del negocio, mientras que el objetivo del
DRP es garantizar la recuperación rápida y efectiva de los sistemas y datos críticos.

8. Capacidad

La capacidad es la habilidad de un proceso, función o sistema para alcanzar sus objetivos, ya sea
en el presente o en el futuro.

Análisis de Capacidad

1. Informes de Capacidad

Los informes de capacidad ofrecen una visión detallada de cómo se están utilizando los recursos en
una organización. Estos informes pueden abordar la capacidad desde varios ángulos, incluyendo la
capacidad total, instalada, proyectada, consumida, disponible y utilizada.

2. Capacidad Total vs. Capacidad Instalada

Capacidad Total: Es la máxima producción o servicio que una organización podría lograr en
condiciones ideales. Considera todos los recursos disponibles, incluyendo máquinas, personal y
materiales.

Capacidad Instalada: Es la capacidad de producción o servicio que una organización ha establecido

actualmente, considerando las limitaciones actuales de recursos, tecnología y diseño de procesos.

3. Capacidad Proyectada y Análisis de Tendencias

Capacidad Proyectada: Es una estimación de la capacidad futura basada en datos históricos,

tendencias actuales y proyecciones de crecimiento. Esta proyección ayuda a las organizaciones a
planificar inversiones y cambios operativos.

Análisis de Tendencias: Es el estudio de los cambios en la capacidad a lo largo del tiempo,

identificando patrones que pueden indicar problemas futuros o áreas de oportunidad.

4. Capacidad Consumida, Disponible y Utilizada

Capacidad Consumida: Es la parte de la capacidad que está siendo utilizada actualmente por las
operaciones.

Capacidad Disponible: Es la diferencia entre la capacidad total y la capacidad consumida.

Representa la capacidad que aún puede ser utilizada.

Capacidad Utilizada: Es la proporción de la capacidad total que está siendo efectivamente utilizada
en la producción o prestación de servicios.

5. Crecimiento del Servicio

El crecimiento del servicio se refiere al aumento en la demanda o uso de un servicio específico a lo

largo del tiempo. Es esencial monitorear este crecimiento para asegurar que la capacidad disponible
pueda satisfacer la demanda futura.
6. Proyectar Capacidad

Proyectar la capacidad implica prever las necesidades futuras basándose en datos históricos,
análisis de tendencias y proyecciones de crecimiento. Esta proyección permite a las organizaciones
anticiparse a las necesidades futuras y hacer las inversiones necesarias a tiempo.

7. Buenas Prácticas en Gestión de Capacidad

Monitoreo Continuo: Es esencial tener herramientas y procesos para monitorear la capacidad en

tiempo real y generar alertas cuando se alcancen ciertos umbrales.

Revisión Periódica: Las organizaciones deben revisar regularmente sus informes de capacidad para
identificar áreas de mejora y planificar adecuadamente.

Maximizar la Capacidad de un Servidor: Para obtener el máximo rendimiento de un servidor, es

crucial optimizar la configuración, mantener el software actualizado y monitorizar regularmente su
rendimiento. También es beneficioso considerar la virtualización para maximizar la utilización de
recursos.

Planificación Proactiva: En lugar de reaccionar a los problemas de capacidad cuando surgen, las
organizaciones deben adoptar un enfoque proactivo, anticipando las necesidades futuras y
planificando con anticipación.

En resumen, la gestión efectiva de la capacidad es esencial para garantizar que las organizaciones
puedan satisfacer la demanda actual y futura, optimizando la utilización de recursos y evitando
interrupciones o degradaciones en el servicio.

Gestión de la Capacidad: Recomendaciones y Umbrales

La gestión de la capacidad es esencial para garantizar que los recursos de TI estén adecuadamente
dimensionados y optimizados para satisfacer las demandas actuales y futuras de la organización. A
continuación, se detallan aspectos clave relacionados con las recomendaciones del fabricante,
umbrales máximos y la capacidad de reacción de una organización:

Recomendaciones del Fabricante:

Hardware: Los fabricantes de hardware, como servidores, dispositivos de almacenamiento y redes,

generalmente proporcionan especificaciones técnicas que indican la capacidad máxima soportada.
Estas especificaciones deben ser consideradas al planificar la capacidad.

Software: Los fabricantes de software suelen proporcionar requisitos mínimos y recomendados para
su correcto funcionamiento. Estos requisitos pueden incluir espacio en disco, memoria RAM,
capacidad de CPU, entre otros.

Máximo Umbral para Reaccionar:

Umbrales de Alerta: Es esencial establecer umbrales de alerta para monitorizar la utilización de

recursos. Por ejemplo, si la utilización de la CPU de un servidor supera el 80%, se podría generar
una alerta.

Umbrales Críticos: Estos umbrales indican niveles de utilización que, si se superan, pueden causar
degradación del servicio o fallos. Por ejemplo, si el espacio en disco de un servidor supera el 95%,
es un indicativo de que se necesita tomar medidas inmediatas.

Capacidad de Reacción de la Organización:

Económica: La organización debe tener un presupuesto asignado para la expansión y mejora de
recursos de TI. Esto incluye la adquisición de hardware adicional, licencias de software o servicios
de cloud.

Tecnológica: La infraestructura tecnológica debe ser escalable. Es decir, debe ser capaz de
adaptarse a las crecientes demandas sin requerir cambios significativos o interrupciones del
servicio.

Infraestructura: Las instalaciones físicas, como los centros de datos, deben tener espacio, energía y
refrigeración adecuados para soportar expansiones futuras.

Recomendaciones Generales:

Monitoreo Continuo: Utilice herramientas de monitoreo para rastrear la utilización de recursos en

tiempo real y generar informes históricos.

Pruebas de Estrés: Realice pruebas regulares para determinar cómo se comportan los sistemas bajo
cargas extremas.

Revisión de Recomendaciones: Manténgase actualizado con las recomendaciones y especificaciones

del fabricante. Estas pueden cambiar con nuevas versiones de hardware o software.

Planificación Proactiva: No espere a que los recursos estén al límite para tomar medidas. Planifique
con anticipación y considere las proyecciones de crecimiento de la organización.

La gestión de la capacidad es un tema amplio y, aunque hemos cubierto varios aspectos clave, hay
otros temas y subtemas que podrían ser relevantes dependiendo del contexto y las necesidades
específicas de una organización. Algunos de estos temas adicionales incluyen:

Modelado de la Capacidad: Utilizar modelos matemáticos y simulaciones para predecir cómo se

comportarán los sistemas bajo diferentes cargas y escenarios.

Benchmarking: Comparar el rendimiento y la capacidad de los sistemas de la organización con

estándares de la industria o con sistemas similares en otras organizaciones.

Optimización de la Capacidad: Buscar formas de mejorar el rendimiento sin necesariamente añadir

más recursos. Esto puede incluir la reconfiguración, la consolidación de sistemas o la
implementación de tecnologías más eficientes.

Gestión de la Demanda: Alinear la capacidad de TI con las necesidades del negocio, lo que puede
incluir técnicas para desplazar o limitar la demanda durante los picos de carga.

Planificación de la Capacidad a Largo Plazo: Mirar más allá del horizonte inmediato y planificar
cómo las necesidades de capacidad evolucionarán en los próximos años.

Capacidad de la Nube: Consideraciones específicas para la gestión de la capacidad en entornos de

nube, incluyendo la escalabilidad automática y la optimización de costos.

Gestión de la Capacidad para Aplicaciones Específicas: Algunas aplicaciones, como las bases de
datos o las aplicaciones de streaming, pueden tener consideraciones de capacidad únicas.

Herramientas y Software de Gestión de la Capacidad: Una revisión de las herramientas disponibles

en el mercado para ayudar en la gestión de la capacidad.

Formación y Certificación: La importancia de tener personal capacitado en gestión de la capacidad y

las certificaciones relevantes en el campo.
Riesgos Asociados con la Sobre o Subcapacidad: Las implicaciones de tener demasiada o
insuficiente capacidad, y cómo gestionar estos riesgos.

Costo de la Capacidad: Entender cómo los costos varían con diferentes niveles de capacidad y
cómo optimizar el retorno de la inversión.

9. No Conformidad

Una no conformidad es el incumplimiento de un requisito, o de un principio, incumplimiento legal,

contractual, a los controles.

Definición de No Conformidad:

Una no conformidad es una situación en la que un producto, proceso, servicio o sistema no cumple
con un requisito especificado o con criterios previamente definidos. Las no conformidades pueden
surgir de una variedad de fuentes, incluyendo auditorías internas, revisiones de procesos, quejas de
clientes, o a través de observaciones rutinarias.

Tipos de No Conformidades:

No Conformidad Mayor: Una desviación significativa de un requisito que indica un fallo en un

sistema o proceso, o que puede resultar en el fallo de un producto o servicio.

No Conformidad Menor: Una desviación menor que no tiene un impacto significativo en la eficacia
del sistema o proceso, pero que aún necesita ser abordada para asegurar la conformidad total.

Ejemplos de No Conformidades:

Un producto entregado a un cliente que no cumple con las especificaciones acordadas.

Un proceso documentado que no se sigue según lo establecido.

Falta de registros o documentación requerida.

Equipos de medición no calibrados utilizados en la producción.

Manejo de No Conformidades:

Cuando se identifica una no conformidad, es esencial llevar a cabo las siguientes acciones:

Registro: Documentar la no conformidad, incluyendo detalles sobre su naturaleza, origen y

cualquier otro detalle relevante.

Contención: Tomar medidas inmediatas para contener o limitar el impacto de la no conformidad.

Análisis de Causa Raíz: Investigar y determinar la causa subyacente de la no conformidad.

Acción Correctiva: Implementar acciones para eliminar la causa raíz y prevenir la recurrencia de la
no conformidad.

Verificación: Asegurarse de que las acciones correctivas implementadas sean efectivas y de que la
no conformidad no se repita.

Revisión: Evaluar regularmente el sistema o proceso para asegurarse de que las no conformidades
se gestionan adecuadamente y de que se implementan mejoras continuas.

La identificación y gestión adecuada de las no conformidades es esencial para mantener la

integridad y eficacia de cualquier sistema de gestión y para asegurar la satisfacción del cliente.
Hallazgos

 No conformidades

 Conformidades

 Oportunidades de mejora

 Fortalezas

 Riesgos a los que está expuesto y Oportunidades

 Aspecto a proyectar

 Aspectos relevantes

10. CMDB (Configuration Management Database)

La CMDB es una base de datos que contiene información sobre todos los componentes de
tecnología de la información (TI) y detalles de las relaciones entre esos componentes. En el
contexto de ISO/IEC 27001, es esencial para mantener un registro de los activos de información y
su configuración.

ITIL – GESTION DE LA CONFIGURACION

ISO 27701:2019

https://todopdp.com/wp-content/uploads/2020/05/TodoPDP_27701.pdf

NOTAS

El riesgo en seguridad de la información puede manifestarse en cualquier etapa del ciclo de vida de
la información, desde su creación hasta su destrucción. Sin embargo, hay consenso en la
comunidad de seguridad de la información sobre ciertas áreas que presentan mayores riesgos:

Factor Humano: A menudo, el eslabón más débil en la seguridad de la información es el ser

humano. Los errores humanos, ya sean accidentales o intencionados, pueden llevar a brechas de
seguridad. Esto incluye acciones como hacer clic en enlaces maliciosos, no seguir protocolos de
seguridad, compartir contraseñas, etc.

Dispositivos Móviles y Remotos: Con el aumento del trabajo remoto y el uso de dispositivos
móviles, la superficie de ataque ha crecido. Estos dispositivos, si no están adecuadamente
protegidos, pueden ser una puerta de entrada para amenazas.

Aplicaciones y Software: Las vulnerabilidades en el software pueden ser explotadas por actores
maliciosos. Es esencial mantener el software y las aplicaciones actualizadas para protegerse contra
estas amenazas.

Redes y Conexiones: Las redes, especialmente si no están adecuadamente protegidas, pueden ser
vulnerables a ataques como el sniffing, man-in-the-middle, entre otros.

Proveedores y Terceros: Las organizaciones a menudo trabajan con terceros, y si estos no

mantienen estándares de seguridad adecuados, pueden presentar un riesgo para la organización.

Infraestructura Cloud: A medida que más organizaciones migran a la nube, es esencial garantizar
que los proveedores de servicios en la nube mantengan estándares de seguridad robustos.
Estudios académicos y reportes de la industria han destacado consistentemente estos puntos como
áreas de alto riesgo. Por ejemplo, el Informe Anual de Brechas de Datos de Verizon ha señalado
repetidamente el factor humano y los errores como una de las principales causas de brechas de
seguridad.