-
¿SEGURIDAD INFORMÁTICA O SEGURIDAD DE LA INFORMACIÓN?
-
¿QUÉ SIGNIFICA LA SEGURIDAD DE LA INFORMACIÓN?
-
¿CÓMO SE DEBE REALIZAR LA CLASIFICACIÓN DE LA INFORMACIÓN?
- GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN. (inglés: Information security incident management). Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información.
- GESTIÓN DE RIESGOS. (inglés: Risk management). Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Se compone de la evaluación y el tratamiento de riesgos.
- HUMPHREYS, TED. Experto en seguridad de la información y gestión del riesgo, considerado “padre” de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
- IDENTIFICACIÓN DE RIESGOS. (inglés: Risk identification). Proceso de encontrar, reconocer y describir riesgos.
- International Electrotechnical Commission. Organización internacional que publica estándares relacionados con todo tipo de tecnologías eléctricas y electrónicas.
- Instituto de Auditores Internos.
- (inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc.
- INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN. (inglés: Information security incident). Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.
- (inglés: Integrity). Propiedad de la información relativa a su exactitud y completitud.
- INVENTARIO DE ACTIVOS. (inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
- International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001.
- Information Systems Audit and Control Association. Publica CobiT y gestiona diversas acreditaciones personales en el ámbito de la auditoría de sistemas y la seguridad de la información.
- Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que gestiona diversas acreditaciones personales en el ámbito de la seguridad de la información.
- Information Security Management System. Véase: SGSI.
- Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de entidades nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar estándares (normas).
- ISO 17799. Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO transcribiendo la primera parte de BS7799. Dio lugar a ISO 27002, por cambio de nomenclatura, el 1 de Julio de 2007. Ya no está en vigor.
- ISO 19011. “Guidelines for auditing management systems”. Norma con directrices para la auditoría de sistemas de gestión. Guía de utilidad para el desarrollo, ejecución y mejora del programa de auditoría interna de un SGSI.
- ISO/IEC 27001. Norma que establece los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Primera publicación en 2005; segunda edición en 2013. Es la norma en base a la cual se certifican los SGSI a nivel mundial.
- ISO/IEC 27002. Código de buenas prácticas en gestión de la seguridad de la información. Primera publicación en 2005; segunda edición en 2013. No es certificable.
- ISO 9001. Norma que establece los requisitos para un sistema de gestión de la calidad.
- Information Systems Security Association.
- IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.
- Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).
- Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las tecnologías de la información.
- Oficina Nacional de Normas de los EE.UU.
- (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.
- NO CONFORMIDAD. (inglés: Nonconformity). Incumplimiento de un requisito.
- NO REPUDIO. Según [CCN-STIC-405:2006]: El no repudio o irrenunciabilidad es un servicio de seguridad que permite probar la participación de las partes en una comunicación. Según [OSI ISO-7498-2]: Servicio de seguridad que previene que un emisor niegue haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor niegue su recepción (cuando realmente lo ha recibido).
- (inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control en una actividad determinada.
- PARTE INTERESADA. (inglés: Interested party / Stakeholder). Persona u organización que puede afectar a, ser afectada por o percibirse a sí misma como afectada por una decisión o actividad.
- Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). La actual versión de ISO 27001 ya no lo menciona directamente, pero sus cláusulas pueden verse como alineadas con él.
- PLAN DE CONTINUIDAD DEL NEGOCIO. (inglés: Bussines Continuity Plan). Plan orientado a permitir la continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.
- PLAN DE TRATAMIENTO DE RIESGOS. (inglés: Risk treatment plan). Documento que define las acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.
- POLÍTICA DE ESCRITORIO DESPEJADO. (inglés: Clear desk policy). La política de la empresa que indica a los empleados que deben dejar su área de trabajo libre de cualquier tipo de informaciones susceptibles de mal uso en su ausencia.
- (inglés: Process). Conjunto de actividades interrelacionadas o interactuantes que transforman unas entradas en salidas.
- PROPIETARIO DEL RIESGO. (inglés: Risk owner). Persona o entidad con responsabilidad y autoridad para gestionar un riesgo.
- RECURSOS DE TRATAMIENTO DE INFORMACIÓN. (inglés: Information processing facilities). Cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizadas para su alojamiento.
- (inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.
- RIESGO RESIDUAL. (inglés: Residual risk). El riesgo que permanece tras el tratamiento del riesgo.
- SARBANES-OXLEY. Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad, así como investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la seguridad de la información financiera.
- Subcomité 27 del JTC1 (Joint Technical Committee) de ISO e IEC. Se encarga del desarrollo de los estándares relacionados con técnicas de seguridad de la información.
- SEGREGACIÓN DE TAREAS. (inglés: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.
- SEGURIDAD DE LA INFORMACIÓN. (inglés: Information security). Preservación de la confidencialidad, integridad y disponibilidad de la información.
- SELECCIÓN DE CONTROLES. (inglés: Control selection). Proceso de elección de los controles que aseguren la reducción de los riesgos a un nivel aceptable.
- (inglés: ISMS). Véase: Sistema de Gestión de la Seguridad de la Información.
- SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. (inglés: Information Security Management System). Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.
- Acrónimo inglés de Statement of Applicability. Véase: Declaración de aplicabilidad.
- Systems Security Certified Practitioner. Una acreditación personal de ISC2.
- TRATAMIENTO DE RIESGOS. (inglés: Risk treatment). Proceso de modificar el riesgo, mediante la implementación de controles.
- (inglés: Accountability). Según [CESID:1997]: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad.
- (inglés: Vulnerability). Debilidad de un activo o control que puede ser explotada por una o más amenazas.
- WG1, WG2, WG3, WG4, WG5. WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estándares relacionados con técnicas de seguridad de la información.