SI - Terminos y Definiciones ISO 27000

Escuela de Tecnologías de la información y Comunicaciones
Sede Bellavista
Seguridad Informática
Términos
y
Definiciones
ISO 27000
Sede Bellavista
Aprendizajes Esperados
• Identificar términos y definiciones de la ISO 27000.

Sede Bellavista
Objetivos de la Clase
• Identificar definiciones de la de la ISO 27000

Sede Bellavista
Referencias normativas
La referencia normativa la norma ISO / IEC 27000: 2018 tecnología de la información –

Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Descripción
general y vocabulario
ISO / IEC 27000: 2018 nos aporta una perspectiva general de los sistemas de gestión de
seguridad de la información (SGSI). Para ello, nos proporciona los términos y definiciones
que se utilizan comúnmente en la familia de normas sobre seguridad de la información.
Los términos y definiciones de uso común en la familia de normas SGSI aunque ISO 27000,
no abarca todos los términos y definiciones aplicados en los sistemas de gestión SGSI. Es por
ello que cada estándar SGSI puede definir nuevos términos de uso. Tal es el caso de la
norma ISO 27001 que define además sus propios términos y definiciones.
Sede Bellavista
ISO 27000 Términos y Definiciones
Control de Acceso Los medios para garantizar que el acceso a los activos esté autorizado y
restringido según los requisitos comerciales y de seguridad.
Descripción
El control de acceso es una forma de limitar el acceso a un sistema o a recursos físicos o

virtuales. En sistemas de la información, el control de acceso es un proceso mediante el cual
los usuarios obtienen acceso y ciertos privilegios a los sistemas, recursos o información.
En los sistemas de control de acceso, los usuarios deben presentar las credenciales antes de
que se les pueda otorgar el acceso. En los sistemas físicos, estas credenciales pueden tener
muchas formas, pero las credenciales que no se pueden transferir brindan la mayor
seguridad.
Sede Bellavista
Ataque Intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no

autorizado o hacer un uso no autorizado de un activo.
Descripción
Los ataques cibernéticos son los mas comunes hoy en día. Un ciberataque es un ataque
contra un sistema informático, una red o una aplicación o dispositivo habilitado para
Internet. Los piratas informáticos utilizan una variedad de herramientas para lanzar ataques,
incluidos malware, ransomware , kits de explotación y otros métodos.
Sede Bellavista
Auditoría Proceso sistemático, independiente y documentado para obtener

evidencia de auditoría y evaluarla objetivamente para determinar hasta qué punto se
cumplen los criterios de auditoría.
Descripción
Las auditorias pueden ser internas o externas.
En cuanto a las auditorías Internas pueden ser realizadas por la misma organización o por
una parte externa en su nombre.
Los conceptos de "Evidencia de auditoría" y "criterios de auditoría" se definen en ISO 19011

dentro del proceso de recopilación de información para alcanzar las conclusiones de
auditoria.
Sede Bellavista
Auditoría
Sede Bellavista
Auditoría
Descripción
Una auditoría incluye una verificación que garantice que la seguridad de la información cumple con todas las expectativas y requisitos de
la norma ISO 27001 dentro de una organización. Durante este proceso, se revisa la documentación del SGSI se entrevista a los empleados
sobre los roles de seguridad y otros detalles relevantes.
Cada organización debe realizar auditorías de seguridad de forma periódica para garantizar que los datos y los activos estén protegidos.
1. Se define el alcance de la auditoría detallando los activos de la empresa relacionados con la seguridad de la información, incluidos
equipos informáticos, teléfonos, redes, correo electrónico, datos y cualquier elemento relacionado con el acceso, como tarjetas, tokens
y contraseñas.
2. Se deben revisar las amenazas de activos, tanto las que ya se han detectado como las posibles o futuras. Para ello deberemos debe
mantenerse al tanto de las nuevas tendencias en el campo de la seguridad de la información, así como de las medidas de seguridad
adoptadas por otras compañías.
3. El equipo de auditoría debe estimar impacto que podría causar la posible materialización de las amenazas para la seguridad de la
informaciones este momento es cuando hay que evaluar el plan y los controles establecidos para mantener las operaciones
comerciales después de que haya ocurrido una amenaza.
4. Evaluar la eficacia de las medidas de control establecidas y de la evaluación del riesgo potencial de las amenazas a los distintos
activos de información para establecer informes de resultados de auditorías que nos permitan evaluar las necesidades de mejora tanto
en los controles establecidos como en las necesidades de hacer cambios en la evaluación de los riesgos de los activos
Sede Bellavista
• Alcance de Auditoría Alcance y límites de una auditoría.
Descripción El alcance de una auditoria generalmente incluye una descripción de las áreas
físicas, unidades organizacionales, actividades y procesos, así como el periodo de tiempo cubierto.
• Autenticación Garantía de que una característica reivindicada de una entidad es

correcta.
Descripción En el contexto de los sistemas informáticos, la autenticación es un proceso que

garantiza y confirma la identidad de un usuario.
Una mejor forma de autenticación, la biométrica, depende de la presencia del usuario y la composición biológica (es
decir, la retina o las huellas dactilares). Esta tecnología hace que sea más difícil para los piratas informáticos ingresar en
los sistemas informáticos.
El método de autenticación de la infraestructura de clave pública (PKI) utiliza certificados digitales para probar la
identidad de un usuario. También hay otras herramientas de autenticación, como tarjetas de claves y tokens USB. Una
de las mayores amenazas de autenticación ocurre con el correo electrónico, donde la autenticidad suele ser difícil de
verificar.
Sede Bellavista
• Autenticidad Propiedad que una entidad es lo que dice ser.
Descripción La autenticidad es la seguridad de que un mensaje, una transacción u otro intercambio de

información proviene de la fuente de la que afirma ser. Autenticidad implica prueba de identidad.
Podemos verificar la autenticidad a través de la autenticación . El proceso de autenticación usualmente involucra más
de una "prueba" de identidad (aunque una puede ser suficiente).
• Disponibilidad Propiedad de ser accesible y utilizable a solicitud de una entidad autorizada.
Descripción La disponibilidad, en el contexto de los sistemas de información se refiere a la capacidad de

un usuario para acceder a información o recursos en una ubicación específica y en el formato correcto.
Sede Bellavista
• Medida Base Definida en términos de un atributo y el método para cuantificarlo. Una medida base es
funcionalmente independiente de otras medidas.
Descripción Como parte de una evaluación, a menudo es importante desarrollar o utilizar indicadores
existentes o medidas de implementación y / o resultados.
El uso de un indicador o medida existente puede tener la ventaja de producir datos sólidos que pueden compararse
con otros estudios, siempre que sea apropiado.
Los términos "medida", "métrica" e indicador "a menudo se usan indistintamente y sus definiciones varían según los
diferentes documentos y organizaciones. Por lo tanto, siempre es útil verificar qué significan estos términos en
contextos específicos.
Sede Bellavista
• Competencia Capacidad de aplicar conocimientos y habilidades para lograr los resultados esperados.
Descripción en el mundo interconectado y moderno se revela como algo absolutamente necesario,

establecer requisitos en las competencias para los profesionales de seguridad de la información. Las peculiaridades
del enfoque europeo para el desarrollo de las competencias profesionales de la seguridad de la información se discuten
utilizando el ejemplo del Marco Europeo de Competencia Electrónica e-CF 3.0. Sobre esta base, se proponen dos
incluso dos marcos específicos, si bien breves de contenido, como son las nuevas normas internacionales ISO / IEC
27021 e ISO / IEC 19896.
• Confidencialidad Propiedad por la que la información no se pone a disposición o se divulga a personas,

entidades o procesos no autorizados.
Descripción La información o los datos confidenciales deben divulgarse únicamente a usuarios autorizados. Siempre
que hablamos de confidencialidad en el ámbito de la seguridad de la información nos hemos de plantear un sistema de
clasificación de la información..
Sede Bellavista
• Conformidad Cumplimiento de un requisito.
Descripción La conformidad es el “cumplimiento de un requisito”. Hay muchos tipos de requisitos. Existen

requisitos de calidad, requisitos del cliente, requisitos del producto, requisitos de gestión, requisitos legales, requisitos
de la seguridad de la información etc. Los requisitos pueden especificarse explícitamente (como los requisitos de la
norma ISO 27001) o estar implícitos. Un requisito específico es uno que se ha establecido (en un documento, por
ejemplo la política de seguridad o de uso del correo electrónico). Cuando su organización cumple con un requisito,
puede decir que cumple con ese requisito.
Sede Bellavista
• Consecuencia Resultado de un evento que afecta a los objetivos.
Descripción Las consecuencias son algo relacionado con los eventos y los objetivos de la seguridad de la
información.
EVENTOS Un evento en la seguridad de la información es un cambio en las operaciones diarias de una

red o servicio de tecnología de la información que indica que una política de seguridad puede haber sido violada o que
un control de seguridad puede haber fallado.
Cuando un evento afecta a los resultados de un proceso o tiene consecuencias no deseadas como la interrupción de
servicios, pérdida de datos o afecta a la confidencialidad, disponibilidad o integridad de la información entonces
decimos que es un evento con consecuencias.
OBJETIVOS DE SEGURIDAD Los sistemas de información son vulnerables a la modificación, intrusión o mal
funcionamiento.
Los sistemas de gestión para la seguridad de la información tienen como objetivo proteger a los sistemas de estas
amenazas. Para ello se establecen criterios basados en una evaluación previa de los riesgos que estas amenazas
suponen para poner los controles necesarios de forma que las pérdidas o perjuicios esperados por estas amenazas se
encuentren en algún momento en niveles aceptables
Sede Bellavista
• Mejora Continua Actividad recurrente para mejorar el rendimiento.
Descripción Si la mejora se define como acciones que se traducen en una mejora de los
resultados, entonces la mejora continua es simplemente identificar y realizar cambios enfocados a conseguir la
mejora del rendimiento y resultados de una organización. La mejora continua es un concepto que es fundamental
para las teorías y programas de gestión de la calidad y de la seguridad de la información. La mejora continua es clave
para la gestión de la seguridad de la Información.
Sede Bellavista
• Control Medida que modifica un riesgo.
Descripción Los controles de seguridad son medidas de seguridad técnicas o administrativas

para evitar, contrarrestar o minimizar la pérdida o falta de disponibilidad debido a las amenazas que actúan por una
vulnerabilidad asociada a la amenaza. En esto consiste un riesgo de seguridad.
Sede Bellavista
• Objetivo de Control Declaración que describe lo que se debe lograr como resultado de la
implementación de controles.
Descripción Este concepto hace posible cumplir con la filosofía de la norma ISO 27001 donde
la base de la misma se encuentra el ciclo PDCA (planificar (plan), hacer (do), verificar (check) y actuar (act)), donde se
hace imprescindible conocer y averiguar hasta qué punto se alcanzan los objetivos
En concreto:
• En la planificación del sistema se establecen los objetivos

• En la implantación del sistema se debe establecen en qué medida se alcanzan sus objetivos
• En la monitorización del sistema deberemos realizar una medición real del desempeño de los objetivos
• En la evaluación del desempeño deberemos evaluar el cumplimiento de los objetivos y establecer medidas de
mejora si fueran necesarias
Sede Bellavista
• Corrección Acción para eliminar una no conformidad detectada.
Descripción Una no conformidad es cualquier incumplimiento de un requisito.
A la hora de reaccionar ante una no conformidad podemos tomar acciones para:
• Corregir una no conformidad tratando las consecuencias inmediatas

• Determinar las causas de la no conformidad para eliminarlas mediante una acción correctiva de forma que ya no se
vuelva a producir.
• Acción Correctiva Acción para eliminar la causa de una no conformidad y para prevenir la
recurrencia.
• Medida Derivada medida que se define como una función de dos o más valores de medidas base.
Descripción Las medidas o indicadores derivados son aquellos que se establecen en base a otro indicador
existente. Los indicadores derivados normalmente se refieren a:
• Fórmulas de Cálculo como los subtotales o funciones de agregación dinámica de datos como son los datos pre-
calculados como por ejemplo sumas continuas etc.
• Datos o indicadores y de funciones sin agregación dinámica intrínseca o propia como pueden ser cálculos de
promedios o conteo de ocurrencias de la variable o medida base.
Sede Bellavista
• Información documentada Se refiere a la información necesaria que una organización debe
controlar y mantener actualizada tomando en cuenta y el soporte en que se encuentra. La información
documentada puede estar en cualquier formato (audio, video, ficheros de texto etc.) así como en cualquier tipo de
soporte o medio independientemente de la fuente de dicha información. En general la información documentada
se refiere a:
• Al sistema de gestión y sus procesos

• Información necesaria para la actividad de la propia
• Evidencias o registros de los resultados obtenidos en cualquier proceso del sistema de gestión o de la
organización.
Descripción En un sistema de gestión no debemos pasar por alto el control y la organización de nuestra
documentación de forma que cumplamos con los requisitos para almacenar, administrar y revisar la documentación.
En primer lugar deberemos garantizar que los contenidos de la documentación sean adecuados y describan de la forma
más práctica y correcta posible los procesos ya que la documentación debe ser la herramienta para demostrar que se
han implementado correctamente los procesos.
Sede Bellavista
• Efectividad En qué medida se realizan las actividades planificadas y se logran los resultados planificados
Descripción La efectividad se refiere al grado en que se logra un efecto planificado para la seguridad de la
información. Las actividades planeadas para la seguridad de la información serán efectivas si estas actividades se
realizan de acuerdo a lo planificado en los objetivos para la seguridad de la información.
De manera similar, los resultados planificados son efectivos si estos resultados se logran realmente.
La efectividad consiste en hacer lo planificado, completar las actividades y alcanzar los objetivos.
Sede Bellavista
• Evento Ocurrencia o cambio de un conjunto particular de circunstancias
• Un evento puede ser repetitivo y puede tener varias causas.

• Un evento puede consistir en algo que no sucede.
• Un evento puede ser clasificado como un «incidente» o «accidente».
Descripción Un evento de seguridad es cualquier ocurrencia observable que sea relevante para la
seguridad de la información. Esto puede incluir intentos de ataques o fallos que descubren vulnerabilidades de
seguridad existentes
Hemos de diferenciar los eventos en la seguridad de la información de los incidentes de seguridad. Un incidente es un
evento de seguridad que provoca daños o riesgos para los activos y operaciones de seguridad de la información.
Sede Bellavista
• Contexto Externo Entorno externo en el que la organización busca alcanzar sus objetivos.
El contexto externo puede incluir :
• El entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y
competitivo, ya sea internacional, nacional, regional o local;
• Influencias y tendencias clave que tienen impacto en los objetivos de la organización
• los valores de actores externos y como es percibida la organización (sus relaciones con el entorno externo)
Sede Bellavista
• Contexto Externo
Descripción Para definir correctamente el contexto externo podríamos comenzar por un análisis del
entorno centrándonos en aquellos factores que podrían afectar a la organización o que están relacionados con las
actividades y objetivos de la organización.
Lista simple de factores, que luego pueden desarrollarse:
• Los factores políticos son la medida en que los gobiernos o las influencias políticas pueden impactar o impulsar las
tendencias o culturas globales, regionales, nacionales, locales y comunitarias. Pueden incluir estabilidad política,
política exterior, prácticas comerciales y relaciones laborales.
• Los factores económicos incluyen tendencias y factores globales, nacionales y locales, mercados financieros, ciclos
crediticios, crecimiento económico, tasas de interés, tasas de cambio, tasas de inflación y costo de capital.
• Los factores sociales incluyen cultura, conciencia de salud, demografía, educación, crecimiento de la población,
actitudes profesionales y énfasis en la seguridad.
• Los factores tecnológicos incluyendo sistemas informáticos, avances o limitaciones tecnológicas, inteligencia
artificial, robótica, automatización, incentivos tecnológicos, la tasa de cambio tecnológico, investigación y
desarrollo, etc.
• Los factores jurídicos incluyen cuestiones legislativas o reglamentarias y sensibilidades.
• Los factores ambientales incluyen el clima global, regional y local, el clima adverso, los peligros naturales, los
desechos peligrosos y las tendencias relacionadas.
Sede Bellavista
• Gobernanza de la Seguridad de la Información. Sistema por el cual las actividades de
seguridad de la información de una organización son dirigidas y controladas.
Descripción El gobierno de la seguridad de la información es la estrategia de una empresa para reducir el

riesgo de acceso no autorizado a los sistemas y datos de tecnología de la información.
Las actividades de gobierno de la seguridad implican el desarrollo, la planificación, la evaluación y la mejora de la

gestión de riesgos para la seguridad de la información y las políticas de seguridad de una organización
El gobierno de la seguridad de la empresa incluye determinar cómo las distintas unidades de negocio de la
organización, los ejecutivos y el personal deben trabajar juntos para proteger los activos digitales de una organización,
garantizar la prevención de pérdida de datos y proteger la reputación pública de la organización.
Las actividades de gobierno de la seguridad de la empresa deben ser coherentes con los requisitos de cumplimiento, la
cultura y las políticas de gestión de la organización.
El desarrollo y el mantenimiento de la gobernanza de la seguridad de la información pueden requerís la realización de

pruebas de análisis de amenazas, vulnerabilidades y riesgos que son específicas para la industria de la empresa.
El gobierno de la seguridad de la información también se refiere a la estrategia de la empresa para reducir la

posibilidad de que los activos físicos que son propiedad de la empresa puedan ser robados o dañados. En este
contexto, el gobierno de la seguridad incluye barreras físicas, cerraduras, sistemas de cercado y respuesta a incendios,
así como sistemas de iluminación, detección de intrusos, alarmas y cámaras.
Sede Bellavista
• Órgano rector. Persona o grupo de personas que son responsables del desempeño de la organización.
El órgano rector puede ser una junta directiva o consejo de administración.
Descripción En el caso de la seguridad de la información el órgano rector será el responsable del

desempeño o el resultado del sistema de gestión de la seguridad de la información. En definitiva, el órgano rector
tendrá la responsabilidad de rendir cuentas del rendimiento del sistema de gestión de la seguridad de la información.
Sede Bellavista
• Indicador Medida que proporciona una estimación o evaluación.
Descripción Los indicadores para la evaluación de la seguridad de la información a menudo sirven como
evidencia forense de posibles intrusiones en un sistema o red host.
Un sistema de información debe permitir a los especialistas de la seguridad de la información y a los administradores
del sistema detectar intentos de intrusión u otras actividades maliciosas.
Los indicadores permiten analizar y mejorar las técnicas y comportamientos ante un malware o amenaza en particular.
Estos indicadores también proporcionan datos para entender mejor las amenazas, generando información valiosa para
compartir dentro de la comunidad para mejorar aún más la respuesta a incidentes y las estrategias de respuesta de una
organización.
Normalmente los indicadores se pueden sacar en los dispositivos que se encuentran en los registros de eventos y las
entradas de un sistema, así como en sus aplicaciones y servicios. Para ello los administradores de sistemas también
emplean herramientas que monitorean los dispositivos y redes para ayudar a mitigar, si no prevenir, violaciones o
ataques.
Sede Bellavista
• Necesidad de Información Conocimiento necesario para gestionar objetivos, riesgos y
problemas.
Descripción Este es un concepto relacionado con el desarrollo de procesos de medición que determinen
qué información de medición se requiere, cómo se deben aplicar las medidas y los resultados del análisis, y cómo
determinar si los resultados del análisis son válidos más que nada en escenarios aplicables a las disciplinas de
ingeniería y gestión de sistemas y software.
Para establecer los objetivos de seguridad de la información que tengan en cuenta los riesgos y las amenazas
deberemos establecer unos criterios de necesidad de información. Se trata en definitiva de contar con un modelo que
defina las actividades que se requieren para especificar adecuadamente el proceso de medición para obtener dicha
información.
Idealmente los procesos de medición deben ser flexibles, adaptables y adaptables a las necesidades de los diferentes
usuarios.
Sede Bellavista
• Instalación de Procesamiento de Información Cualquier sistema de procesamiento de
información, servicio o infraestructura, o la ubicación física que lo alberga.
Descripción Las instalaciones de procesamiento de información en una empresa, deben ser consideradas
como un activo de información que es necesario alcanzar las metas y objetivos de la organización
Para comprender esto en el escenario de una certificación de una norma de seguridad de la información debemos
tener en cuenta que deberemos afrontar una auditoría de las instalaciones de procesamiento de información
demostrando que está controlada y puede garantizar un procesamiento oportuno, preciso y eficiente de los sistemas
de información y aplicaciones en condiciones normales y generalmente disruptivas.
De acuerdo con la norma ISO 27001, una auditoría de instalaciones de procesamiento de información es la evaluación
de cualquier sistema, servicio, infraestructura o ubicación física que contenga y procese información. Una instalación
puede ser una actividad o un lugar que puede ser tangible o intangible; así como, un hardware o un software.
Sede Bellavista
• Seguridad de Información Preservación de la confidencialidad, integridad y disponibilidad de la
información. Además hay que considerar otras propiedades, como la autenticidad, la responsabilidad, el no
repudio y la confiabilidad también pueden estar involucrados..
Descripción La seguridad de la información como vemos tiene por objetivo la protección de la

confidencialidad, integridad y disponibilidad de los datos de los sistemas de información de cualquier amenaza y de
cualquiera que tenga intenciones maliciosas.
La confidencialidad, la integridad y la disponibilidad a veces se conocen como la tríada de seguridad de la información

que actualmente ha evolucionado incorporando nuevos conceptos tales como la autenticidad, la responsabilidad, el no
repudio y la confiabilidad.
La seguridad de la información debe ser considerada desde la base de un análisis y evaluación de riesgos teniendo en
cuenta cualquier factor que pueda actuar como un riesgo o una amenaza para la confidencialidad, integridad y
disponibilidad etc. de los datos
La información confidencial debe conservarse; no puede modificarse, modificarse ni transferirse sin permiso. Por
ejemplo, un mensaje podría ser modificado durante la transmisión por alguien que lo intercepte antes de que llegue al
destinatario deseado. Las buenas herramientas de criptografía pueden ayudar a mitigar esta amenaza de seguridad.
Las firmas digitales pueden mejorar la seguridad de la información al mejorar los procesos de autenticidad y hacer que
las personas prueben su identidad antes de poder acceder a los datos de un sistema de información
Sede Bellavista
• Continuidad de la Seguridad de Información Procesos y procedimientos para garantizar
la continuidad de las operaciones de seguridad de la información.
Descripción El termino continuidad de la seguridad de la información se utiliza dentro de la norma ISO

27001 para describir el proceso que garantice la confidencialidad, integridad y disponibilidad de la información cuando
un incidente ocurre o una amenaza se materializa.
Con cierta frecuencia se interpreta este punto como una necesidad de contar con planes de continuidad del negocio
asumiendo como requisito la implementación de un plan de continuidad del negocio integral para cumplir con el punto
de la norma que nos habla de la continuidad de la seguridad de la información.
Un plan de continuidad del negocio sin duda puede ser una gran ayuda para garantizar que las funciones de seguridad
de la información se mantengan aunque no es un requisito de la norma ISO 27001 un plan de seguridad integran
enfocado a la continuidad de los servicios en general.
Sede Bellavista
• Evento de Seguridad de Información Ocurrencia identificada de un sistema, servicio o estado
de red que indica un posible incumplimiento de la política de seguridad de la información o falla de los controles o
una situación desconocida que puede ser relevante para la seguridad.
Descripción Podríamos considerar como un evento en la seguridad de la información a cualquier cambio

observado en el comportamiento normal de un sistema de información, entorno, proceso, flujo de trabajo o persona y
que pueda afectar a la seguridad de la información. Por ejemplo: si se encuentran modificaciones en las listas de
control de acceso para un router o modificaciones en las reglas de configuración de un firewall.
Sede Bellavista
• Incidente de Seguridad de Información Un evento o una serie de eventos de seguridad de la
información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones
comerciales y amenazar la seguridad de la información.
Descripción Un incidente de seguridad de la información puede definirse también como cualquier evento
que tenga el potencial de afectar la preservación de la confidencialidad, integridad, disponibilidad o valor de la
información
Aquí les dejamos una lista con varios ejemplos típicos de incidentes en la seguridad de la información:
• Revelación no autorizada o accidental de información clasificada o sensible; p.ej. envió de un correo electrónico
que contiene información confidencial o clasificada enviada a destinatarios incorrectos.
• Robo o pérdida de información clasificada o sensible; p.ej. copia impresa de clasificados o sensibles
• Información robada de un maletín olvidado en un restaurante o perdido
• Modificación no autorizada de información clasificada o sensible; p.ej. alterando copia maestra de registro de
estudiante o personal
• Robo o pérdida de equipo que contiene información clasificada o sensible; p.ej. ordenador portátil que contiene
información confidencial o clasificada
• Acceso no autorizado a los sistemas de información de la Organización; p.ej. Ejemplo de virus, malware, ataque de
denegación de servicio.
• Acceso no autorizado a áreas que contienen equipo de TI que almacena información confidencial o confidencial;
p.ej. entrada no autorizada en un centro de datos o salas de control de la red informática.
Sede Bellavista
• Gestión de Incidente de Seguridad de la Información Conjunto de procesos para detectar,
informar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información.
Descripción El conjunto de procesos para tratar los incidentes de la seguridad de la información debe
• Identificar,
• Administrar y registrar,
• Analizar las amenazas en tiempo real
• Buscar respuestas sólidas y completas a cualquier problema
• Mantener una infraestructura que permita realizar estas funciones
Hemos de tener en cuenta que un incidente de seguridad puede ser cualquier cosa, desde una amenaza activa hasta un
intento de intrusión que ha generado un riesgo o ha conseguido comprometer la seguridad generando una violación de
datos. También debemos considerar las violaciones a las políticas y el acceso no autorizado a datos como salud,
finanzas, números de seguridad social y registros de identificación personal etc.
Sede Bellavista
• Sistema de Gestión de Seguridad de la Información (SGSI) Profesional Persona que
establece, implementa, mantiene y mejora continuamente uno o más procesos del sistema de administración de
seguridad de la información.
Descripción Normalmente la persona que se ocupa de implementar el SGSI dentro de la empresa es

responsable de coordinar todas las actividades relacionadas con la gestión de la seguridad de la información en la
Organización. En organizaciones pequeñas y medianas, este papel puede asignarse a una sola persona; en sistemas más
grandes, es aconsejable asignar este cometido a un grupo de personas
Las responsabilidades de una persona que este involucrada en la implementación de un sistema de gestión de la
seguridad de la Información podemos resumirlas en:
• Definición y supervisión del Sistema de Gestión de Seguridad de la Información.

• Coordinación de todas las actividades relacionadas con el SGSI.
• Comunicación de información relativa a SGSI en la Organización.
• Contacto con autoridades y grupos de interés en el área de SGSI.
• Coordinar el proceso de gestión de riesgos.
• Supervisión y coordinación del Sistema de Gestión de Seguridad de la Información.
• La persona debe tener habilidades directivas, de comunicación y técnicas.
• CIO, CISO, CSO

Sede Bellavista
• Comunidad de Intercambio de Información Grupo de organizaciones o individuos que aceptan
compartir información.
Descripción Tanto en Estados Unidos como en Europa existen regulaciones tanto para compartir como
para proteger la información sensible y/o relativa a la seguridad tanto de las propias organizaciones y usuarios como de
las amenazas y ataques sufridos contra la seguridad de la información
Es por ello que esta terminología se utiliza para identificar no solo las fuentes de información sino aquellas
organizaciones e individuos con los que vamos a compartir información.
Sede Bellavista
• Comunidad de Intercambio de Información - INFORMACION DE SEGURIDAD
Nos interesa tocar el tema de como se debe compartir la información sobre la seguridad de la información
Normalmente las agencias gubernamentales incluidas las regulaciones europeas (RGPD) regulan también mediante
procedimientos como deberemos compartir información acerca de la seguridad de la información
Normalmente se requerirá que se elimine la información personal antes de compartir indicadores de amenazas
cibernéticas, y en ciertos casos se requerirá que el los organismos de Seguridad a Nivel Nacional realice una revisión de
la privacidad de la información recibida.
También esta regulado los fines para los que se puede utilizar la información sobre la seguridad de la información, algo
que afecta no solo a entidades externas con las que podemos compartir información sino a nuestra propia organización
y sus departamentos de seguridad de la información
Normalmente la información sobre seguridad solo puede ser utilizada para
• Identificar un propósito de ciberseguridad.
• Identificar el origen de una amenaza de seguridad informática o vulnerabilidad.
• Identifique amenazas de ciberseguridad que involucren el uso de un sistema de información por parte de un adversario o
terrorista extranjero.
• Prevenir o mitigar una amenaza inminente de muerte, daños corporales graves o daños económicos graves, incluido un acto
terrorista o el uso de un arma de destrucción masiva.
• Prevenir o mitigar una amenaza grave para un menor, incluida la explotación sexual y las amenazas a la seguridad física.
• Prevenir, investigar, interrumpir o procesar un delito que surja de una amenaza como ser delitos graves violentos o en
relación con el fraude y el robo de identidad.
• Es por ello que esta terminología se utiliza para identificar no solo las fuentes de información sino aquellas organizaciones e
individuos con los que vamos a compartir información.
Sede Bellavista
• Sistema de Información Conjunto de aplicaciones, servicios, activos de tecnología de la información u
otros componentes de manejo de información.
Descripción Cuando hablamos de sistemas de Información nos referimos un conjunto de equipos

involucrados de alguna forma en el manejo de información. Nos referimos a equipos en sentido amplio incluyendo el
Hardware y el Software así como las conexiones y la propia información contenida en los sistemas informáticos
(aplicaciones) así como a los usuarios y a aquellos soportes e instalaciones que permiten que estos equipos almacenen
o procesen la información.
Por otro lado, un sistema de información comúnmente se refiere a un sistema informático básico, pero también puede
describir un sistema de conmutación telefónica o de control ambiental.
El factor para considerar a un sistema como sistema de información e si involucra recursos para información
compartida o procesada, así como las personas que administran el sistema. Las personas se consideran parte del
sistema porque sin ellas, los sistemas no funcionarían correctamente.
Hay muchos tipos de sistemas de información, dependiendo de la necesidad para la cual están diseñados. Un sistema
de soporte de operaciones, como un sistema de procesamiento de transacciones, convierte los datos comerciales
(transacciones financieras) en información valiosa. De manera similar, un sistema de información de gestión utiliza la
información de la base de datos para generar informes, lo que ayuda a los usuarios y las empresas a tomar decisiones
basadas en los datos extraídos.
Sede Bellavista
• Sistema de Información
Descripción En un sistema de apoyo a las decisiones, los datos se obtienen de varias fuentes y luego son
revisados por los gerentes, quienes toman las determinaciones en función de los datos compilados. Un sistema de
información para ejecutivos es útil para examinar las tendencias comerciales, ya que permite a los usuarios acceder
rápidamente a información estratégica personalizada en forma de resumen.
Según el nivel de la información los sistemas de información se pueden clasificar en:
• Sistemas de soporte de operaciones, incluidos los sistemas de procesamiento de transacciones. (decisiones

operativas)
• Sistemas de información para la gestión (Decisiones de gestión)
• Sistemas de información ejecutiva (decisiones estratégicas)
En cuanto al tipo de datos o conocimiento almacenado podemos clasificarlos en
• Sistemas de transacciones de datos (Datos básicos)

• Sistemas de soporte en oficinas (Datos básicos)
• Sistemas de Gestión de la información (Conocimientos e información genera)
• Sistemas de soporte para toma de decisiones (Conocimiento específicos tecnológicos)
• Sistemas de información gerencial (Conocimiento específicos Know-how)
Sede Bellavista
• Integridad Propiedad de la exactitud y la integridad.
Descripción La integridad de la información se refiere a la exactitud y consistencia generales de los datos o

expresado de otra forma, como la ausencia de alteración cuando se realice cualquier tipo de operación con los datos, lo
que significa que los datos permanecen intactos y sin cambios
Como regla general para poder mantener y comprobar la integridad de los datos, los valores de los datos se
estandarizan de acuerdo con un modelo o tipo de datos. De esta forma podremos comprobar que todas las
características de los datos se mantienen de forma correcta y están completos
La integridad de los datos es una función relacionada con la seguridad de forma que un servicio de integridad tiene la
función de mantener la información exactamente como fue ingresada en operaciones tales como la captura de datos,
el almacenamiento, la recuperación, la actualización o la transferencia.
La integridad de los datos puede una medida del rendimiento de cualquier operación realizada con la información si
tomamos en cuenta la tasa de error detectada en cada operación.
Sede Bellavista
• Integridad
Descripción La corrupción o alteración de los datos pueden ocurrir de forma accidental (por ejemplo, a
través de errores de programación) o maliciosamente (por ejemplo, a través de infracciones o hacks). Para evitar o
minimizar la posibilidad corrupción de los datos existen una serie de herramientas o controles tales como:
• Cifrado de datos, que bloquea los datos por cifrado

• Copia de seguridad de datos, que almacena una copia de datos en una ubicación alternativa
• Controles de acceso, incluida la asignación de privilegios de lectura / escritura.
• Validación de entrada, para evitar la entrada incorrecta de datos.
• Validación de datos, para certificar transmisiones no corrompidas.
Sede Bellavista
• Parte Interesada Persona u organización que puede afectar, verse afectada o percibirse como
afectada por una decisión o actividad.
Descripción Este concepto se refiere a cualquiera de las personas u organizaciones que pueden verse
afectadas por una situación, o que esperan un beneficio económico o de otro tipo de una situación: Así nos
encontramos con los empleados, proveedores, clientes y otros posibles interesados.
Sede Bellavista
• Contexto Interno Entorno interno en el que la organización busca alcanzar sus objetivos.
Descripción El contexto interno puede incluir:
• Gobierno, estructura organizativa, roles y responsabilidades;

• Políticas, objetivos, y las estrategias que existen para lograrlos;
• Las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas,
procesos, sistemas y tecnologías;
• Sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como
informales);
• Relaciones con, y percepciones y valores de las partes interesadas internas;
• La cultura de la organización;
• Normas, lineamientos y modelos adoptados por la organización;
• Forma y alcance de las relaciones contractuales.
Sede Bellavista
• Nivel de Riesgo Magnitud de un riesgo expresada en términos de la combinación de consecuencias y su
probabilidad.
Descripción El nivel de riesgo es un elemento necesario en la evaluación de riesgos para la seguridad de la

información. El nivel de riesgo es el resultado del cálculo del riesgo como una forma de ponderar el riesgo para la
seguridad de la información ante una determinada amenaza
El nivel de riesgo es el elemento que nos permite razonar las medidas necesarias para mitigar o reducir el riesgo y es un
elemento fundamental para la toma de decisiones.
Dentro del proceso de análisis de riesgos se acepta como fórmula para el cálculo del nivel de riesgo
Nivel de riesgo = probabilidad (de un evento de interrupción) x pérdida (relacionada con la ocurrencia del evento)
En este escenario el nivel de riesgo es una medida de la pérdida esperada relacionada con algo (es decir, un proceso,
una actividad de producción, una inversión...) sujeta a La ocurrencia del evento de interrupción considerado.
Se trata pues de una forma de cuantificar o medir el riesgo.
Otra forma de considerar esta fórmula es
Riesgo = Probabilidad de Fallo x Nivel de Daño Relacionado con el fallo.

Sede Bellavista
• Probabilidad Posibilidad de que algo suceda.
Descripción
La probabilidad en el análisis de riesgos La probabilidad de que algo suceda o una amenaza contra la seguridad de la
información se concrete nos ayuda a pronosticar o conocer de manera anticipada las consecuencias reales de una
amenaza. Sin embargo, muchas veces la falta de datos objetivos para ciertos tipos de amenazas de seguridad de la
información hace que sea difícil incorporar un enfoque de pronóstico basado en la probabilidad.
Por otro lado, la probabilidad es un elemento fundamental en un proceso de análisis de riesgo. Veamos cómo
deberíamos incluir la probabilidad en las actividades del proceso de análisis de riesgos
¿Qué es la probabilidad? Definimos probabilidad como el grado de probabilidad de que ocurra un evento.
Primero consideramos el concepto clásico de probabilidad. La clave para este concepto de probabilidad es que todas
las posibilidades deben ser igualmente probables.
Frecuencia Otro concepto importante dentro de la probabilidad es la frecuencia como un parámetro que mide la
probabilidad de que ocurra un evento o un resultado dado, dentro de un intervalo de tiempo en el que ocurrirán
eventos similares.
Sede Bellavista
• Probabilidad
Probabilidad subjetiva Finalmente otra herramienta a incorpora en la determinación de la probabilidad es la
probabilidad subjetiva. Ante la dificultad de tener datos objetivos sobre la probabilidad podemos también considerar
información indirecta, o colateral, conjeturas, intuición u otros factores subjetivos para considerar o determinar la
probabilidad
Se trata de evaluar las probabilidades de manera diferente, según una evaluación personal de una situación. Una
desventaja de este enfoque es que a menudo es difícil para las personas estimar la probabilidad, y la misma persona
puede terminar estimando diferentes probabilidades para el mismo evento utilizando diferentes técnicas de
estimación.
Sede Bellavista
• Probabilidad
Probabilidad y seguridad de la información La problemática de la obtención de datos objetivos en el cálculo de la
probabilidad de que ocurran eventos o ataques contra la seguridad de la información cuando no tenemos datos
propios debe afrontarse estudiando los eventos similares en nuestro sector o en sectores que aunque no sean
exactamente el nuestro y así podremos extrapolar en nuestro caso concreto la probabilidad de ocurrencia.
Por ejemplo podríamos intentar evaluar cuantos ataques informáticos en el sector bancario serian aplicables a
organizaciones en el sector de fabricación?
Aunque esto nos deja con una probabilidad subjetiva de amenazas resultantes podríamos realizar estimaciones con
ayuda de los siguientes factores:
• Motivo: ¿qué tan motivado está el atacante? ¿El atacante está motivado por preocupaciones políticas? ¿Es el
atacante un empleado descontento? ¿Es un activo un objetivo especialmente atractivo para los atacantes?
• Medios: ¿qué ataques pueden afectar sus activos críticos? ¿Cuán sofisticados son los ataques? ¿Los posibles
atacantes tienen las habilidades para ejecutar los ataques?
• Oportunidad: ¿qué tan vulnerable es su infraestructura informática? ¿Qué tan vulnerables son los activos críticos
específicos?
En general, debe tener cuidado al incorporar la probabilidad en su análisis de riesgo y tener en cuenta una combinación
de datos de frecuencia y estimación subjetiva.
Sede Bellavista
• Sistema de Gestión Conjunto de elementos interrelacionados o interactivos de una organización para
establecer políticas y objetivos y procesos para alcanzar esos objetivos.
Descripción
Sede Bellavista
• Medida Variable a la que se asigna un valor como resultado de la medida.
Sede Bellavista
• Medición Proceso para determinar un valor.
Descripción
MONITOREO MEDICIÓN ANÁLISIS Y EVALUACIÓN
El monitoreo, la medición, el análisis y la evaluación son críticos para la evaluación del desempeño del sistema de
gestión de la seguridad de la información SGSI.
El objetivo primario de estos términos es establecer un marco para medir el desempeño tanto cualitativo como
cuantitativo de un SGSI de forma que podamos obtener la información de en qué grado estamos cumpliendo los
objetivos del SGSI
Finalmente la medida del desempeño a través de un análisis y evaluación nos conduce a un sistema objetivo de
obtención de medidas de mejora que conduzcan a un sistema que se supera a si mismo con el tiempo: La mejora
continúa de la seguridad de la información
En toda planificación de un SGSI se debería determinar cómo monitorear, medir, analizar y luego evaluar los procesos
de la seguridad de la información y sus resultados.
Se determinará que medir, con que método, cuales son los parámetros y con qué método o formula realizaremos el
análisis y evaluación de lo que hemos medido
Sede Bellavista
• Medición
Descripción
METODOS DE MEDICION
Los métodos deben definir qué actividades son necesarias para garantizar resultados válidos de monitoreo y
mediciones.
Los métodos deben definir las etapas y los intervalos en el proceso cuando deben realizarse las actividades de
monitoreo y mediciones.
Los métodos deben definirse como se deben analizar y evaluar los resultados del monitoreo y la medición.
Los resultados tienen que ver con la evaluación del desempeño y los objetivos del SGSI.
Sede Bellavista
• Medición
Descripción
ACLARANDO DIFERENCIAS ENTRE LOS DISTINTOS TERMINOS Y DEFINICIONES
Antes de nada, veamos más en detalle la diferencia entre monitorear, medir, analizar y evaluar un proceso:
Monitoreo: una inspección continua u observación del desempeño del proceso para el propósito especial, objetivo o
alcance definido
Medición: la actividad de entregar datos y un método para definir objetivamente una medida cuantitativa o cualitativa
y capturar una situación sin ninguna referencia a la importancia.
Análisis: un conjunto de técnicas para examinar tendencias y tendencias de una salida (proceso o producto)
Evaluación: la acción de comparar un proceso o las mediciones de una salida de un proceso

Sede Bellavista
• Medición
Descripción
OBJETIVO DEL MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
El objetivo del monitoreo, la medición, el análisis y la evaluación son los responsables de la toma de decisiones un
entendimiento a través de un informe de situación sobre el desempeño de los procesos. Los datos que se incluyen en
los controles sugeridos por la norma, como las evaluaciones de proveedores o el control de productos no conformes.
Esas actividades deben indicar la eficacia del SGSI y la medida en la que el SGSI cumple con sus objetivos de Seguridad
de la Información. Este tipo de informes proporciona los datos de las diferentes unidades organizativas e información
sobre problemas de calidad.
Sede Bellavista
• Función de Medición Algoritmo o cálculo realizado para combinar dos o más medidas base.
• Método de Medida Secuencia lógica de operaciones, descrita genéricamente, utilizada en

la cuantificación de un atributo con respecto a una escala específica.
• Monitoreo Determinar el estado de un sistema, un proceso o una actividad.
• No conformidad Incumplimiento de un requisito.

Sede Bellavista
• No Repudio Capacidad para demostrar la ocurrencia de un evento o acción reclamada y sus entidades de
origen.
Descripción El no repudio es un concepto que garantiza que alguien no puede negar algo. En el contexto
de la seguridad de la información, normalmente el no rechazo se refiere a la capacidad de garantizar que una parte de
un contrato o una comunicación no pueda negar la autenticidad de su firma en un documento o el envío de un mensaje
enviado por un origen determinado.
Resumiendo, el no repudio es una forma de demostrar que una información fue enviada por un origen hacia un
destino.
La garantía de no repudio se utiliza normalmente en contratos digitales, firmas y mensajes de correo electrónico.
Y es que, ¿cómo podemos garantizar que una imagen, audio, video, documento, programa o carpeta no se ha
manipulado o cambiado?
Esta garantía se puede obtener mediante el uso de la función “hash”, que nos da una prueba de la identificación y
auténtico del origen de los datos. Esto se complementa con la utilización de firmas digitales, así como de claves
públicas.
Las claves públicas utilizadas de forma única para garantizar el no repudio, pueden suponer un problema si el
destinatario del mensaje ha expuesto, a sabiendas o sin saberlo, su clave encriptada o secreta.
Sede Bellavista
• No Repudio
Descripción
En cuanto a la seguridad de la información el no repudio no es el único criterio para garantizar la integridad de los
datos ya que en los ataques de “phishing” o suplantación de identidad pueden comprometer igualmente la integridad
de los datos ya que incluso las firmas digitales
Además, es importante tener en cuenta que una firma digital aunque sea auténtica puede ser mal utilizada por alguien
que tenga o haya obtenido fraudulentamente la clave privada. Este problema ha sido contrarrestado con las tarjetas
inteligentes.
La aplicación de sistemas de no repudio protege al destinatario y al remitente cuando un destinatario niega recibir un
correo electrónico. El no rechazo por tanto, se convierte en un pilar esencial de la seguridad de la información cuando
se necesita.
Sede Bellavista
• Organización Persona o grupo de personas que tiene sus propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos.
Descripción El concepto de organización puede ser una persona física, una empresa o corporación, un
organismo público o sociedad privada, una organización benéfica o institución, o también una parte o combinación de
los mismos.
Sede Bellavista
• Externalizar Establecer un acuerdo donde una organización externa realiza parte de la función o el proceso
de una organización.
Descripción Hemos de tener en cuenta que una organización externa está fuera del alcance del sistema de
gestión, aunque la función o proceso subcontratado está dentro del alcance.
El concepto de externalización queda sumamente claro en su definición. Sin embargo, en este punto se abre la puerta a
tomar como procesos externalizados a todos aquellos que se queden fuera del alcance del SGSI.
Sede Bellavista
• Desempeño Resultado medible
El rendimiento puede relacionarse con resultados cuantitativos o cualitativos.
El rendimiento puede relacionarse con la gestión de actividades, procesos, productos (incluidos servicios), sistemas u
organizaciones.
Descripción El concepto de desempeño en un sistema de gestión es un requisito que nos impone

establecer un sistema para evaluar o medir la salud o efectividad en la consecución de los objetivos previstos. De la
misma manera que un médico establece criterios para evaluar la salud de un paciente en base a unos indicadores
derivados de análisis bioquímicos y medidas sobre parámetros como la presión arterial, un SGSI debe establecer un
sistema de medición para poder evaluar la salud o la eficacia de dicho sistema a la hora de cumplir con los objetivos de
la seguridad de la información.
Con este escenario, se deben definir indicadores significativos para medir el rendimiento en base a una métrica que
evalúe los factores que son clave para el éxito de una organización.
Sede Bellavista
• Desempeño
Descripción
DIFERENCIA ENTRE OBJETIVOS E INDICADORES
Un objetivo es algo que quiere lograr, mientras que un indicador es algo que se usa para verificar si sus esfuerzos lo
están llevando hacia el objetivo definido. Por ejemplo, si el objetivo de Seguridad es alcanzar un nivel de interrupción
menor del 1%, el indicador de nivel de interrupciones lo ayudará a alcanzar y mantener este parámetro en su lugar.
Es importante establecer objetivos que nos ayuden realmente a evaluar cómo se cumplen los objetivos. Es por ello que
la elección de los indicadores tiene una importancia clave a la hora de tener un sistema útil para medir el desempeño y
sea de verdadera ayuda en la toma de decisiones para mejorar
Sede Bellavista
• Desempeño - Descripción
CRITERIOS PARA SELECCIONAR INDICADORES PARA LA SEGURIDAD DE LA INFORMACION
Algunos criterios
Indicadores Relevantes para el negocio:
Para que un indicador sea relevante para el negocio debe ser relevante para los objetivos del negocio. Así que
deberemos buscar entre aquellos parámetros que son importantes en la consecución de los objetivos comerciales,
cumplimiento legal, objetivos de la seguridad de la información etc.
Integrados con los procesos del negocio
La integración con los procesos significa en primer lugar que las actividades para recopilar los datos de los indicadores
sobre la seguridad de la información supone la menor cantidad de trabajo posible, en comparación con las actividades
usuales requeridas propias del proceso del negocio.
Significativos:
El indicador debe ser capaz de identificar los factores relevantes (por ejemplo, pasos del proceso, áreas organizativas,
recursos, etc.) que necesitan atención. Por ejemplo, un indicador relacionado con el número de intentos de inicio de
sesión fallidos define explícitamente la eficacia del proceso de inicio de sesión.
Sede Bellavista
• Política Intenciones y dirección de una organización, según lo expresado formalmente por su alta
dirección
Sede Bellavista
• Proceso Conjunto de actividades interrelacionadas o interactivas que transforman entradas en salidas.
Descripción El enfoque y la definición de procesos es un elemento fundamental en la visión de las normas

ISO y en el establecimiento de un SGSI.
El enfoque de procesos significa que una organización administra y controla los procesos que conforman su
organización, tanto las interacciones entre los procesos y las entradas y las salidas que unen estos procesos.
ISO 27001 promueve el enfoque de procesos para gestionar una organización y requiere que el SGSI considere a la
organización como una serie de procesos interrelacionados. Están interconectados porque la salida de un proceso es a
menudo la entrada a otro proceso.
ISO 27001 introduce el término enfoque de proceso en la Introducción, y se aborda nuevamente en la sección
Liderazgo.
Sede Bellavista
• Proceso
Descripción
¿Qué son los procesos, las entradas y salidas?
Llamamos procesos a un grupo de tareas o actividades organizadas junto con personas, equipos e instalaciones que en
una secuencia especifica producen un servicio o producto. En el contexto de la información los procesos pueden
referirse a las actividades que tratan con información para acceder, tratar, modificar, transmitir o distribuir información.
Un proceso de información utiliza recursos para transformar una información de entrada en una información de salida.
Un enfoque de procesos consiste en considerar como interaccionan los distintos procesos y sus entradas y salidas que
unen estos procesos. La salida de un proceso se convierte en la entrada de otro. Cuando describimos todas las
actividades de una organización en base a procesos la cosa puede complicarse por lo que es recomendable utilizar un
diagrama o diagrama de flujo para permitirle visualizar mejor la relación entrada-salida
Sede Bellavista
• Proceso
Descripción
La norma ISO 27001 está diseñada para gestionar y mejorar los procesos de la seguridad de la información para ello
deberíamos.
1. Identificar los procesos clave de la seguridad de la información.

2. Define cada proceso
3. Establezca como medirá y evaluará el proceso.
4. Determine los objetivos a alcanzar por cada proceso según lo determinen sus mediciones.
5. Establezca como va a evaluar la efectividad de los procesos (periodicidad de las auditorias, procesos de evaluación
etc.) para lograr la mejora continua.
La efectividad de un sistema o una organización vendrá determinada por la efectividad de cada proceso y la
interactividad de estos procesos dentro del sistema. Al establecer objetivos de sobre la seguridad de la información y
auditar la eficacia con la que los procesos cumplen esos objetivos, una organización puede determinar si los procesos
agregan valor o deben mejorarse.
En definitiva, el enfoque de procesos permite a la organización cumplir con los requisitos de la seguridad de la
información y la mejora continua de la misma
Sede Bellavista
• Confiabilidad Propiedad de la conducta y resultados esperados consistentes.
Descripción La confiabilidad es un atributo de cualquier sistema de información (software, hardware o una
red, por ejemplo) que nos garantiza que el sistema en cuestión tiene un desempeño de acuerdo con sus
especificaciones.
La confiabilidad suele ir asociada a otros atributos de un sistema de información como son la disponibilidad y la
capacidad.
En el proceso de toma de decisiones de compra de equipos o sistemas informáticos siempre tendremos en cuenta
estos atributos por lo que la confiabilidad, la disponibilidad y la capacidad de servicio son aspectos importantes para el
diseño en cualquier sistema.
En teoría, un producto confiable está totalmente libre de errores técnicos; en la práctica, sin embargo, los proveedores
normalmente nos dan los valores confiabilidad de un producto como un porcentaje.
En sistemas o aplicaciones software es común tener en cuenta la evolución del producto por las numerosas versiones
durante un período significativo de tiempo. Generalmente se consideran cada vez más confiables, ya que se supone
que los errores se han eliminado en versiones anteriores. Es por ello que la versión estable y confiable de una
aplicación debe siempre tenerse en cuenta antes de realizar una migración o instalación de software
Sede Bellavista
• Requisito Necesidad o expectativa que se declara, generalmente implícita u obligatoria.
"Generalmente implícito" significa que es una práctica habitual o común para la organización y las partes interesadas
que la necesidad o expectativa en cuestión esté implícita.
Un requisito especificado es uno que se establece, por ejemplo, en la necesidad de contar con información
documentada.
Descripción Si una empresa cumple con los requisitos de una norma ISO, se dice que cumple con la norma
ISO. La certificación con ISO 27001 confirma que el negocio sigue las pautas establecidas por ISO 27001 y se puede
utilizar para mejorarla seguridad de la información de su empresa.
Los requisitos para la seguridad de la información establecida en la norma ISO 27001 se pueden utilizar para la mejora
de la imagen o confiabilidad de la organización, para fines de certificación o para asuntos internos de una organización.
Sede Bellavista
• Riesgo Residual Riesgo restante después del tratamiento de riesgo
El riesgo residual puede contener un riesgo no identificado.
El riesgo residual también puede denominarse "riesgo retenido".
Descripción
¿Qué es el riesgo residual?
Dentro de la norma ISO 27001, el riesgo residual es el riesgo que queda después del aplicar los controles de riesgo.
Después de identificar los riesgos procedemos a tratar aquellos riesgos no aceptables minimizando su impacto pero los
riesgos no desaparecen después de tratarlos por lo que algunos riesgos se mantendrán en un cierto nivel, y esto es lo
que son los riesgos residuales
El nivel de riesgo residual nos indicara si el tratamiento de riesgos ha sido suficiente o no.
¿Cómo evaluamos es el riesgo residual?
Los riesgos residuales evalúan de la misma manera que realiza la evaluación de riesgos inicial. Sin embargo, después de
evaluar los riesgos residuales los métodos de mitigación ya no se aplican de la misma forma ya que los riesgos
residuales tendrán unos impactos y una probabilidad de ocurrencia normalmente menor
Sede Bellavista
• Riesgo Residual - Descripción
Tratamiento de riesgos residuales: Nivel aceptable de riesgo
Los riesgos residuales nos permiten evaluar si los tratamientos de riesgos utilizados son realmente eficientes y
suficientes para mitigar el riesgo; La pregunta es: ¿cómo saber qué es suficiente? Aquí es donde entra en juego el
concepto de nivel aceptable de riesgos.
En este punto cada organización debe decidir cuál es su nivel de riesgo aceptable en lo que suele denominarse perfil de
riesgo. La norma ISO 27001 permite que cada empresa decida si tendrá un perfil de riesgo conservador o por el
contrario prefiere operar con un riesgo moderado o incluso alto
En un entorno de riesgo alto está claro que es mucho más probable que ocurra algo por lo que la decisión de trabajar
en estos perfiles de riesgo suele ser más típico en empresas en fases de inicio de operaciones mientras que las
organizaciones maduras prefieren niveles de riesgo más moderados o conservadores.
Sede Bellavista
• Riesgo Residual - Descripción
Gestión de riesgos residuales.
Una vez que se determinan los riesgos residuales ternemos Básicamente tres opciones:
• Si el nivel de riesgo está por debajo del nivel de riesgo aceptable, entonces no hay que hacer nada: simplemente
aceptamos el riesgo dejando constancia de ello.
• Si el nivel de riesgo está por encima del nivel de riesgo aceptable, entonces tendremos que investigar cómo
establecer controles nuevos y mejores a los existentes para el riesgo residual para luego reevaluar los riesgos
residuales.
• Si los costes de mitigar los riesgos residuales son mayores que el impacto que pueden producir, aunque el nivel de
riesgo este por encima del nivel de riesgo aceptable, se debe evaluar la aceptación de dichos riesgos o establecer
medidas alternativas como la transferencia de dichos riesgos mediante pólizas de seguros por ejemplo.
Sede Bellavista
• Revisión Actividad realizada para determinar la idoneidad, adecuación y eficacia de la materia para
alcanzar los objetivos establecidos.
Descripción Este término de “revisión“nos remite a las acciones realizadas para determinar la eficacia en
definitiva de un sistema de gestión de la seguridad de la información SGSI
La eficacia de un sistema de gestión de la seguridad de la información puede determinarse por la relación entre los
resultados obtenidos por el sistema de gestión SGSI y los recursos utilizados. Consideraremos un sistema eficaz de
gestión de la seguridad de la información como un sistema que trae consigo un efecto positivo y contrastable en la
seguridad de la información.
Eficiencia del sistema de gestión de la Seguridad de la Información se refiere a la medida en que se realizan las
actividades planificadas dentro del SGSI y se logran los resultados planificados.
Sede Bellavista
• Revisión - Descripción
Adecuación del sistema de gestión de la Seguridad de la Información:
Es la capacidad de este sistema para cumplir con los requisitos aplicables, especificados por la organización o los
estándares. Por ejemplo, los requisitos pueden ser sobre la ISO 27001, La adecuación significa cumplir con todos
requisitos, ni más, ni menos.
Idoneidad del sistema de Seguridad de la Información:
Es la capacidad o idoneidad de este sistema para cumplir con un propósito definido. Las organizaciones pueden
identificar varios tipos de propósitos u objetivos del sistema de Gestión de la Seguridad de la Información como por
ejemplo, garantizar un nivel máximo de incidencias en la seguridad de la información.
Sede Bellavista
• Revisión - Descripción
Sede Bellavista
• Objeto de Revisión Artículo específico a revisar.
Descripción En un modelo de evaluación del rendimiento o la idoneidad de un SGSI se pueden definir una
seria de factores críticos de evaluación de la cual depende el éxito del sistema. Estos factores pueden componerse a su
vez de indicadores organizados en distintos niveles (Sistema ponderado)
Con un sistema ponderado, la evaluación del rendimiento refleja por un lado los resultados de una investigación
empírica realizada entre profesionales de seguridad de la información acompañados por una valoración ponderada de
los indicadores organizados por niveles.
Objetos de revisión
Normalmente el rendimiento de la seguridad de la información depende principalmente de las medidas dirigidas a

gestionar los riesgos de la información, los empleados y las fuentes de información, mientras que los factores formales
y ambientales tienen un impacto menor.
Los expertos creen que la seguridad de la información debe evolucionar sistemáticamente, donde se recomienda que
los pasos iniciales incluyan la revisión de objetos tales como controles de seguridad técnicos, lógicos y físicos, mientras
que las actividades avanzadas deben relacionar actividades de administración predominantemente estratégicas.
En un modelo ponderado donde se asignan niveles a los objetos de revisión, las organizaciones pueden determinar más
eficazmente el nivel real de rendimiento de la seguridad de la información.
Sede Bellavista
• Objetivo de Revisión Declaración que describe lo que se debe lograr como resultado de una revisión.
Descripción Un objetivo de revisión es la declaración concreta para describir lo que se desea lograr como
organización en relación con la seguridad de la información para un objetivo concreto.
Por ejemplo una organización define como objetivo
"La entrega de un servicio en la nube seguro y confiable para los usuarios y otras partes interesadas con confianza y
seguridad garantizando la que la plataforma es adecuada para el propósito de uso de información confidencial".
Este objetivo debe además definir una serie de objetivos revisables siempre sin exagerar y manteniendo una exigencia
de alto nivel como requiere este objetivo definido
Por ejemplo:
• Objetivo de revisión 1: Tiempo de actividad del sistema con un objetivo del 99,5%
• Objetivo de revisión 2: Nivel de fallos en copias de seguridad =0
• Objetivo de revisión 3: Numero de acciones correctivas sobre fallos del sistema en un año =0
• Etc..
Sede Bellavista
• Riesgo Efecto de la incertidumbre sobre los objetivos
Un efecto es una desviación de lo esperado - positivo o negativo.
La incertidumbre es el estado, incluso parcial, de la deficiencia de la información relacionada, la comprensión o el

conocimiento de un evento, su consecuencia o probabilidad.
Descripción En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de

seguridad de la información se pueden expresar como efecto de la incertidumbre sobre los objetivos de seguridad de la
información.
El riesgo de seguridad de la información está asociado con la posibilidad de que las amenazas aprovechen las
vulnerabilidades de un activo de información o grupo de activos de información y, por lo tanto, causen daños a una
organización.
Sede Bellavista
• Aceptación del Riesgo
Decisión informada de tomar un riesgo particular
La aceptación del riesgo puede ocurrir sin tratamiento de riesgo o durante el proceso del tratamiento de riesgo.
Los riesgos aceptados están sujetos a monitoreo y revisión

Sede Bellavista
• Análisis de Riesgo
Proceso para comprender la naturaleza del riesgo y para determinar el nivel de riesgo
El análisis de riesgos proporciona la base para la evaluación de riesgos y las decisiones sobre el tratamiento de riesgos
El análisis de riesgos incluye la estimación de riesgos.

Sede Bellavista
• Evaluación de Riesgos Proceso global de identificación de riesgos, análisis de riesgos y evaluación de
riesgos.
Sede Bellavista
• Comunicación y Consulta de riesgos Conjunto de procesos continuos e iterativos que una
organización lleva a cabo para proporcionar, compartir u obtener información, y para dialogar con las partes
interesadas con respecto a la gestión de riesgos.
Descripción Actualmente el posible impacto del riesgo tiene mucho que ver con la comunicación del
riesgo ya que las expectativas de las partes interesadas, el público en general, los clientes y las entidades regulatorias
pueden significar un factor tremendamente importante en la gestión de una crisis en la seguridad de la información
Cuando ocurre una crisis en la seguridad de la información puede ser como un auténtico maremoto que ponga patas
arriba cualquier forma de trabajo causando una pérdida de control de la situación donde la imagen de la empresa y su
credibilidad con los clientes puede sufrir un colapso si no se maneja la situación desde un plan de comunicaciones que
permita actuar bajo unas premisas previamente establecidas para minimizar el impacto de la crisis.
Además ciertos riesgos para la seguridad de la información aunque no supongan una crisis deben, cuando se
materializan, deben ser convenientemente comunicados a las autoridades o a los afectados según corresponda tanto
para cumplir con los requisitos legales como para anticiparse a consecuencias no deseadas y garantizar los derechos de
los afectados así como para manifestar la preocupación y seriedad de su organización
Lo que está claro es que una buena comunicación es clave en cualquier evento sobre la seguridad de la información,
tanto internamente como, en términos de relacionarse con aquellos con un interés en su organización, y tener planes
de comunicación listos para enfrentar dificultades.
Una segunda razón es que la buena comunicación es una parte esencial de la buena formulación de políticas en su
sentido más amplio, incluida la implementación y la planificación operativa..
Sede Bellavista
• Criterios de Riesgos
Términos de referencia contra los cuales se evalúa la importancia del riesgo
Los criterios de riesgo se basan en los objetivos de la organización, el contexto externo y el contexto interno
Los criterios de riesgo pueden derivarse de normas, leyes, políticas y otros requisitos.
Sede Bellavista
• Evaluación de Riesgos
Proceso de comparar los resultados del análisis de riesgo con los criterios de riesgo para determinar si el riesgo y / o su
magnitud es aceptable o tolerable
La evaluación de riesgos ayuda en la decisión sobre el tratamiento de riesgos.

Sede Bellavista
• Identificación de Riesgos
Proceso de búsqueda, reconocimiento y descripción de riesgos
La identificación del riesgo implica la identificación de las fuentes de riesgo, los eventos sus causas y sus posibles
consecuencias
La identificación del riesgo puede incluir datos históricos, análisis teóricos, opiniones informadas y de expertos, y las
necesidades de los interesados.
Sede Bellavista
• Gestión de Riesgos Actividades coordinadas para dirigir y controlar una organización con respecto al
riesgo.
Sede Bellavista
• Proceso de Gestión de Riesgos
Aplicación sistemática de políticas de gestión procedimientos y prácticas a las actividades de comunicación, consulta,
establecimiento del contexto e identificación, análisis, evaluación, tratamiento, seguimiento y revisión de riesgos
ISO / IEC 27005 utiliza el término "proceso" para describir la gestión de riesgos en general. Los elementos dentro del
proceso de gestión de riesgos se conocen como "actividades".
Sede Bellavista
• Propietario de Riesgos Persona o entidad con la responsabilidad y autoridad para gestionar un riesgo.
Sede Bellavista
• Tratamiento de Riesgos
Proceso para modificar riesgo
El tratamiento del riesgo puede involucrar:
• Evitar el riesgo al decidir no comenzar o continuar con la actividad que genera el riesgo;
• Tomar o aumentar el riesgo para buscar una oportunidad;
• Eliminar la fuente de riesgo;
• Cambiando la probabilidad
• Cambiando las consecuencias
• Compartir el riesgo con otra parte o partes (incluidos los contratos y la financiación del riesgo);
• Retener el riesgo por elección informada.
Sede Bellavista
• Estándar de Implementación de Seguridad Documento que especifica formas autorizadas para
realizar la seguridad..
Descripción Dentro de los posibles estándares para la seguridad de la información, la Organización

Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) han desarrollado una serie de
normas conocidas como la serie 27000 que se ha convertido en una referencia reconocida mundialmente para las
mejores prácticas en materia de seguridad de la información
La norma de referencia y la base de todas las normas ISO 27000 es la norma ISO / IEC 27001 también conocida como
ISO 27001. Esta norma establece los requisitos para que el sistema de gestión de seguridad de la información (SGSI) de
una organización pueda ser auditado y certificado.
La certificación ISO 27001 permite a las organizaciones demostrar que cumplen con los requisitos legislativos y
reglamentarios relacionados con la seguridad de la información.
Además ISO 27001 acredita que una organización ha implementado un sistema para asegurar y proteger datos
confidenciales, personales y confidenciales.
ISO 27001 nos proporciona el entorno adecuado y reconocido internacionalmente para proteger su información a
través de un método efectivo, prácticas de auditoría y pruebas, procesos organizativos y programas de concientización
del personal.
Sede Bellavista
• Amenaza Causa potencial de un incidente no deseado, que puede causar daños a un sistema u
organización.
Descripción Una amenaza, en el contexto de la seguridad de la información, se refiere a cualquier cosa

que pueda causar un daño grave a un sistema de información. Una amenaza es algo que puede o no puede ocurrir,
pero tiene el potencial de causar daños graves. Las amenazas pueden provocar ataques a sistemas informáticos, redes,
instalaciones etc.
Una amenaza potencial siempre está asociada a una vulnerabilidad propia del sistema de información. Una amenaza
por tanto pone en riesgo nuestro sistema de información debido a una vulnerabilidad del sistema. Como las amenazas
no pueden evitarse nuestra única opción será intentar corregir o disminuir lo más posible nuestras vulnerabilidades
para que los atacantes no puedan infiltrarse en el sistema y causar daños.
Las amenazas pueden incluir desde virus, troyanos, puertas traseras hasta ataques directos de piratas informáticos. A
menudo, el término amenaza combinada es más preciso, ya que la mayoría de las amenazas involucran múltiples
causas. Por ejemplo, un pirata informático podría usar un ataque de “phishing - robo de datos para suplantacion de
identidad ”, para obtener información sobre una red y posteriormente entrar de forma fraudulenta en dicha red.
Sede Bellavista
• Alta Dirección
Persona o grupo de personas que dirige y controla una organización (3.50) al nivel más alto
La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización.
Si el alcance del sistema de gestión cubre solo parte de una organización, la alta gerencia se refiere a aquellos que
dirigen y controlan esa parte de la organización.
La alta dirección a veces se llama administración ejecutiva y puede incluir a los directores ejecutivos, los directores
financieros, los directores de información y otros cargos similares.
Sede Bellavista
• Entidad de Comunicación de Información Confiable Organización autónoma que apoya el
intercambio de información dentro de una comunidad de intercambio de información.
Descripción Un sistema o entidad confiable es aquella en que se confía en una medida específica para
hacer cumplir una política de seguridad específica. En otras palabras
Esto equivale a decir que un sistema de confianza es aquel cuyo fallo rompería una política de seguridad (si existe una
política en la que el sistema de confianza es confiable).
Sede Bellavista
• Vulnerabilidad Debilidad de un activo o control que puede ser explotado por una o más amenazas.
Descripción Vulnerabilidad en el contexto de la seguridad de sistemas de la información puede ser un fallo
en un sistema que puede dejarlo accesible a los atacantes. Una vulnerabilidad también puede referirse a cualquier tipo
de debilidad en el propio sistema de información, o a un conjunto de procedimientos o a cualquier cosa que deje la
seguridad de la información expuesta a una amenaza.
Los usuarios o el personal encargado de una red pueden proteger los sistemas de las vulnerabilidades manteniendo
actualizados los parches de seguridad del software. El personal mismo puede ser una vulnerabilidad al no mantenerse
informado sobre las amenazas y las políticas para prevenirlas, o no si no las pone en práctica.
Sede Bellavista
Resumen de la Clase
• Se identifico identificaron las definiciones de la de la ISO 27000

Sede Bellavista
Términos
y
Definiciones
ISO 27000

SI - Terminos y Definiciones ISO 27000

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SI - Terminos y Definiciones ISO 27000

Cargado por

Copyright:

Formatos disponibles

Escuela de Tecnologías de la información y Comunicaciones

• Identificar términos y definiciones de la ISO 27000.

• Identificar definiciones de la de la ISO 27000

La referencia normativa la norma ISO / IEC 27000: 2018 tecnología de la información –

ISO 27000 Términos y Definiciones

El control de acceso es una forma de limitar el acceso a un sistema o a recursos físicos o

ISO 27000 Términos y Definiciones

Ataque Intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no

ISO 27000 Términos y Definiciones

Auditoría Proceso sistemático, independiente y documentado para obtener

Las auditorias pueden ser internas o externas.

Los conceptos de "Evidencia de auditoría" y "criterios de auditoría" se definen en ISO 19011

ISO 27000 Términos y Definiciones

ISO 27000 Términos y Definiciones

ISO 27000 Términos y Definiciones

• Alcance de Auditoría Alcance y límites de una auditoría.

• Autenticación Garantía de que una característica reivindicada de una entidad es

Descripción En el contexto de los sistemas informáticos, la autenticación es un proceso que

ISO 27000 Términos y Definiciones

• Autenticidad Propiedad que una entidad es lo que dice ser.

Descripción La autenticidad es la seguridad de que un mensaje, una transacción u otro intercambio de

• Disponibilidad Propiedad de ser accesible y utilizable a solicitud de una entidad autorizada.

Descripción La disponibilidad, en el contexto de los sistemas de información se refiere a la capacidad de

ISO 27000 Términos y Definiciones

ISO 27000 Términos y Definiciones

Descripción en el mundo interconectado y moderno se revela como algo absolutamente necesario,

• Confidencialidad Propiedad por la que la información no se pone a disposición o se divulga a personas,

ISO 27000 Términos y Definiciones

• Conformidad Cumplimiento de un requisito.

Descripción La conformidad es el “cumplimiento de un requisito”. Hay muchos tipos de requisitos. Existen

ISO 27000 Términos y Definiciones

• Consecuencia Resultado de un evento que afecta a los objetivos.

EVENTOS Un evento en la seguridad de la información es un cambio en las operaciones diarias de una

ISO 27000 Términos y Definiciones

• Mejora Continua Actividad recurrente para mejorar el rendimiento.

ISO 27000 Términos y Definiciones

• Control Medida que modifica un riesgo.

Descripción Los controles de seguridad son medidas de seguridad técnicas o administrativas

ISO 27000 Términos y Definiciones

• En la planificación del sistema se establecen los objetivos

Descripción Una no conformidad es cualquier incumplimiento de un requisito.

A la hora de reaccionar ante una no conformidad podemos tomar acciones para:

• Corregir una no conformidad tratando las consecuencias inmediatas

• Al sistema de gestión y sus procesos

• Un evento puede ser repetitivo y puede tener varias causas.

El contexto externo puede incluir :

Lista simple de factores, que luego pueden desarrollarse:

Descripción El gobierno de la seguridad de la información es la estrategia de una empresa para reducir el

Las actividades de gobierno de la seguridad implican el desarrollo, la planificación, la evaluación y la mejora de la

El desarrollo y el mantenimiento de la gobernanza de la seguridad de la información pueden requerís la realización de

El gobierno de la seguridad de la información también se refiere a la estrategia de la empresa para reducir la

Descripción En el caso de la seguridad de la información el órgano rector será el responsable del

Descripción La seguridad de la información como vemos tiene por objetivo la protección de la

La confidencialidad, la integridad y la disponibilidad a veces se conocen como la tríada de seguridad de la información

Descripción El termino continuidad de la seguridad de la información se utiliza dentro de la norma ISO

Descripción Podríamos considerar como un evento en la seguridad de la información a cualquier cambio

Descripción Normalmente la persona que se ocupa de implementar el SGSI dentro de la empresa es

• Definición y supervisión del Sistema de Gestión de Seguridad de la Información.

• CIO, CISO, CSO

Descripción Cuando hablamos de sistemas de Información nos referimos un conjunto de equipos

Según el nivel de la información los sistemas de información se pueden clasificar en:

• Sistemas de soporte de operaciones, incluidos los sistemas de procesamiento de transacciones. (decisiones

En cuanto al tipo de datos o conocimiento almacenado podemos clasificarlos en

• Sistemas de transacciones de datos (Datos básicos)