Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DefinicionesISO27001 20231021 010216
DefinicionesISO27001 20231021 010216
1. Riesgo
El riesgo se puede entender como una combinación de la probabilidad de que ocurra un evento
(amenaza que explota una vulnerabilidad) y la consecuencia o impacto de ese evento en la
organización o individuo. La amenaza, la vulnerabilidad y la consecuencia son componentes clave
para evaluar y comprender el riesgo.
Ejemplo complejo:
Por lo tanto, el riesgo se describe como: "Existe el riesgo de que las tensiones geopolíticas en
regiones clave interrumpan nuestra cadena de suministro global, debido a nuestra dependencia de
proveedores en esas áreas y la falta de planes de contingencia. Esta interrupción podría paralizar
nuestra producción, resultando en pérdidas significativas de ingresos, daño a la reputación y
posibles pérdidas de participación de mercado".
2. Seguridad
3. Auditoría
4. Amenaza
Una amenaza es un potencial causa de un incidente no deseado, que puede resultar en daño a un
sistema o a la organización.
5. Vulnerabilidad
Una vulnerabilidad es una debilidad de un activo o grupo de activos que puede ser explotada por
una o más amenazas.
Verdadero en parte: Los activos de información pueden tener vulnerabilidades inherentes, ya sea
debido a fallos en el software, configuraciones incorrectas, falta de actualizaciones, entre otros. Sin
embargo, no todas las vulnerabilidades se originan exclusivamente desde el activo de información.
También pueden surgir de la infraestructura que lo soporta, la red en la que opera, o incluso los
procesos y procedimientos que lo rodean.
"Cuando se trata de personas, la vulnerabilidad se genera desde el comportamiento de las
personas":
Verdadero: Las personas son a menudo el eslabón más débil en la cadena de seguridad. A través
de tácticas como el phishing, los atacantes explotan la psicología humana para ganar acceso a
sistemas y datos. La falta de formación, la negligencia, o simplemente errores humanos pueden
introducir vulnerabilidades en un sistema de seguridad. Por eso, la formación y concienciación en
seguridad es esencial.
Dicho esto, es importante entender que las vulnerabilidades pueden surgir de múltiples fuentes y
no están limitadas únicamente a los activos de información o al comportamiento humano. La
gestión de riesgos y la seguridad de la información requieren un enfoque holístico que considere
todos los posibles vectores de amenaza.
Amenaza: Atacantes cibernéticos que buscan acceder a bases de datos para obtener información
confidencial.
Consecuencia: Si los atacantes explotan con éxito la vulnerabilidad, podrían acceder y robar datos
confidenciales de clientes. Esto podría resultar en daños financieros para los clientes, pérdida de
confianza en la empresa, posibles sanciones legales y regulatorias para la empresa, y costos
asociados con la gestión de la brecha de seguridad y la notificación a los afectados.
Por lo tanto, el riesgo completo se describe como: "Existe el riesgo de que los atacantes
cibernéticos exploten una vulnerabilidad conocida en nuestro sistema de gestión de bases de datos
no parcheado, lo que podría resultar en la pérdida de datos confidenciales de clientes y las
consecuencias financieras, legales y de reputación asociadas".
El riesgo se puede entender como una combinación de la probabilidad de que ocurra un evento
(amenaza que explota una vulnerabilidad) y la consecuencia o impacto de ese evento en la
organización o individuo. La amenaza, la vulnerabilidad y la consecuencia son componentes clave
para evaluar y comprender el riesgo.
Ejemplo complejo:
Por lo tanto, el riesgo se describe como: "Existe el riesgo de que las tensiones geopolíticas en
regiones clave interrumpan nuestra cadena de suministro global, debido a nuestra dependencia de
proveedores en esas áreas y la falta de planes de contingencia. Esta interrupción podría paralizar
nuestra producción, resultando en pérdidas significativas de ingresos, daño a la reputación y
posibles pérdidas de participación de mercado".
6. Información
La información es un activo que, al igual que otros activos importantes para los negocios, tiene
valor para una organización y, por lo tanto, requiere una protección adecuada.
Ciclo de vida de la información: Inicialmente se organiza para aplicar un análisis. Esa información,
se convierte en conocimiento. Luego ese conocimiento se convierte en Sabiduría.
Datos (Identificación):
Descripción: Los datos son hechos sin procesar, observaciones no organizadas o mediciones que,
por sí solas, no tienen un significado particular.
Relación con ISO 27001: En esta fase, es esencial identificar y clasificar los datos en función de su
sensibilidad y valor para la organización. La identificación adecuada garantiza que se apliquen las
medidas de seguridad adecuadas en las siguientes etapas del ciclo de vida.
Información (Análisis):
Relación con ISO 27001: Durante el análisis, la información se procesa y se almacena. Es crucial
garantizar la confidencialidad, integridad y disponibilidad de la información, especialmente cuando
se transmite o comparte.
Conocimiento (Conocimiento):
Relación con ISO 27001: En esta fase, es esencial garantizar que solo las personas autorizadas
tengan acceso al conocimiento y que se utilice de manera adecuada y segura. También es el
momento de considerar la formación y capacitación para garantizar que el conocimiento se
distribuya y utilice adecuadamente dentro de la organización.
Sabiduría (Sabiduría):
Descripción: La sabiduría es la capacidad de tomar decisiones basadas en el conocimiento. Es el
nivel más alto en la jerarquía DIKW y se refiere a la aplicación del conocimiento en contextos
prácticos y decisiones informadas.
Relación con ISO 27001: La sabiduría implica tomar decisiones sobre la gestión de la seguridad de
la información basadas en el conocimiento acumulado. Esto puede incluir decisiones sobre políticas,
procedimientos, inversiones en tecnología y respuestas a incidentes de seguridad.
La continuidad del negocio es un conjunto de procesos y técnicas utilizadas para asegurar que una
organización pueda continuar operando y recuperarse rápidamente después de un desastre o
interrupción. Se centra en proteger los recursos, activos y funciones esenciales de la organización,
y en garantizar que pueda mantener sus operaciones y servicios esenciales en tiempos de crisis.
Reducción de Pérdidas Financieras: Una respuesta rápida y efectiva a las interrupciones puede
reducir significativamente las pérdidas financieras.
Análisis de Impacto en el Negocio (BIA): Identifica las funciones críticas del negocio y determina el
impacto de no realizar esas funciones durante diferentes periodos de tiempo.
Desarrollo del Plan: Crea un plan documentado que detalle las acciones a seguir antes, durante y
después de una interrupción.
Pruebas y Ejercicios: Evalúa regularmente el plan para asegurarse de que es efectivo y actual.
Cambio Tecnológico: La rápida evolución de la tecnología puede hacer que los planes queden
obsoletos rápidamente.
Recursos Limitados: Las organizaciones pueden no tener los recursos necesarios para desarrollar,
implementar y mantener un plan de continuidad del negocio. 1
1
Fuentes Consultadas
ISO 22301:2019 - Seguridad y resiliencia - Sistemas de gestió n de la continuidad del negocio - Requisitos.
1. Riesgos de Continuidad por Desastres Organizacionales:
Desastres Humanos: Estos pueden ser actos intencionados, como terrorismo, sabotaje o disturbios
civiles, o no intencionados, como accidentes industriales o errores humanos que resulten en
interrupciones significativas.
Ciberataques: Los ataques como ransomware, DDoS, y otros tipos de intrusiones maliciosas pueden
paralizar sistemas, robar datos, y causar interrupciones prolongadas.
Pérdida de Datos: Esto puede ser el resultado de fallos de hardware, errores humanos,
ciberataques o desastres naturales.
Interrupciones de Red: Las interrupciones en la conectividad, ya sea debido a fallos en los equipos,
problemas con los proveedores de servicios o ataques de denegación de servicio, pueden
interrumpir las operaciones.
El Análisis de Impacto en el Negocio (BIA, por sus siglas en inglés) es un proceso esencial dentro
de la planificación de la continuidad del negocio y la recuperación de desastres. Su objetivo
principal es identificar y evaluar los efectos potenciales de una interrupción en las operaciones y
procesos comerciales durante un período de tiempo específico. A través del BIA, una organización
puede determinar las funciones críticas del negocio, los recursos necesarios para mantener esas
funciones y el impacto financiero y operativo de una interrupción.
El Objetivo de Tiempo de Recuperación (RTO, por sus siglas en inglés) es el tiempo máximo
tolerable que una organización puede permitir que un sistema, aplicación o función específica esté
inactivo después de un incidente o desastre. Esencialmente, es el tiempo que le toma a una
organización recuperar una función o sistema después de una interrupción para evitar
consecuencias inaceptables. El RTO es un indicador clave en la planificación de la continuidad del
negocio y la recuperación de desastres.
RPO (Recovery Point Objective)
El Objetivo de Punto de Recuperación (RPO, por sus siglas en inglés) se refiere al punto más
antiguo en el tiempo en el que una organización puede tolerar la pérdida de datos en caso de un
incidente o desastre. En otras palabras, es la cantidad máxima de datos que una organización está
dispuesta a perder, medida en tiempo. Por ejemplo, si una organización tiene un RPO de 4 horas,
significa que puede tolerar la pérdida de datos de las últimas 4 horas. El RPO es esencial para
determinar la frecuencia de las copias de seguridad de datos.
Ejemplo práctico:
Supongamos que una empresa tiene un sistema de comercio electrónico. Después de realizar un
BIA, determina que no puede permitirse que el sistema esté inactivo más de 2 horas, por lo que
establece un RTO de 2 horas. Además, decide que no puede permitirse perder más de 30 minutos
de transacciones, por lo que establece un RPO de 30 minutos. Esto significa que la empresa debe
tener copias de seguridad de datos al menos cada 30 minutos y debe ser capaz de restaurar el
sistema en un máximo de 2 horas después de cualquier interrupción.
Definición:
El Plan de Continuidad del Negocio (BCP, por sus siglas en inglés) es un conjunto de protocolos y
procedimientos que una organización implementa para garantizar que las funciones esenciales del
negocio puedan continuar durante y después de un desastre o interrupción. El BCP se centra en
proteger los recursos, activos y funciones del negocio que son vitales para la organización.
Objetivo:
El objetivo principal del BCP es identificar y mitigar los riesgos asociados con interrupciones
inesperadas, garantizando que la organización pueda mantener o reanudar rápidamente sus
operaciones en caso de un incidente.
Componentes clave:
Estrategias de recuperación
Planes de comunicación
Capacitación y pruebas
Definición:
El Plan de Recuperación de Desastres (DRP, por sus siglas en inglés) es un subconjunto del BCP y
se centra específicamente en la recuperación de sistemas de TI, aplicaciones y datos después de un
desastre. Mientras que el BCP aborda la continuidad de todo el negocio, el DRP se centra en la
tecnología y cómo recuperarla.
Objetivo:
El objetivo principal del DRP es restaurar la infraestructura tecnológica y los sistemas a un estado
operativo en el menor tiempo posible después de una interrupción.
Componentes clave:
Objetivo de Tiempo de Recuperación (RTO)
Capacitación y pruebas
Aunque BCP y DRP se utilizan a menudo de manera intercambiable, es importante entender que
son distintos pero complementarios. El BCP se ocupa de la continuidad del negocio en su totalidad,
incluyendo aspectos como recursos humanos, instalaciones y comunicaciones. Por otro lado, el DRP
se centra específicamente en la recuperación de sistemas de TI y datos. En la mayoría de las
organizaciones, el DRP forma parte integral del BCP, asegurando que tanto las operaciones del
negocio como la infraestructura tecnológica estén protegidas y puedan recuperarse rápidamente en
caso de interrupción o desastre.
Definición:
El BCP se refiere a los procesos y procedimientos que una organización pone en marcha para
garantizar que las funciones esenciales del negocio puedan continuar durante y después de un
desastre o interrupción.
Componentes clave:
Infraestructura física: Esto incluye edificios, oficinas, centros de datos, y otros activos físicos que
son esenciales para las operaciones del negocio.
Personas: El recurso más valioso de cualquier organización. El BCP debe considerar cómo se
manejarán las necesidades y responsabilidades de los empleados durante y después de un
desastre.
Definición:
Componentes clave:
Objetivo de Tiempo de Recuperación (RTO): El tiempo máximo tolerable que un sistema puede
estar fuera de línea.
Objetivo de Punto de Recuperación (RPO): La cantidad máxima de datos que se pueden perder,
medido en tiempo.
Alcance: El BCP aborda cómo mantener en funcionamiento todas las operaciones críticas del
negocio durante una interrupción, mientras que el DRP se centra en cómo restaurar rápidamente
los sistemas y aplicaciones de TI después de un desastre.
Objetivo: El objetivo del BCP es garantizar la continuidad del negocio, mientras que el objetivo del
DRP es garantizar la recuperación rápida y efectiva de los sistemas y datos críticos.
8. Capacidad
La capacidad es la habilidad de un proceso, función o sistema para alcanzar sus objetivos, ya sea
en el presente o en el futuro.
Análisis de Capacidad
1. Informes de Capacidad
Los informes de capacidad ofrecen una visión detallada de cómo se están utilizando los recursos en
una organización. Estos informes pueden abordar la capacidad desde varios ángulos, incluyendo la
capacidad total, instalada, proyectada, consumida, disponible y utilizada.
Capacidad Total: Es la máxima producción o servicio que una organización podría lograr en
condiciones ideales. Considera todos los recursos disponibles, incluyendo máquinas, personal y
materiales.
Capacidad Consumida: Es la parte de la capacidad que está siendo utilizada actualmente por las
operaciones.
Capacidad Utilizada: Es la proporción de la capacidad total que está siendo efectivamente utilizada
en la producción o prestación de servicios.
Proyectar la capacidad implica prever las necesidades futuras basándose en datos históricos,
análisis de tendencias y proyecciones de crecimiento. Esta proyección permite a las organizaciones
anticiparse a las necesidades futuras y hacer las inversiones necesarias a tiempo.
Revisión Periódica: Las organizaciones deben revisar regularmente sus informes de capacidad para
identificar áreas de mejora y planificar adecuadamente.
Planificación Proactiva: En lugar de reaccionar a los problemas de capacidad cuando surgen, las
organizaciones deben adoptar un enfoque proactivo, anticipando las necesidades futuras y
planificando con anticipación.
En resumen, la gestión efectiva de la capacidad es esencial para garantizar que las organizaciones
puedan satisfacer la demanda actual y futura, optimizando la utilización de recursos y evitando
interrupciones o degradaciones en el servicio.
La gestión de la capacidad es esencial para garantizar que los recursos de TI estén adecuadamente
dimensionados y optimizados para satisfacer las demandas actuales y futuras de la organización. A
continuación, se detallan aspectos clave relacionados con las recomendaciones del fabricante,
umbrales máximos y la capacidad de reacción de una organización:
Software: Los fabricantes de software suelen proporcionar requisitos mínimos y recomendados para
su correcto funcionamiento. Estos requisitos pueden incluir espacio en disco, memoria RAM,
capacidad de CPU, entre otros.
Umbrales Críticos: Estos umbrales indican niveles de utilización que, si se superan, pueden causar
degradación del servicio o fallos. Por ejemplo, si el espacio en disco de un servidor supera el 95%,
es un indicativo de que se necesita tomar medidas inmediatas.
Tecnológica: La infraestructura tecnológica debe ser escalable. Es decir, debe ser capaz de
adaptarse a las crecientes demandas sin requerir cambios significativos o interrupciones del
servicio.
Infraestructura: Las instalaciones físicas, como los centros de datos, deben tener espacio, energía y
refrigeración adecuados para soportar expansiones futuras.
Recomendaciones Generales:
Pruebas de Estrés: Realice pruebas regulares para determinar cómo se comportan los sistemas bajo
cargas extremas.
Planificación Proactiva: No espere a que los recursos estén al límite para tomar medidas. Planifique
con anticipación y considere las proyecciones de crecimiento de la organización.
La gestión de la capacidad es un tema amplio y, aunque hemos cubierto varios aspectos clave, hay
otros temas y subtemas que podrían ser relevantes dependiendo del contexto y las necesidades
específicas de una organización. Algunos de estos temas adicionales incluyen:
Gestión de la Demanda: Alinear la capacidad de TI con las necesidades del negocio, lo que puede
incluir técnicas para desplazar o limitar la demanda durante los picos de carga.
Planificación de la Capacidad a Largo Plazo: Mirar más allá del horizonte inmediato y planificar
cómo las necesidades de capacidad evolucionarán en los próximos años.
Gestión de la Capacidad para Aplicaciones Específicas: Algunas aplicaciones, como las bases de
datos o las aplicaciones de streaming, pueden tener consideraciones de capacidad únicas.
Costo de la Capacidad: Entender cómo los costos varían con diferentes niveles de capacidad y
cómo optimizar el retorno de la inversión.
9. No Conformidad
Definición de No Conformidad:
Una no conformidad es una situación en la que un producto, proceso, servicio o sistema no cumple
con un requisito especificado o con criterios previamente definidos. Las no conformidades pueden
surgir de una variedad de fuentes, incluyendo auditorías internas, revisiones de procesos, quejas de
clientes, o a través de observaciones rutinarias.
Tipos de No Conformidades:
No Conformidad Menor: Una desviación menor que no tiene un impacto significativo en la eficacia
del sistema o proceso, pero que aún necesita ser abordada para asegurar la conformidad total.
Ejemplos de No Conformidades:
Manejo de No Conformidades:
Cuando se identifica una no conformidad, es esencial llevar a cabo las siguientes acciones:
Acción Correctiva: Implementar acciones para eliminar la causa raíz y prevenir la recurrencia de la
no conformidad.
Verificación: Asegurarse de que las acciones correctivas implementadas sean efectivas y de que la
no conformidad no se repita.
Revisión: Evaluar regularmente el sistema o proceso para asegurarse de que las no conformidades
se gestionan adecuadamente y de que se implementan mejoras continuas.
No conformidades
Conformidades
Oportunidades de mejora
Fortalezas
Aspecto a proyectar
Aspectos relevantes
La CMDB es una base de datos que contiene información sobre todos los componentes de
tecnología de la información (TI) y detalles de las relaciones entre esos componentes. En el
contexto de ISO/IEC 27001, es esencial para mantener un registro de los activos de información y
su configuración.
ISO 27701:2019
https://todopdp.com/wp-content/uploads/2020/05/TodoPDP_27701.pdf
NOTAS
El riesgo en seguridad de la información puede manifestarse en cualquier etapa del ciclo de vida de
la información, desde su creación hasta su destrucción. Sin embargo, hay consenso en la
comunidad de seguridad de la información sobre ciertas áreas que presentan mayores riesgos:
Dispositivos Móviles y Remotos: Con el aumento del trabajo remoto y el uso de dispositivos
móviles, la superficie de ataque ha crecido. Estos dispositivos, si no están adecuadamente
protegidos, pueden ser una puerta de entrada para amenazas.
Aplicaciones y Software: Las vulnerabilidades en el software pueden ser explotadas por actores
maliciosos. Es esencial mantener el software y las aplicaciones actualizadas para protegerse contra
estas amenazas.
Redes y Conexiones: Las redes, especialmente si no están adecuadamente protegidas, pueden ser
vulnerables a ataques como el sniffing, man-in-the-middle, entre otros.
Infraestructura Cloud: A medida que más organizaciones migran a la nube, es esencial garantizar
que los proveedores de servicios en la nube mantengan estándares de seguridad robustos.
Estudios académicos y reportes de la industria han destacado consistentemente estos puntos como
áreas de alto riesgo. Por ejemplo, el Informe Anual de Brechas de Datos de Verizon ha señalado
repetidamente el factor humano y los errores como una de las principales causas de brechas de
seguridad.