SISTEMA DE GESTIN DE

SEGURIDAD DE LA
INFORMACIN, ISO 27001

Formacin SGSI 2010

Qu
Q es un Si
Sistema
t
de
d Gestin?
G ti ?
Un Sistema de Gestin implementa los procesos que permiten que una
Organizacin realice un servicio o producto de manera confiable y en conformidad
con unas especificaciones internacionales.

Qu
Q aporta
t la
l ISO 27001 a la
l seguridad
id d de
d la
l Informacin?
I f
i ?
Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos que
afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para
su apropiado control y mejora continua.
Ayuda a la entidad a gestionar, de una forma eficaz, la seguridad de la informacin, evitando
las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar
amenazas sin una evaluacin previa, por desestimar riesgos, por la falta de contramedidas, por
implantar controles desproporcionados y de un coste ms elevado del necesario, por el retraso
en las medidas de seguridad en relacin a la dinmica de cambio interno de la propia
organizacin y del entorno, por la falta de claridad en la asignacin de funciones y
responsabilidades sobre los activos de informacin, por la ausencia de procedimientos que
garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del
negocio, etc.

Tengo un firewall, actualizo regularmente el

antivirus
ti i
y realizo
li copias
i de
d backup.
b k
Qu
Q aporta
t un
SGSI a mi organizacin?

Estas medidas no son ms que unos pocos controles tcnicos que, por s mismos, NO SIGNIFICAN
QUE SE EST GESTIONANDO LA SEGURIDAD.
Q
Un SGSI implica que la organizacin ha estudiado los riesgos a los que est sometida toda su
informacin, ha evaluado qu nivel de riesgo asume, ha implantado controles (no slo tecnolgicos,
sino tambin organizativos y legales) para aquellos riesgos que superan dicho nivel, ha documentado
las polticas y procedimientos relacionados y ha entrado en un proceso continuo de revisin y mejora
de todo el sistema.
z

El SGSI da as la garanta a la empresa de que los riesgos que afectan a su

informacin son conocidos y gestionados. No se debe olvidar, por tanto, que
no hay
y seguridad
g
total sino seguridad
g
gestionada
g
.

Cmo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en
base a ISO 27001,
27001 se utiliza el ciclo continuo PDCA,
PDCA tradicional en los sistemas de
gestin de la calidad.

Normas y estndares de
Implantacin de un SGSI
Para la implantacin de un SGSI se consideran:
La norma ISO/IEC 27001:2005: Especificaciones para los Sistemas de
Gestin de la Seguridad de la Informacin, requeridas para obtener la
certificacin del SGSI implantado.

El estndar ISO/IEC 27002, Cdigo de Buenas Prcticas para la

Gestin de la Seguridad
g
de la Informacin. Estructurada en 11 dominios
desglosados a su vez en 133 controles, que cubren todos los aspectos
fundamentales de la seguridad en el tratamiento de la informacin.

Para qu sirve un SGSI?

Con un SGSI, la organizacin conoce los riesgos a los que est sometida su
informacin y los asume,, minimiza,, transfiere o controla mediante una sistemtica
definida, documentada y conocida por todos, que se revisa y actualiza
constantemente.

Qu incluye un SGSI?
Un Sistema de Gestin de la Seguridad
g
de la Informacin basado en ISO 27001
est formado por una serie de documentos que pueden clasificarse en una
pirmide de cuatro niveles.

Documentos de Nivel 1
Alcance del SGSI
Poltica y objetivos de seguridad
Metodologa de evaluacin de riesgos
Informe de evaluacin de riesgos
Plan
a de ttratamiento
ata e to de
del riesgo
esgo
Declaracin de aplicabilidad
Procedimientos relativos al nivel 1

ANLISIS DE RIESGOS
Proceso de identificar los riesgos de la seguridad, determinando su
magnitud e identificando las reas que requieren medidas de salvaguarda.
salvaguarda

Implantacin Tecnolgica y Procedimental

1. Implantacin Tecnolgica:
Conectividad y Securizacin Integral de Redes de Informacin a travs de:
Implantacin de cortafuegos
Conectividad Securizada entre sedes
Proteccin Antivirus
Sistemas AntiSpam
Soluciones de backups y copias de seguridad
Planes de continuidad
Proteccin de Contenidos
Cumplimiento legislativo (LOPD,
(LOPD LSSICE)

Implantacin Tecnolgica y Procedimental

2. Implantacin Procedimental:
Desarrollo y documentacin de Procedimientos para:
z
z
z
z
z
z
z
z

10

La Gestin de Incidencias
Gestin Documental
Gestin de Registros
Control de Auditoras Internas
Gestin de Recursos Informticos
Realizar Copias de Seguridad
Planes de Recuperacin y Continuidad

Beneficios de Implantacin de un SGSI

Definir Objetivos y Metas
Integrar la Gestin de la Seguridad de la Informacin con el resto de sistemas
gestin existentes de la entidad.
de g
Anlisis de riesgos, identificando amenazas, vulnerabilidades e impactos,
en su SGSI.
Cumplimiento de la legislacin vigente sobre proteccin de datos de carcter
personal, comercio electrnico, etc.(LOPD, LSSICE).
Mejora continua de la gestin de la seguridad.
Incremento de confianza de clientes y partners.
Mejorar la imagen ante sus clientes, proveedores y empleados, convirtindose en un
factor diferenciador frente a la competencia.
competencia
Garanta de continuidad del negocio.

11

Beneficios de Implantacin de un SGSI

Demuestra un compromiso unvoco de los rganos
g
de Direccin de la
Organizacin con el SGSI.
Aspecto Humano: Mejora la sensibilizacin y responsabilidades del
personal ante la seguridad en la organizacin.
Aspecto Financiero: Reduccin de los costos vinculados a los
incidentes de seguridad
seguridad.
Aspecto Organizacional: El registro permite garantizar y demostrar la
eficacia de los esfuerzos desarrollados para asegurar la organizacin en
todos sus niveles.
Aspecto Funcional: Gestin de los riesgos
Aspecto Legal: Conformidad con leyes y normativas aplicables.
Aspecto Comercial: Credibilidad y confianza de los socios, los accionistas y
los clientes
clientes.
12

POLTICA DE SEGURIDAD
z

Objetivos de Seguridad

Garantizar la confidencialidad de la informacin propia o proporcionada por

nuestros clientes en relacin a los servicios prestados.

Garantizar la integridad, exactitud y veracidad de la informacin

generada o procesada en la realizacin de los servicios.

Asegurar que el acceso a los sistemas de informacin, relacionados con la

prestacin de los servicios, se realiza solamente por personal autorizado y
con los p
privilegios
g
de seguridad
g
requeridos
q
en relacin al departamento
p
o rea
a la que pertenece y segn el desempeo de sus funciones.

Garantizar el cumplimiento
p
de los acuerdos de nivel de servicio en relacin a
la seguridad de la informacin establecidos con terceros en la prestacin de
los servicios externos necesarios para la gestin de la Cmara.

POLTICAS DE SEGURIDAD
-

USO ACEPTABLE DE LOS ACTIVOS

USO CONTRA SOFTWARE MALICIOSO

CONTROL DE ACCESOS

USO DE CORREO ELECTRNICO

PUESTOS DE TRABAJO DESPEJADOS

USO DE CONTRASEAS DE USUARIO

USO DE EQUIPOS PORTTILES

POLTICAS DE SEGURIDAD:
USO ACEPTABLE DE LOS ACTIVOS
La informacin debe estar clasificada segn su valor, los requisitos legales, su
sensibilidad y criticidad para la organizacin.
Se considera informacin a todo dato relacionado con las actividades y servicios de
una organizacin, que tenga valor para sta segn estime su propietario,
atendiendo a las escalas de valoracin utilizadas, los requisitos legales, su
sensibilidad y criticidad p
para la organizacin,
g
cualquiera
q
sea su forma y medio de
comunicacin y/o conservacin (informacin de los sistemas, documentos
impresos,).
Toda informacin definida como activo debe ser clasificada para garantizar un nivel
adecuado de proteccin.
Los soportes
p
((CD, p
papel,
p Discos Duros,)) q
que contengan
g informacin de distintos
niveles de clasificacin sern clasificados con el nivel ms alto de los activos de
informacin que contengan.

POLTICAS DE SEGURIDAD:
USO ACEPTABLE DE LOS ACTIVOS
z

CLASIFICACIN DE LA INFORMACIN
TRATAMIENTO DE LA INFORMACIN DE USO INTERNO:
Destruccin
-Soporte papel: Debe depositarse en papeleras dispuestas a tal efecto para posteriormente ser
destruidos bajo control.
-Soporte electrnico: Antes de ser desechados o reutilizados, deben ser procesados para su borrado
lgico o hacer ilegible la informacin contenida
contenida.

Etiquetado
Toda informacin que disponga de la imagen corporativa de la entidad o sus formatos ser
automticamente clasificada como de uso interno.
- Soporte papel: cualquier documento en formato corporativo se entender asignado al nivel de
clasificacin USO INTERNO.
- Soporte electrnico: Para los soportes propios o generados en la entidad
entidad, no ser necesario el
etiquetado del mismo salvo en los siguientes casos:
Contengan datos de carcter personal de la entidad. En estos casos, deben aplicarse las
medidas de seguridad definidas para el nivel medio en el R.D. 1720/2007 de desarrollo de la
LOPD.

POLTICAS DE SEGURIDAD:
USO CONTRA SOFTWARE MALICIOSO
z

No utilizar CD
CDs
s, disquetes,
disquetes memorias usb de fuera de las instalaciones en los
equipos del sistema de informacin de la organizacin a menos que haya sido
previamente verificado que estn libres de virus u otros agentes dainos.

Los mensajes que se reciban de remitentes extraos o con contenido clasificable

como no relacionable con la actividad empresarial deben ser eliminados en el acto,
sin proceder a abrirlos.

Estas acciones podran suponer:

z
z
z

Posibles infecciones por instalacin de software no fiable.

Violacin de la Ley de Propiedad intelectual.
Dao de informacin contenida en los equipos, como prdida o modificacin
irreversibles.

POLTICAS DE SEGURIDAD:
CONTROL DE ACCESOS A LA INFORMACIN
z

Verificar que se activa el protector de pantalla de manera automtica y que la reanudacin del
trabajo implica la desactivacin de la pantalla protectora con la introduccin de la contrasea de
usuario correspondiente.

Guarde documentos y dispositivos de almacenamiento (CDs, memorias, etc.) con informacin

crtica o sensible en armarios o los cajones bajo llave.

No deje documentos a la vista, por ejemplo:

z
z
z
z
z
z
z

Nombre de Usuario y Passwords

Direcciones IP
Contratos
Nmeros de Cuenta
Listas de Clientes
Propiedad Intelectual
Datos de Empleados/ Currculums.

POLTICAS DE SEGURIDAD:
CONTROL DE ACCESOS A LA INFORMACIN
z

El identificador de usuario tendr unos privilegios asociados, en funcin del cargo y las
funciones que desempee. Los privilegios asociados a cada usuario le permitirn, en
funcin de cada caso, acceder a un determinado tipo de informacin.

El uso de un identificador nico hace posible el seguimiento de las actividades

realizadas por los usuarios, otorgando as responsabilidad individual sobre las
acciones.

POLTICAS DE SEGURIDAD:
SEGURIDAD FSICA Y DEL ENTORNO
Papeles y soportes informticos.
- Guardarlos en cajones con llave y/o en archivadores.
- Destructora de Papel

Equipos personales y terminales

(impresoras, escner, fotocopiadoras,..).
No dejar funciones y equipos de soporte desatendidos, sobre
todo si se va a imprimir o se est imprimiendo informacin
confidencial de la empresa.
- Protector de Pantalla con Contrasea

Las modificaciones de hardware

y software sern realizadas
EXCLUSIVAMENTE por el
Departamento Tcnico

POLTICAS DE SEGURIDAD:
POLTICA DE CONTROL DE ACCESO
COMPROMISO DE CONFIDENCIALIDAD PARA EL PERSONAL
Todos los COMPROMISOS anteriores DEBEN MANTENERSE, incluso despus
de extinguida la relacin laboral con organizacin.

LOPD, LEY ORGNICA 15/1999 y R.D. 1720/2007

Obliga a las empresas que traten con datos de carcter
personal a cumplir con una serie de obligaciones bsicas.
El incumplimiento de estas obligaciones est tipificado como
infraccin, con sanciones econmicas entre 600 y 600.000 .
Las especificaciones normativas pretenden establecer las
medidas tcnicas y organizativas idneas para crear entornos
empresariales que traten los datos personales de forma segura.

21

POLTICAS DE SEGURIDAD:
POLTICA DE USO DE CORREO ELECTRNICO
z

Los usuarios que utilicen el correo electrnico dentro de la organizacin sern responsables de
evitar prcticas que puedan comprometer la seguridad de la informacin
informacin.

Los servicios de email corporativos se suministran para servir a propsitos operacionales y

administrativos relacionados con el negocio. Todos los emails procesados por los Sistemas de
Informacin corporativos y redes son considerados propiedad de la organizacin .

No usar el correo electrnico para:

z

Para enviar informacin confidencial/sensible, particularmente a travs de internet, a menos

que sta sea primero cifrada por un sistema de cifrado aprobado por el Dpto. Informtico.
Para crear, enviar, reenviar o almacenar emails con mensajes o adjuntos que podran ser
ilegales o considerados ofensivos, p.e. sexualmente explcitos, racistas, difamatorios,
abusivos, obscenos, discriminatorios u otros ofensivos.
Para enviar un mensaje desde la cuenta de alguien o en su nombre (incluyendo el uso de
una direccin falsa en el campo
p De: )).Si se autoriza p
por Direccin, una secretaria p
puede
enviar emails en nombre de Direccin pero debera firmar el email en su propio nombre.
Sea razonable sobre el nmero y tamaos de email enviados y guardados. Peridicamente
elimine del buzn correos antiguos o que no vaya a necesitar ms y clasifique los mensajes
que necesite para mantenerlos bajo las carpetas apropiadas.

POLTICAS DE SEGURIDAD:
POLTICA DE USO DE CONTRASEAS
z

Todas las contraseas del sistema (administradores, cuentas de administracin de aplicaciones,

etc.) deben ser cambiadas al menos una vez cada tres meses.
Las contraseas no deben ser incluidas en mensajes de correo electrnico, ni ningn otro medio
de comunicacin electrnica. Tampoco deben ser comunicadas las contraseas en
conversaciones telefnicas sin antes proceder a la identificacin del interlocutor.
Se evitarn nombres comunes,
comunes o cualquier otra combinacin que pueda identificar al usuario
(fecha nacimiento, matrculas de vehculos, etc.).
INCORRECTO

CORRECTO

- Pepitogarcia
- ab3421
- 967 213423

- pgm4122
- xcp0x123

OK

Evitar la reasignacin de identificadores de usuario redundantes.

Utilizacin de un identificador nico para cada usuario, de esta forma podr vincularse a los
usuarios
i y responsabilizarles
bili l d
de sus acciones.
i
No se acceder al sistema utilizando el identificador y la contrasea de otro
usuario. Las responsabilidades de cualquier acceso realizado utilizando un
identificador determinado,
determinado recaern sobre el usuario al que hubiera sido asignado
asignado.

POLTICAS DE SEGURIDAD:
POLTICA DE USO DE CONTRASEAS
z

Utilice contraseas de calidad, contraseas Fuertes: La contrasea debe ser difcil de

adivinar. Le damos algunas recomendaciones para crear contraseas de calidad:
z
E it palabras
Evite
l b
d
dell di
diccionario.
i
i E
Es llo primero
i
que b
busca cualquier
l i sistema
i t
d
de d
deteccin
t
i d
de
contraseas.
z
No deben estar basadas en algo que le puede relacionar con usted, como fecha de
nacimiento, nombre propio, etc.
z
No contengan caracteres consecutivos, idnticos, todos numricos o todos
alfanumricos.
Caractersticas:
z
Ms de 7 caracteres (quince para seguridad completa).
z
Utilice caracteres de tres de los cuatro grupos siguientes, SIEMPRE QUE UNO DE
ELLOS SEA EL SMBOLO:
z 1. Letras minsculas.
z 2. Letras maysculas.
z 3. Nmeros (por ejemplo, 1, 2, 3).
z 4.
4 S
Smbolos
b l ((por ejemplo,
j
l , @
@,
, =, -, etc.).
t )
z No ser ni derivarse de una palabra del diccionario, de la jerga o de un dialecto.
z No derivarse del nombre del usuario o de algn pariente cercano.
z No derivarse de informacin personal (del nmero de telfono, nmero de identificacin,
DNI, fecha de nacimiento, etc) del usuario o de algn pariente cercano.

POLTICAS DE SEGURIDAD:
POLTICA DE USO ADECUADO DE PORTTILES

z
z

z
z

Dejarse a la vista o abandonarse en lugares donde puedan ser sustrados con facilidad.
Cuando se vaya a dejar desatendido un porttil durante un periodo largo de tiempo, por ejemplo,
por una reunin o ir a desayunar, el usuario debe:
Cerrar la puerta de su despacho o rea con llave si esta opcin es posible
posible.
En situaciones vulnerables como lugares pblicos, salas de espera de aeropuertos, hoteles o
salas de conferencia, el porttil no debe dejarse nunca desatendido.
No deben guardarse equipos porttiles en bolsas o maletas que puedan revelar que contienen
elementos de valor en su interior para no atraer a ladrones.
Cuando las medidas anteriores no puedan aplicarse por ser inviables o inapropiadas, el
propietario del equipo es responsable de adoptar todas las medidas y precauciones que
considere
co
s de e razonables
a o ab es con
co el
e objetivo
obje o de minimizar
a los
os riesgos
esgos de da
dao
o o robo
obo de
del equ
equipo.
po
Un usuario deber notificar al Responsable de rea, de forma inmediata la prdida o robo del
equipo entregado a su custodia. Cuando un equipo porttil sea sustrado o extraviado, deber
denunciar el hecho inmediatamente a la Polica y notificar la incidencia Responsable de rea.

POLTICAS DE SEGURIDAD:
POLTICA DE USO ADECUADO DE PORTTILES
Acciones NO autorizadas:
z

El intento de alterar, evitar o saltar las medidas de seguridad informtica configuradas en el

equipo entregado.

La desconfiguracin
g
del equipo
q p o la modificacin del software p
preinstalado.

La instalacin de cualquier software sin autorizacin expresa y sin justificacin asociada a

necesidades laborales para el desempeo de una tarea productiva relacionada con las
actividades
ti id d d
de lla organizacin.
i
i

El uso del correo electrnico o Internet para finalidades distintas a las estrictamente profesionales
relacionadas con el desempeo habitual de las funciones como empleado de la organizacin.

La conexin a los sistemas de informacin de la organizacin sin las adecuadas medidas de

seguridad en el equipo porttil.

No tener actualizado el software

f
antivirus

No haber instalado los ltimos parches de seguridad del sistema operativo.

La conexin a Internet desde el equipo

q p p
porttil a travs de redes inalmbricas no acreditadas.

GESTIN DE INCIDENCIAS
Comunicacin

Registro

Clasificacin

Diagnstico

Resolucin

OBLIGACIN DEL PERSONAL

NOTIFICAR LAS INCIDENCIAS AL DPTO. INFORMTICO

27

Cierre
Incidente

GESTIN DE INCIDENCIAS
Posibles incidentes o eventos, que sern inexcusablemente registrados (esta lista no debe
entenderse como Limitativa, sino que podr ser ampliada con cualquier otro tipo de incidencias que
hubiera quedado omitida) pueden ser los siguientes:
z
z
z
z
z
z
z
z
z
z
z
z

prdida
did d
de servicio,
i i equipos
i
o iinstalaciones
t l i
fallos o sobrecargas del sistema
errores humanos
incumplimiento de polticas o directrices
incumplimientos de los acuerdos de seguridad fsica
cambios del sistema no controlados
fallos del software o del hardware
violaciones de acceso
eventos que afecten a la identificacin y autenticacin de los usuarios
eventos que afecten a los derechos de acceso a los datos
incidencias que afecten a la gestin de soportes
eventos que afecten a los procedimientos de copias de seguridad y recuperacin.

GESTIN DE INCIDENCIAS
Prioridad segn Impacto y Urgencia

GESTIN DE INCIDENCIAS
z

Crtica: Una emergencia es un incidente cuya resolucin no admite demora. Los incidentes de este tipo
se procesarn en paralelo de haber varios, y en su resolucin se emplearn todos los recursos
disponibles
disponibles.
z Ejemplo: todos los que supongan peligro para vidas humanas, para la infraestructura de Internet.
Hasta ahora tambin se han considerado todos aquellos incidentes que requeran accin
inmediata debido a su rapidez y mbito de difusin.

Alta: Un incidente de alta prioridad es aqul cuyas caractersticas requieren que sea atendido antes que
otros, aunque sea detectado posteriormente. Para esto se mantiene una cola independiente de
incidentes de alta prioridad, y no se procesarn los de prioridad inferior mientras queden de stos. Los
incidentes de alta prioridad se procesan en serie.
z

Media: Por defecto, los incidentes se atienden en serie por orden de llegada, mientras no requiera
atencin uno de prioridad superior. Un incidente de prioridad normal puede adquirir la categora de alta
prioridad si no recibe atencin por un tiempo prolongado.
z

Ejemplo: se consideran incidentes de alta prioridad todos aquellos en que exista infiltracin de
una cuenta privilegiada o denegacin de servicio.

Ejemplo: todos los incidentes no clasificados como alta prioridad o emergencia

emergencia, donde el atacante
haya ganado acceso a un sistema informtico ajeno. Tambin se incluyen escaneas insistentes
de redes.

Baja: Los incidentes de baja prioridad se atienden en serie por orden de llegada
llegada, mientras no requiera
atencin uno de prioridad superior. Un incidente de baja prioridad ser cerrado automticamente si no
recibe atencin por un tiempo prolongado.

GLOSARIO DE TRMINOS

GLOSARIO DE TRMINOS
z

SGSI. La parte de un sistema global de gestin que, basado en el anlisis de

riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la
seguridad de la informacin.
informacin (Incluye una estructura de organizacin
organizacin, polticas
polticas,
planificacin de actividades, responsabilidades, procedimientos, procesos y
recursos.)

Seguridad de la informacin. Preservacin de la confidencialidad, integridad y

disponibilidad de la informacin; adems, otras propiedades como autenticidad,
responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas.

Auditoria. Proceso planificado y sistemtico en el cual un auditor obtiene evidencias

objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del
SGSI de una organizacin.

Amenaza. Causa potencial de un incidente no deseado, el cual puede causar el

dao a un sistema o la organizacin.

Riesgo. Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin.

Riesgo
esgo Residual.
es dua El riesgo
esgo que permanece
pe a ece tras
as e
el tratamiento
a a e o de
del riesgo.
esgo

GLOSARIO DE TRMINOS
z

Poltica de seguridad.
g
Documento q
que establece el compromiso
p
de la Direccin y el
enfoque de la organizacin en la gestin de la seguridad de la informacin.

Plan de tratamiento de riesgos. Documento de gestin que define las acciones

para reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin
inaceptables e implantar los controles necesarios para proteger la misma.

Seleccin de controles. Proceso de eleccin de los controles que aseguren la

reduccin de los riesgos a un nivel aceptable.

Vulnerabilidad.
V
l
bilid d Debilidad
D bilid d d
de un activo
ti o conjunto
j t d
de activos
ti
que puede
d ser
explotado por una amenaza.

Valoracin de riesgos.
riesgos Proceso completo de anlisis y evaluacin de riesgos
riesgos.

Tratamiento de riesgos. Proceso de seleccin e implementacin de medidas para

modificar el riesgo

GLOSARIO DE TRMINOS
z

No conformidad. Situacin aislada que, basada en evidencias objetivas, demuestra

el incumplimiento de algn aspecto de un requerimiento de control que permita dudar
de la adecuacin de las medidas para preservar la confidencialidad
confidencialidad, integridad o
disponibilidad de informacin sensible, o representa un riesgo menor.

No conformidad g
grave. Ausencia o fallo de uno o varios requerimientos
q
de la ISO
27001 que, basada en evidencias objetivas, permita dudar seriamente de la
adecuacin de las medidas para preservar la confidencialidad, integridad o
disponibilidad de informacin sensible, o representa un riesgo inaceptable.

ISO 27001. Estndar para sistemas de gestin de la seguridad de la informacin

adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable.

Inventario de activos. Lista de todos aquellos recursos (fsicos, de informacin,

software, documentos, servicios, personas, reputacin de la organizacin, etc.)
dentro del alcance del SGSI, que tengan valor para la organizacin y necesiten por
tanto ser protegidos de potenciales riesgos
riesgos.

Integridad. Mantenimiento de la exactitud y completitud de la informacin y sus

mtodos de proceso.

GLOSARIO DE TRMINOS
z

Incidente. Evento nico o serie de eventos de seguridad de la informacin

inesperados o no deseados que poseen una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la
informacin.

IImpacto.
t El coste
t para lla empresa d
de un iincidente
id t -de
d lla escala
l que sea-, que
puede o no ser medido en trminos estrictamente financieros - prdida de
reputacin, implicaciones legales, etc.

Gestin de riesgos. Proceso de identificacin, control y minimizacin o eliminacin,

a un coste aceptable, de los riesgos que afecten a la informacin de la organizacin.
Incluye
y la valoracin de riesgos
g y el tratamiento de riesgos.
g
Evento. Suceso identificado en un sistema, servicio o estado de la red que indica
una posible brecha en la poltica de seguridad de la informacin o fallo de las
salvaguardias, o una situacin anterior desconocida que podra ser relevante para la
seguridad.
id d

GLOSARIO DE TRMINOS
z

Evaluacin de riesgos. Proceso de comparar el riesgo estimado contra un criterio

de riesgo dado con el objeto de determinar la importancia del riesgo.

Disponibilidad. Acceso a la informacin y los sistemas de tratamiento de la misma

por parte de los usuarios autorizados cuando lo requieran.

Desastre. Cualquier evento accidental, natural o malintencionado que interrumpe las

operaciones o servicios habituales de una organizacin durante el tiempo suficiente
como para verse la misma afectada de manera significativa.

Control. Las polticas, los procedimientos, las prcticas y las estructuras

organizativas
i ti
concebidas
bid para mantener
t
llos riesgos
i
d
de seguridad
id d d
de lla iinformacin
f
i
por debajo del nivel de riesgo asumido. Tambin se utiliza como sinnimo de
salvaguarda o contramedida.

GLOSARIO DE TRMINOS
z

Control correctivo. Control que corrige un riesgo, error, omisin o acto deliberado
antes
t de
d que produzca
d
prdidas.
did
S
Supone que lla amenaza ya se h
ha materializado
t i li d
pero que se corrige.

Control preventivo
preventivo. Control que evita que se produzca un riesgo
riesgo, error
error, omisin o
acto deliberado. Impide que una amenaza llegue siquiera a materializarse.

Control disuasorio
disuasorio. Control que reduce la posibilidad de materializacin de una
amenaza.

Control detectivo
detectivo. Control que detecta la aparicin de un riesgo
riesgo, error
error, omisin o
acto deliberado. Supone que la amenaza ya se ha materializado, pero por s mismo
no la corrige.

!! Gracias !!