[go: up one dir, main page]
Scribd
Cargar
47 vistas4 páginas

C0286ES Glosario

Curso de Amenazas y análisis de riesgos impartido por Traintium

Cargado por

Better Than P2P
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
47 vistas4 páginas

C0286ES Glosario

Curso de Amenazas y análisis de riesgos impartido por Traintium

Cargado por

Better Than P2P
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 4

GLOSARIO:

Activo: Son los bienes, derechos y otros recursos de los que dispone una empresa,
pudiendo ser, por ejemplo, muebles, construcciones, equipos informáticos, personas o
derechos de cobro por servicios prestados o venta de bienes a clientes. También, se
incluirían aquellos de los que se espera obtener un beneficio económico en el futuro.

Amenaza: Cualquier evento o circunstancia que puede dañar un activo. Ejemplos: robo,
pérdida, fraude, fallo de un equipo…

Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el


nivel de riesgo

Análisis de riesgos cualitativo: Análisis de riesgos en el que se usa algún tipo de escalas de
valoración para situar la gravedad del impacto y la probabilidad de ocurrencia.

Análisis de riesgos cuantitativo: Análisis de riesgos en función de las pérdidas


financieras que causaría el impacto

Confidencialidad: Es la propiedad de la información, por la que se garantiza que está


accesible únicamente a personal autorizado a acceder a dicha información. La
confidencialidad ha sido definida por la Organización Internacional de Estandarización
(ISO) en la norma ISO/IEC 27002 como "garantizar que la información es accesible sólo
para aquellos autorizados a tener acceso" y es una de las piedras angulares de la
seguridad de la información. La confidencialidad es uno de los objetivos de diseño de
muchos criptosistemas, hecha posible en la práctica gracias a las técnicas de
criptografía moderna.

Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo del
nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o
contramedida. En una definición más simple, es una medida que modifica el riesgo.

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado
antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha
materializado pero que se corrige.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto
deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la
corrige.
Control disuasorio: Control que reduce la posibilidad de materialización de una
amenaza, p.ej., por medio de avisos o de medidas que llevan al atacante a desistir de
su intención.

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto
deliberado. Impide que una amenaza llegue siquiera a materializarse.

Declaración de aplicabilidad: Documento que enumera los controles aplicados por el


SGSI de la organización -tras el resultado de los procesos de evaluación y tratamiento
de riesgos- y su justificación, así como la justificación de las exclusiones de controles
del anexo A de ISO 27001. (Inglés: Statement of Applicability; SOA).

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las


operaciones o servicios habituales de una organización durante el tiempo suficiente
como para verse la misma afectada de manera significativa.

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo


requiera una entidad autorizada.

Estimación de riesgos: Proceso de comparar los resultados del análisis de riesgos con
los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable o
tolerable.

Evaluación de riesgos: Proceso global de identificación, análisis y estimación de


riesgos.

Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización


con respecto al riesgo. Se compone de la evaluación y el tratamiento de riesgos.

Identificación de riesgos: Proceso de encontrar, reconocer y describir riesgos.

Incidente de seguridad de la información: Evento único o serie de eventos de


seguridad de la información inesperados o no deseados que poseen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad de
la información.

Inventario de activos: Lista de todos aquellos recursos (físicos, de información,


software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de
potenciales riesgos.
Impacto: Es el resultado del daño producido por una amenaza al explotar una
vulnerabilidad. Se valora en función de su gravedad y su duración. Ejemplos: Pérdida
de negocio, interrupción de la actividad, reducción del desempeño…

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una


agrupación de entidades nacionales de normalización cuyo objetivo es establecer,
promocionar y gestionar estándares (normas).

ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información


adoptado por ISO transcribiendo la primera parte de BS7799. Dio lugar a ISO 27002,
por cambio de nomenclatura, el 1 de Julio de 2007. Ya no está en vigor.

ISO 19011: “Guidelines for auditing management systems”. Norma con directrices para
la auditoría de sistemas de gestión. Guía de utilidad para el desarrollo, ejecución y
mejora del programa de auditoría interna de un SGSI.

ISO/IEC 27001: Norma que establece los requisitos para un sistema de gestión de la
seguridad de la información (SGSI). Primera publicación en 2005; segunda edición en
2013. Es la norma en base a la cual se certifican los SGSI a nivel mundial.

ISO/IEC 27002: Código de buenas prácticas en gestión de la seguridad de la


información. Primera publicación en 2005; segunda edición en 2013. No es certificable.

ISO 9001: Norma que establece los requisitos para un sistema de gestión de la calidad.

Plan de continuidad del negocio: Plan orientado a permitir la continuación de las


principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.

Plan de tratamiento de riesgos: Documento que define las acciones para gestionar
los riesgos de seguridad de la información inaceptables e implantar los controles
necesarios para proteger la misma.

Procedimiento: Un conjunto de acciones u operaciones que tienen que realizarse de la


misma forma, para obtener siempre el mismo resultado bajo las mismas circunstancias
(por ejemplo, procedimiento de emergencia).

Proceso: Conjunto de actividades interrelacionadas o interactuantes que transforman


unas entradas en salidas.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño en un activo de información. Suele considerarse como
una combinación de la probabilidad de un evento y sus consecuencias.

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

Seguridad de la información: Preservación de la confidencialidad, integridad y


disponibilidad de la información.

Selección de controles: Proceso de elección de los controles que aseguren la


reducción de los riesgos a un nivel aceptable.

SLA: Un acuerdo de nivel de servicio o ANS (en inglés Service Level Agreement o SLA),
es un acuerdo escrito entre un proveedor de servicio y su cliente con objeto de fijar el
nivel acordado para la calidad de dicho servicio. El ANS es una herramienta que ayuda
a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, en
aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación
disponible, personal asignado al servicio, etc.

Básicamente el ANS establece la relación entre ambas partes: proveedor y cliente. Un


ANS identifica y define las necesidades del cliente a la vez que controla sus expectativas
de servicio en relación a la capacidad del proveedor, proporciona un marco de
entendimiento, simplifica asuntos complicados, reduce las áreas de conflicto y favorece
el diálogo ante la disputa.

También constituye un punto de referencia para el proceso de mejora continua, ya que


el poder medir adecuadamente los niveles de servicio es el primer paso para mejorarlos
y de esa forma aumentar los índices de calidad, KPI...

Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la implementación


de controles.

Vulnerabilidad: Las vulnerabilidades son puntos débiles del software que permiten que
un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo.
Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten
código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema
comprometido

También podría gustarte