GESTIÓN DE RIESGO Y

CONTROL INFORMÁTICO
U1 Introducción a la norma

S1 Introducción a la familia de la norma ISO 27000,

Términos y definiciones
 S1| Introducción a la familia de la norma
ISO 27000, Términos y definiciones

ÍNDICE

►La norma ISO 27000 3

Índice S1| Introducción a la familia de la norma
ISO 27000, Términos y definiciones

LA NORMA ISO 27000

Es un conjunto de estándares inter- directivas generales para su correcta

nacionales aplicados a la seguridad de implementación.
la información. Contiene un conjunto
de buenas prácticas que permiten una ► 27004: esta guía entrega recomen-
correcta implementación de un sistema de daciones para realizar las mediciones
gestión de la seguridad de la información. para la SI. Explica cómo configurar
La familia 27000 contiene varias normas, métricas, qué medir, con qué frecuencia
algunas de ellas son: y cómo lograr los objetivos.

► 27001: se basa en una gestión de la ► 27005: en esta se hacen recomen-

seguridad en forma continua, iden- daciones sobre la forma correcta
tificando los riesgos que se puedan de abordar la gestión de riesgos de
presentar permanentemente en el seguridad de la información. Incluye
tiempo. Esta norma es certificable y ejemplos de posibles amenazas,
está basada en el ciclo de mejora con- vulnerabilidades e impactos.
tinua y un anexo A, los cuales permiten
detallar las líneas generales de los ► 27006: es un conjunto de requisitos
diferentes controles que se proponen. de acreditación de las organizaciones
certificadoras.
► 27002: es la recopilación de buenas
prácticas para la seguridad de la ► 27007: propone una guía para imple-
información (SI), en la que se describe mentar auditorías SGSI; permite
los controles y objetivos. Se divide en establecer cómo, cuándo y dónde
14 dominios, 35 objetivos de control y auditar; y permite asignar el personal
114 controles. idóneo, las actividades claves, la
planificación y la ejecución.
► 27003: esta guía ayuda a la imple-
mentación de un SGSI. Es apoyo ► 27008: esta norma guía la auditoría
a la norma 27001, pues da las de los controles seleccionados en el
 S1| Introducción a la familia de la norma
Índice
ISO 27000, Términos y definiciones

marco de implantación de un SGSI. Teniendo claro en qué consiste cada una

No es certificable. de las normas contenidas en la ISO 27000,
vamos a estudiar los términos y definiciones:
► 27009: el documento explica cómo
refinar e incluir requisitos adicionales ► Control de acceso: en sistemas de la
a los de la norma ISO/IEC 27001 información, es un proceso por medio
y cómo incluir controles o conjuntos del cual los usuarios obtienen acceso y
de control adicionales a los del privilegios dependiendo de su rol, a los
anexo A. sistemas, recursos o información.

► 27010: esta regulación ofrece una ► Ataque: destruir, exponer, alterar, des-
guía para la gestión de la seguridad habilitar, robar u obtener acceso no
de la información cuando se comparte autorizado o hacer un uso no autorizado
entre organizaciones o sectores. de un activo.

► 27011: guía de interpretación ► Auditoría: es un proceso sistemático,

de la implementación y gestión de independiente y documentado, que
la seguridad de la información en permite obtener evidencia de audi-
organizaciones del sector de tele- toría y evaluarla para determinar hasta
comunicaciones basada en ISO/IEC qué punto se cumplen los criterios
27002. de auditoría.

► 27013: es una guía de implementación ► Autenticación: un proceso que garan-

en la que se integra la norma ISO/IEC tiza y confirma la identidad de un
27001:2005 (gestión de seguridad usuario. La autenticación es uno de los
de la información) y la norma ISO/IEC pilares de la S.I, junto a la integridad,
20000-1 (gestión de servicios TI). disponibilidad, y confidencialidad.

► 27014: ofrece una guía de gobierno ► Autenticidad: es cuando un mensaje,

corporativo de la seguridad de la una transacción u otro intercambio
información, la ciberseguridad y de información proviene de la
privacidad. fuente de la que afirma ser, implica
prueba de identidad.
En el siguiente enlace, puede
encontrar la totalidad de las normas ► Disponibilidad: se refiere a la capa-
que componen la norma ISO 7000 cidad de un usuario para acceder a
información o Recursos de manera
https://www.iso27000.es/iso27000.html correcta y ágil.

4
 S1| Introducción a la familia de la norma
Índice
ISO 27000, Términos y definiciones

► Confidencialidad: propiedad por la ► Acción correctiva: es toda acción

que la información No se divulga a
personas, entidades o procesos no
autorizados.
► Conformidad: cumplimiento de los
requisitos.
► No conformidad: falta de cumpli-
miento de los requisitos. Una no
conformidad es una desviación de
una especificación, un estándar o una ► Evento: algo que sucede trayendo
expectativa.
► Consecuencia: es todo cambio
dentro las operaciones diarias de ► Gobernanza de la seguridad de la
una red o servicio de tecnología de la
información, es un indicador que una
política de seguridad puede haber
sido violada o que un control de
seguridad puede haber fallado.
tomada para evitar la repetición de
una no conformidad mediante la iden-
tificación y control de las causas que
la provocaron.
► Efectividad: señala en qué medida
se implementan las actividades pla-
nificadas y se logran los resultados
planificados.
implicaciones de seguridad a la
información.
información: implica el diseño, pla-
nificación, evaluación y mejora de la
gestión de riesgos, para la seguridad
de la información y las políticas de
seguridad de una organización.

► Mejora continua: permite identificar ► Necesidad de información: cono-

y realizar cambios enfocados en con- cimiento necesario para gestionar
seguir la mejora del rendimiento y objetivos, riesgos y problemas.
resultados de una organización.
► Instalaciones de procesamiento
► Control: son las diferentes medidas de de información: cualquier sistema de
seguridad, técnicas o administrativas, procesamiento de información, servicio
implementadas para contrarrestar o o infraestructura, o la ubicación física
minimizar la pérdida o falta de dis- que lo alberga.
ponibilidad debido a las amenazas
que actúan por una vulnerabilidad ► Seguridad de la información: es la
asociada a la amenaza. preservación de la confidencialidad,
integridad y disponibilidad de la infor-
► Corrección: es toda acción que se mación, además de la autenticidad,
toma para eliminar una no confor- la responsabilidad, el no repudio
midad detectada. y la confiabilidad.

5
 S1| Introducción a la familia de la norma
Índice
ISO 27000, Términos y definiciones

► Continuidad de la seguridad de la uno o más procesos del sistema de

información: procesos y acciones, administración de seguridad de la
para garantizar la continuidad de información dentro de los diferentes
las operaciones de seguridad de la sistemas.
información.
► Sistema de información: con-
► Evento de seguridad de la junto de aplicaciones, servicios,
información: ocurrencia identificada activos de tecnología de la información
de un sistema, servicio o estado de u otros componentes de manejo de
red, que indica el incumplimiento información.
de una de las políticas de seguridad de
la información o falla de los controles ► Integridad: se refiere a la exactitud,
o una situación desconocida que la ausencia de alteración cuando se
puede ser relevante para la seguridad. realice cualquier tipo de operación
con los datos, lo que significa que
► Incidente de seguridad de los datos permanecen intactos y sin
la información: un evento o una cambios.
serie de eventos de seguridad de la
información, inesperados que tienen ► Nivel de riesgo: es el resultado de
una probabilidad significativa de com- calcular el riesgo como una forma
prometer amenazar la seguridad de la de ponderar ante una determinada
información. amenaza.

► Gestión de incidentes de segu- Nivel de riesgo = probabilidad

ridad de la información: conjunto (de un evento de interrupción)
de procesos para detectar, informar, × pérdida (relacionada con la
evaluar, responder, tratar y aprender ocurrencia del evento)
de los incidentes de seguridad de la
información que se puedan presentar ► Probabilidad: posibilidad de que un
dentro de los procesos. suceso de concrete dentro de un sis-
tema de información.
► Profesional sistema de gestión de
seguridad de la información (SGSI): ► Frecuencia: es el parámetro que
persona que establece, implementa, mide la probabilidad de que ocurra
mantiene y mejora continuamente un evento dentro de un intervalo de

6
 S1| Introducción a la familia de la norma
Índice
ISO 27000, Términos y definiciones

tiempo en el que ocurrirán eventos real que resulte en una pérdida para
similares. la empresa.

► Sistema de gestión: conjunto de ► Riesgo residual: son los

elementos interrelacionados de una peligros que persisten, aun después
organización, que permite establecer de haber implementado todos los
las políticas y procesos para alcanzar controles y medidas de prevención
los objetivos. respecto de los riesgos inherentes del
sistema.
► Monitoreo: es una inspección con-
tinua del desempeño del proceso, ► Aceptación de un riesgo: se da
objetivo o alcance definido. cuando la gravedad del riesgo es tan
baja que no se tomará ninguna acción
► Medición: método para definir obje- a menos que el mismo suceda. Este
tivamente una medida cuantitativa o es un tipo de riesgo que uno elige
cualitativa. aceptar.

► Análisis: conjunto de técnicas para ► Análisis del riesgo: permite iden-

examinar los posibles riesgos que se tificar las amenazas y vulnerabilidades
pueden presentar. de un sistema, con el objetivo de
generar controles que minimicen los
► Evaluación: la acción de comparar efectos de los riesgos, determinado,
un proceso respecto a los esperado. qué o cuáles activos proteger, de qué
o de quién hay que protegerlos y
► No repudio: es la capacidad de cómo hacerlo.
demostrar la participación de las
partes (origen y destino, emisor y ► Evaluación del riesgo: proceso
receptor, remitente y destinatario), que comprende la identificación
mediante su identificación, en una de activos informáticos, vulnerabi-
comunicación o en la realización de lidades y amenazas, a los que se
una determinada acción. encuentran expuestos, la probabilidad
de ocurrencia y el impacto de estas.
► Confiabilidad: es la probabilidad de
que un sistema se comporte tal y ► Vulnerabilidad: debilidad o fallo
como se espera de él. en un sistema de información que
pone en riesgo la seguridad de la
► Riesgo: es la probabilidad que una información pudiendo permitir que
amenaza, se convierta en un evento un atacante pueda comprometer

7
 S1| Introducción a la familia de la norma
Índice
ISO 27000, Términos y definiciones

la integridad, disponibilidad o con- ► Identificación de riesgo: pro-

fidencialidad de esta, por lo que es ceso de búsqueda, reconocimiento
necesario encontrarlas y eliminarlas. y descripción de riesgos, permite la
identificación de las fuentes de riesgo,
► Amenaza: causa potencial de un inci- los eventos sus causas y sus posibles
dente no deseado, que puede causar consecuencias, puede incluir datos
daños a un sistema u organización. históricos, análisis teóricos, opiniones
informadas y de expertos, y las nece-
► Criterios de riesgo: términos de sidades de los interesados.
referencia contra los cuales se evalúa
la importancia del riesgo, estos se ► Gestión de riesgos: actividades
basan en los objetivos de la organi- coordinadas para dirigir y controlar el
zación, pueden derivarse de normas, riesgo que se pueda presentar dentro
leyes, políticas y otros requisitos. de los sistemas u organizaciones.