Glosario ISO 27001:2013 – 2a. parte

  1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN. (inglés: Information security incident management). Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información.
  2. GESTIÓN DE RIESGOS. (inglés: Risk management). Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Se compone de la evaluación y el tratamiento de riesgos.
  3. HUMPHREYS, TED. Experto en seguridad de la información y gestión del riesgo, considerado “padre” de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
  4. IDENTIFICACIÓN DE RIESGOS. (inglés: Risk identification). Proceso de encontrar, reconocer y describir riesgos.
  5. International Electrotechnical Commission. Organización internacional que publica estándares relacionados con todo tipo de tecnologías eléctricas y electrónicas.
  6. Instituto de Auditores Internos.
  7. (inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc.
  8. INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN. (inglés: Information security incident). Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.
  9. (inglés: Integrity). Propiedad de la información relativa a su exactitud y completitud.
  10. INVENTARIO DE ACTIVOS. (inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
  11. International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001.
  12. Information Systems Audit and Control Association. Publica CobiT y gestiona diversas acreditaciones personales en el ámbito de la auditoría de sistemas y la seguridad de la información.
  13. Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que gestiona diversas acreditaciones personales en el ámbito de la seguridad de la información.
  14. Information Security Management System. Véase: SGSI.
  15. Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de entidades nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar estándares (normas).
  16. ISO 17799. Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO transcribiendo la primera parte de BS7799. Dio lugar a ISO 27002, por cambio de nomenclatura, el 1 de Julio de 2007. Ya no está en vigor.
  17. ISO 19011. “Guidelines for auditing management systems”. Norma con directrices para la auditoría de sistemas de gestión. Guía de utilidad para el desarrollo, ejecución y mejora del programa de auditoría interna de un SGSI.
  18. ISO/IEC 27001. Norma que establece los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Primera publicación en 2005; segunda edición en 2013. Es la norma en base a la cual se certifican los SGSI a nivel mundial.
  19. ISO/IEC 27002. Código de buenas prácticas en gestión de la seguridad de la información. Primera publicación en 2005; segunda edición en 2013. No es certificable.
  20. ISO 9001. Norma que establece los requisitos para un sistema de gestión de la calidad.
  21. Information Systems Security Association.
  22. IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.
  23. Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).
  24. Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las tecnologías de la información.
  25. Oficina Nacional de Normas de los EE.UU.
  26. (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.
  27. NO CONFORMIDAD. (inglés: Nonconformity). Incumplimiento de un requisito.
  28. NO REPUDIO. Según [CCN-STIC-405:2006]: El no repudio o irrenunciabilidad es un servicio de seguridad que permite probar la participación de las partes en una comunicación. Según [OSI ISO-7498-2]: Servicio de seguridad que previene que un emisor niegue haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor niegue su recepción (cuando realmente lo ha recibido).
  29. (inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control en una actividad determinada.
  30. PARTE INTERESADA. (inglés: Interested party / Stakeholder). Persona u organización que puede afectar a, ser afectada por o percibirse a sí misma como afectada por una decisión o actividad.
  31. Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). La actual versión de ISO 27001 ya no lo menciona directamente, pero sus cláusulas pueden verse como alineadas con él.
  32. PLAN DE CONTINUIDAD DEL NEGOCIO. (inglés: Bussines Continuity Plan). Plan orientado a permitir la continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.
  33. PLAN DE TRATAMIENTO DE RIESGOS. (inglés: Risk treatment plan). Documento que define las acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.
  34. POLÍTICA DE ESCRITORIO DESPEJADO. (inglés: Clear desk policy). La política de la empresa que indica a los empleados que deben dejar su área de trabajo libre de cualquier tipo de informaciones susceptibles de mal uso en su ausencia.
  35. (inglés: Process). Conjunto de actividades interrelacionadas o interactuantes que transforman unas entradas en salidas.
  36. PROPIETARIO DEL RIESGO. (inglés: Risk owner). Persona o entidad con responsabilidad y autoridad para gestionar un riesgo.
  37. RECURSOS DE TRATAMIENTO DE INFORMACIÓN. (inglés: Information processing facilities). Cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizadas para su alojamiento.
  38. (inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.
  39. RIESGO RESIDUAL. (inglés: Residual risk). El riesgo que permanece tras el tratamiento del riesgo.
  40. SARBANES-OXLEY. Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad, así como investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la seguridad de la información financiera.
  41. Subcomité 27 del JTC1 (Joint Technical Committee) de ISO e IEC. Se encarga del desarrollo de los estándares relacionados con técnicas de seguridad de la información.
  42. SEGREGACIÓN DE TAREAS. (inglés: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.
  43. SEGURIDAD DE LA INFORMACIÓN. (inglés: Information security). Preservación de la confidencialidad, integridad y disponibilidad de la información.
  44. SELECCIÓN DE CONTROLES. (inglés: Control selection). Proceso de elección de los controles que aseguren la reducción de los riesgos a un nivel aceptable.
  45. (inglés: ISMS). Véase: Sistema de Gestión de la Seguridad de la Información.
  46. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. (inglés: Information Security Management System). Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.
  47. Acrónimo inglés de Statement of Applicability. Véase: Declaración de aplicabilidad.
  48. Systems Security Certified Practitioner. Una acreditación personal de ISC2.
  49. TRATAMIENTO DE RIESGOS. (inglés: Risk treatment). Proceso de modificar el riesgo, mediante la implementación de controles.
  50. (inglés: Accountability). Según [CESID:1997]: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad.
  51. (inglés: Vulnerability). Debilidad de un activo o control que puede ser explotada por una o más amenazas.
  52. WG1, WG2, WG3, WG4, WG5. WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estándares relacionados con técnicas de seguridad de la información.