Vous êtes sur la page 1sur 13

A

Accin correctiva
(Ingls: Corrective action). Accin para eliminar la causa de una no conformidad y
prevenir su repeticin. Va ms all de la simple correccin.
Accin preventiva
(Ingls: Preventive action). Medida de tipo pro-activo orientada a prevenir
potenciales no conformidades. Es un concepto de ISO 27001:2005. En ISO
27001:2013, ya no se emplea; ha quedado englobada en Riesgos y Oportunidades.
Accreditation body
Vase: Entidad de acreditacin.
Aceptacin del riesgo
(Ingls: Risk acceptance). Decisin informada de asumir un riesgo concreto.
Activo
(Ingls: Asset). En relacin con la seguridad de la informacin, se refiere a
cualquier informacin o elemento relacionado con el tratamiento de la misma
(sistemas, soportes, edificios, personas...) que tenga valor para la organizacin.
Alcance
(Ingls: Scope). mbito de la organizacin que queda sometido al SGSI.
Amenaza
(Ingls: Threat). Causa potencial de un incidente no deseado, que puede provocar
daos a un sistema o a la organizacin.
Anlisis de riesgos
(Ingls: Risk analysis). Proceso para comprender la naturaleza del riesgo y
determinar el nivel de riesgo.
Anlisis de riesgos cualitativo
(Ingls: Qualitative risk analysis). Anlisis de riesgos en el que se usa algn tipo de
escalas de valoracin para situar la gravedad del impacto y la probabilidad de
ocurrencia.
Anlisis de riesgos cuantitativo
(Ingls: Quantitative risk analysis). Anlisis de riesgos en funcin de las prdidas
financieras que causara el impacto.
Asset
Vase: Activo.
Assets inventory
Vase: Inventario de activos.
Audit
Vase: Auditora.
Auditor
(Ingls: Auditor). Persona encargada de verificar, de manera independiente, el
cumplimiento de unos determinados requisitos.
Auditor de primera parte
(Ingls: First party auditor). Auditor interno que audita la organizacin en nombre
de ella misma.
Auditor de segunda parte

(Ingls: Second party auditor). Auditor que audita una organizacin en nombre de
otra. Por ejemplo, cuando una empresa audita a su proveedor de outsourcing, o
cuando una administracin pblica ordena una auditoria de una empresa.
Auditor de tercera parte
(Ingls: Third party auditor). Auditor que audita una organizacin en nombre de una
tercera parte independiente que emite un certificado de cumplimiento.
Auditor Lder
(Ingls: Lead auditor). Auditor responsable de asegurar la conduccin y realizacin
eficiente y efectiva de la auditora, dentro del alcance y del plan de auditora
acordado.
Auditora
(Ingls: Audit). Proceso sistemtico, independiente y documentado para obtener
evidencias de auditora y evaluarlas objetivamente para determinar el grado en el
que se cumplen los criterios de auditora.
Autenticacin
(Ingls: Authentication). Provisin de una garanta de que una caracterstica
afirmada por una entidad es correcta.
Autenticidad
(Ingls: Authenticity). Propiedad de que una entidad es lo que afirma ser.
Authentication
Vase: Autenticacin.
Availability
Vase: Disponibilidad.
B
BS 7799
Norma britnica de seguridad de la informacin, publicada por primera vez en 1995.
En 1998, fue publicada la segunda parte. La parte primera era un conjunto de
buenas prcticas para la gestin de la seguridad de la informacin -no certificable- y
la parte segunda especificaba el sistema de gestin de seguridad de la informacin
-certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte
segunda de ISO 27001. Como tal estndar, ha sido derogado ya, por la aparicin de
stos ltimos.
BSI
British Standards Institution, la entidad de normalizacin del Reino Unido,
responsable en su da de la publicacin de la norma BS 7799, origen de ISO 27001.
Su funcin como entidad de normalizacin es comparable a la de AENOR en
Espaa.
Business Continuity Plan
Vase: Plan de continuidad del negocio.
C
Certification body
Vase: Entidad de certificacin.
CIA

Vase: CID. Acrnimo ingls de confidentiality, integrity y availability, las


dimensiones bsicas de la seguridad de la informacin.
CID
(Ingls: CIA). Acrnimo espaol de confidencialidad, integridad y disponibilidad,
las dimensiones bsicas de la seguridad de la informacin.
CISA
Certified Information Systems Auditor. Es una acreditacin ofrecida por ISACA.
CISM
Certified Information Security Manager. Es una acreditacin ofrecida por ISACA.
CISSP
Certified Information Systems Security Professional. Es una acreditacin ofrecida
por ISC2.
Checklist
Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros
los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su
continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo.
Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para
facilitar su desarrollo.
Clear desk policy
Vase: Poltica de escritorio despejado.
CobiT
Control Objectives for Information and related Technology. Publicados y
mantenidos por ISACA. Su misin es investigar, desarrollar, publicar y promover
un conjunto de objetivos de control de Tecnologa de Informacin rectores,
actualizados, internacional y generalmente aceptados para ser empleados por
gerentes de empresas y auditores.
Compromiso de la Direccin
(Ingls: Management commitment). Alineamiento firme de la Direccin de la
organizacin con el establecimiento, implementacin, operacin, monitorizacin,
revisin, mantenimiento y mejora del SGSI. La versin de 2013 de ISO 27001 lo
engloba bajo la clusula de Liderazgo.
Confidencialidad
(Ingls: Confidentiality). Propiedad de la informacin de no ponerse a disposicin o
ser revelada a individuos, entidades o procesos no autorizados.
Confidentiality
Vase: Confidencialidad.
Contramedida
(Ingls: Countermeasure). Vase: Control.
Control
Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por debajo del
nivel de riesgo asumido. Control es tambin utilizado como sinnimo de
salvaguarda o contramedida. En una definicin ms simple, es una medida que
modifica el riesgo.
Control correctivo

(Ingls: Corrective control). Control que corrige un riesgo, error, omisin o acto
deliberado antes de que produzca prdidas relevantes. Supone que la amenaza ya se
ha materializado pero que se corrige.
Control detectivo
(Ingls: Detective control). Control que detecta la aparicin de un riesgo, error,
omisin o acto deliberado. Supone que la amenaza ya se ha materializado, pero por
s mismo no la corrige.
Control disuasorio
(Ingls: Deterrent control). Control que reduce la posibilidad de materializacin de
una amenaza, p.ej., por medio de avisos o de medidas que llevan al atacante a
desistir de su intencin.
Control preventivo
(Ingls: Preventive control). Control que evita que se produzca un riesgo, error,
omisin o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
Control selection
Vase: Seleccin de controles.
Correccin
(Ingls: Correction). Accin para eliminar una no conformidad detectada. Si lo que
se elimina es la causa de la no conformidad, vase accin correctiva.
Correction
Vase: Correccin.
Corrective action
Vase: Accin correctiva.
Corrective control
Vase: Control correctivo.
Countermeasure
Contramedida. Vase: Control.
D
Declaracin de aplicabilidad
(Ingls: Statement of Applicability; SOA). Documento que enumera los controles
aplicados por el SGSI de la organizacin -tras el resultado de los procesos de
evaluacin y tratamiento de riesgos- y su justificacin, as como la justificacin de
las exclusiones de controles del anexo A de ISO 27001.
Desastre
(Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que
interrumpe las operaciones o servicios habituales de una organizacin durante el
tiempo suficiente como para verse la misma afectada de manera significativa.
Detective control
Vase: Control detectivo.
Deterrent control
Vase: Control disuasorio.
Directiva o directriz
(Ingls: Guideline). Una descripcin que clarifica qu debera ser hecho y cmo,
con el propsito de alcanzar los objetivos establecidos en las polticas.
Disaster

Vase: Desastre.
Disponibilidad
(Ingls: Availability). Propiedad de la informacin de estar accesible y utilizable
cuando lo requiera una entidad autorizada.
DRII
Instituto Internacional de Recuperacin de Desastres.
DTI
Secretara de Industria y Comercio del Reino Unido. Edita muchas guas prcticas
en el mbito de la seguridad de la informacin.
E
ENAC
Entidad Nacional de Acreditacin. Es el organismo espaol de acreditacin,
auspiciado por la Administracin, que acredita organismos que realizan actividades
de evaluacin de la conformidad, sea cual sea el sector en que desarrollen su
actividad. Adems de laboratorios, entidades de inspeccin, etc., tambin acredita a
las entidades de certificacin, que son las que a su vez certificarn a las empresas en
las diversas normas.
Entidad de acreditacin
(Ingls: Accreditation body). Un organismo oficial que acredita a las entidades
certificadoras como aptas para certificar segn diversas normas. Suele haber una por
pas. Son ejemplos de entidades de acreditacin: ENAC (Espaa), UKAS (Reino
Unido), EMA (Mxico), OAA (Argentina), etc. En nuestra seccin Normalizacin y
Acreditacin figuran todas las de pases de habla hispana.
Entidad de certificacin
(Ingls: Certification body). Una empresa u organismo acreditado por una entidad
de acreditacin para auditar y certificar segn diversas normas (ISO 27001, ISO
9001, ISO 14000, etc.) a empresas usuarias de sistemas de gestin.
Entidad de normalizacin
(Ingls: Standards body). Un organismo oficial que genera y publica normas. Suele
haber una por pas. Son ejemplos de entidades de normalizacin: AENOR (Espaa),
BSI (Reino Unido), DGN (Mxico), IRAM (Argentina), etc. En nuestra seccin
Normalizacin y Acreditacin figuran todas las de pases de habla hispana.
Estimacin de riesgos
(Ingls: Risk evaluation). Proceso de comparar los resultados del anlisis de riesgos
con los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable
o tolerable.
Evaluacin de riesgos
(Ingls: Risk assessment). Proceso global de identificacin, anlisis y estimacin de
riesgos.
Evidencia objetiva
(Ingls: Objective evidence). Informacin, registro o declaracin de hechos,
cualitativa o cuantitativa, verificable y basada en observacin, medida o test, sobre
aspectos relacionados con la confidencialidad, integridad o disponibilidad de un
proceso o servicio o con la existencia e implementacin de un elemento del sistema
de gestin de seguridad de la informacin.

F
Fase 1 de auditora
(Ingls: Stage 1 Audit). Etapa de la auditora de primera certificacin en la que,
fundamentalmente a travs de la revisin de documentacin, se analiza en SGSI en
el contexto de la poltica de seguridad de la organizacin, sus objetivos, el alcance,
la evaluacin de riesgos, la declaracin de aplicabilidad y los documentos
principales, estableciendo un marco para planificar la fase 2.
Fase 2 de auditora
(Ingls: Stage 2 Audit). Etapa de la auditora de primera certificacin en la que se
comprueba que la organizacin se ajusta a sus propias polticas, objetivos y
procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que est
siendo eficaz.
First party auditor
Vase: Auditor de primera parte.
G
Gestin de claves
(Ingls: Key management). Controles referidos a la gestin de claves criptogrficas.
Gestin de incidentes de seguridad de la informacin
(Ingls: Information security incident management). Procesos para detectar,
reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la
informacin.
Gestin de riesgos
(Ingls: Risk management). Actividades coordinadas para dirigir y controlar una
organizacin con respecto al riesgo. Se compone de la evaluacin y el tratamiento
de riesgos.
Guideline
Vase: Directiva.
H
Humphreys, Ted
Experto en seguridad de la informacin y gestin del riesgo, considerado "padre" de
las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
I
Identificacin de riesgos
(Ingls: Risk identification). Proceso de encontrar, reconocer y describir riesgos.
IEC
International Electrotechnical Commission. Organizacin internacional que publica
estndares relacionados con todo tipo de tecnologas elctricas y electrnicas.
IIA
Instituto de Auditores Internos.
Impacto

(Ingls: Impact). El coste para la empresa de un incidente -de la escala que sea-, que
puede o no ser medido en trminos estrictamente financieros -p.ej., prdida de
reputacin, implicaciones legales, etc-.
Impact
Vase: Impacto.
Incidente de seguridad de la informacin
(Ingls: Information security incident). Evento nico o serie de eventos de seguridad
de la informacin inesperados o no deseados que poseen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad
de la informacin.
Information processing facilities
Vase: Recursos de tratamiento de informacin.
Information security
Vase: Seguridad de la informacin.
Information security incident
Vase: Incidente de seguridad de la informacin.
Information security incident management
Vase: Gestin de incidentes de seguridad de la informacin.
Information Security Management System (ISMS)
Vase: Sistema de Gestin de Seguridad de la Informacin (SGSI).
Integridad
(Ingls: Integrity). Propiedad de la informacin relativa a su exactitud y
completitud.
Integrity
Vase: Integridad.
Interested party
Vase: Parte interesada.
Inventario de activos
(Ingls: Assets inventory). Lista de todos aquellos recursos (fsicos, de informacin,
software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del
SGSI, que tengan valor para la organizacin y necesiten por tanto ser protegidos de
potenciales riesgos.
IRCA
International Register of Certified Auditors. Acredita a los auditores de diversas
normas, entre ellas ISO 27001.
ISACA
Information Systems Audit and Control Association. Publica CobiT y gestiona
diversas acreditaciones personales en el mbito de la auditora de sistemas y la
seguridad de la informacin.
ISC2
Information Systems Security Certification Consortium, Inc. Organizacin sin
nimo de lucro que gestiona diversas acreditaciones personales en el mbito de la
seguridad de la informacin.
ISMS
Information Security Management System. Vase: SGSI.
ISO

Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una


agrupacin de entidades nacionales de normalizacin cuyo objetivo es establecer,
promocionar y gestionar estndares (normas).
ISO 17799
Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado
por ISO transcribiendo la primera parte de BS7799. Dio lugar a ISO 27002, por
cambio de nomenclatura, el 1 de Julio de 2007. Ya no est en vigor.
ISO 19011
Guidelines for auditing management systems. Norma con directrices para la
auditora de sistemas de gestin. Gua de utilidad para el desarrollo, ejecucin y
mejora del programa de auditora interna de un SGSI.
ISO/IEC 27001
Norma que establece los requisitos para un sistema de gestin de la seguridad de la
informacin (SGSI). Primera publicacin en 2005; segunda edicin en 2013. Es la
norma en base a la cual se certifican los SGSI a nivel mundial.
ISO/IEC 27002
Cdigo de buenas prcticas en gestin de la seguridad de la informacin. Primera
publicacin en 2005; segunda edicin en 2013. No es certificable.
ISO 9001
Norma que establece los requisitos para un sistema de gestin de la calidad.
ISSA
Information Systems Security Association.
ITIL
IT Infrastructure Library. Un marco de gestin de los servicios de tecnologas de la
informacin.
ITSEC
Criterios de evaluacin de la seguridad de la tecnologa de informacin. Se trata de
criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido.
Tambin cuentan con el respaldo de la Comisin Europea (vase tambin TCSEC,
el equivalente de EEUU).
J
JTC1
Joint Technical Committee. Comit tcnico conjunto de ISO e IEC especfico para
las tecnologas de la informacin.
K
Key management
Vase: Gestin de claves.
L
Lead auditor
Vase: Auditor jefe.

M
Management commitment
Vase: Compromiso de la Direccin.
N
NBS
Oficina Nacional de Normas de los EE.UU.
NIST
(ex NBS) Instituto Nacional de Normas y Tecnologa, con sede en Washington, D.C.
No conformidad
(Ingls: Nonconformity). Incumplimiento de un requisito.
Nonconformity
Vase: No conformidad.
No repudio
Segn [CCN-STIC-405:2006]: El no repudio o irrenunciabilidad es un servicio de
seguridad que permite probar la participacin de las partes en una comunicacin.
Segn [OSI ISO-7498-2]: Servicio de seguridad que previene que un emisor niegue
haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor
niegue su recepcin (cuando realmente lo ha recibido).
O
Objective evidence
Vase: Evidencia objetiva.
Objetivo
(Ingls: Objetive). Declaracin del resultado o fin que se desea lograr mediante la
implementacin de procedimientos de control en una actividad determinada.
P
Parte interesada
(Ingls: Interested party / Stakeholder). Persona u organizacin que puede afectar a,
ser afectada por o percibirse a s misma como afectada por una decisin o actividad.
PDCA
Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el
SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el
SGSI). La actual versin de ISO 27001 ya no lo menciona directamente, pero sus
clusulas pueden verse como alineadas con l.
Plan de continuidad del negocio
(Ingls: Bussines Continuity Plan). Plan orientado a permitir la continuacin de las
principales funciones del negocio en el caso de un evento imprevisto que las ponga
en peligro.
Plan de tratamiento de riesgos

(Ingls: Risk treatment plan). Documento que define las acciones para gestionar los
riesgos de seguridad de la informacin inaceptables e implantar los controles
necesarios para proteger la misma.
Poltica de escritorio despejado
(Ingls: Clear desk policy). La poltica de la empresa que indica a los empleados
que deben dejar su rea de trabajo libre de cualquier tipo de informaciones
susceptibles de mal uso en su ausencia.
Preventive action
Vase: Accin preventiva.
Preventive control
Vase: Control preventivo.
Proceso
(Ingls: Process). Conjunto de actividades interrelacionadas o interactuantes que
transforman unas entradas en salidas.
Process
Vase: Proceso.
Propietario del riesgo
(Ingls: Risk owner). Persona o entidad con responsabilidad y autoridad para
gestionar un riesgo.
Q
Qualitative risk analysis
Vase: Anlisis de riesgos cualitativo.
Quantitative risk analysis
Vase: Anlisis de riesgos cuantitativo.
R
Recursos de tratamiento de informacin
(Ingls: Information processing facilities). Cualquier sistema, servicio o
infraestructura de tratamiento de informacin o ubicaciones fsicas utilizadas para
su alojamiento.
Residual risk
Vase: Riesgo residual.
Riesgo
(Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una prdida o dao en un activo de informacin. Suele
considerarse como una combinacin de la probabilidad de un evento y sus
consecuencias.
Riesgo residual
(Ingls: Residual risk). El riesgo que permanece tras el tratamiento del riesgo.
Risk
Vase: Riesgo.
Risk acceptance
Vase: Aceptacin del riesgo.
Risk analysis

Vase: Anlisis de riesgos.


Risk assessment
Vase: Evaluacin de riesgos.
Risk evaluation
Vase: Estimacin de riesgos.
Risk identification
Vase: Identificacin de riesgos.
Risk management
Vase: Gestin de riesgos.
Risk owner
Vase: Propietario del riesgo.
Risk treatment
Vase: Tratamiento de riesgos.
Risk treatment plan
Vase: Plan de tratamiento de riesgos.
S
Safeguard
Salvaguarda. Vase: Control.
Salvaguarda
(Ingls: Safeguard). Vase: Control.
Sarbanes-Oxley
Ley de Reforma de la Contabilidad de Compaas Pblicas y Proteccin de los
Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisin
independiente para supervisar a los auditores de compaas pblicas y le permite a
este consejo establecer normas de contabilidad as como investigar y disciplinar a
los contables. Tambin obliga a los responsables de las empresas a garantizar la
seguridad de la informacin financiera.
SC27
Subcomit 27 del JTC1 (Joint Technical Committee) de ISO e IEC. Se encarga del
desarrollo de los estndares relacionados con tcnicas de seguridad de la
informacin..
Scope
Vase: Alcance.
Second party auditor
Vase: Auditor de segunda parte.
Segregacin de tareas
(Ingls: Segregation of duties). Reparto de tareas sensibles entre distintos
empleados para reducir el riesgo de un mal uso de los sistemas e informaciones
deliberado o por negligencia.
Segregation of duties
Vase: Segregacin de tareas.
Seguridad de la informacin
(Ingls: Information security). Preservacin de la confidencialidad, integridad y
disponibilidad de la informacin.
Seleccin de controles

(Ingls: Control selection). Proceso de eleccin de los controles que aseguren la


reduccin de los riesgos a un nivel aceptable.
SGSI
(Ingls: ISMS). Vase: Sistema de Gestin de la Seguridad de la Informacin.
Sistema de Gestin de la Seguridad de la Informacin
(Ingls: Information Security Management System). Conjunto de elementos
interrelacionados o interactuantes (estructura organizativa, polticas, planificacin
de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza
una organizacin para establecer una poltica y unos objetivos de seguridad de la
informacin y alcanzar dichos objetivos, basndose en un enfoque de gestin del
riesgo y de mejora continua.
SoA
Acrnimo ingls de Statement of Applicability. Vase: Declaracin de aplicabilidad.
SSCP
Systems Security Certified Practitioner. Una acreditacin personal de ISC2.
Stage 1 Audit
Vase: Fase 1 de auditora.
Stage 2 Audit
Vase: Fase 2 de auditora.
Stakeholder
Vase: Parte interesada.
Standards body
Vase: Entidad de normalizacin.
Statement of Applicability (SoA)
Vase: Declaracin de aplicabilidad.
T
Third party auditor
Vase: Auditor de tercera parte.
Threat
Vase: Amenaza.
Tratamiento de riesgos
(Ingls: Risk treatment). Proceso de modificar el riesgo, mediante la
implementacin de controles.
Trazabilidad
(Ingls: Accountability). Segn [CESID:1997]: Cualidad que permite que todas las
acciones realizadas sobre la informacin o un sistema de tratamiento de la
informacin sean asociadas de modo inequvoco a un individuo o entidad.
U
UNE 71502
Norma espaola de mbito local como versin adaptada de BS7799-2. Ya no est en
vigor.
V

Vulnerabilidad
(Ingls: Vulnerability). Debilidad de un activo o control que puede ser explotada por
una o ms amenazas.
Vulnerability
Vase: Vulnerabilidad.
W
WG1, WG2, WG3, WG4, WG5
WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomit SC27 de JTC1 (Joint
Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del
desarrollo de los estndares relacionados con tcnicas de seguridad de la
informacin.
X
No se registran entradas por el momento
Y
No se registran entradas por el momento
Z
No se registran entradas por el momento

Vous aimerez peut-être aussi