Sistema Integral de Gestión

  • Términos y Definiciones

 

Aceptación del riesgo
Decision de asumir un riesgo.[Guía ISO/IEC 73:2002]
Activo
Cualquier cosa que tiene valor para la organización. [NTC 5411-1:2006]
Activo de información
Datos o información que se almacena en cualquier tipo de medio y que es considerada como sensitiva o crítica. [Universidad Distrital de Caldas]
Administracion Riesgos    
Proceso de identificación, control y reducción o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a la información. Dicho proceso es cíclico y debe llevarse a cabo en forma periódica. [Universidad Distrital de Caldas]
Amenazas
Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización [ISO/IEC 13335-1:2004]
Análisis de Riesgo
Uso sistemático de la información para identificar las fuentes y estimar el riesgo. [Guía ISO/IEC 73:2002]
Auditabilidad
Define que todos los eventos de un sistema deben poder ser registrados para su control posterior. [Gobierno en línea]
Autenticidad
Busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información. validando el emisor para evitar suplantación de identidades. [Gobierno en línea]
Cadena de Custodia
En el ámbito de la seguridad de la información La cadena de custodia es la aplicación de una serie de normas y procedimientos tendientes a asegurar, depositar y proteger cada activo de información para evitar la pérdida de integridad, disponibilidad o confidencialidad. [Universidad Distrital de Caldas]
Comunicación del Riesgo
Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas. [ISO/IEC Guía 73:2002]
Confidencialidad
Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. [NTC 5411-1:2006]
Control
Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.
NOTA. El control también se utiliza como sinónimo de salvaguarda o contramedida
Declaración de Aplicabilidad
Documento que describe los objetivos de control y los controles pertinentes y aplicables para el SGSI de la organización.
Disponibilidad
Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. [NTC 5411-1:2006]
Estimación Cualitativa
La estimación cualitativa utiliza una escala de atributos calificativos para describir la magnitud de las consecuencias potenciales (por ejemplo, alta, intermedia y baja) y la probabilidad de que ocurran dichas consecuencias. [NTC/ISO 27005:2005]
Estimación Cuantitativa
La estimación cuantitativa utiliza una escala con valores numéricos (a diferencia de las escalas descriptivas utilizadas en la estimación cualitativa) tanto para las consecuencias como para la probabilidad.
Estimación del Riesgo
Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo. [ISO/IEC Guía 73:2002]
NOTA 1. En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la estimación del riesgo.
NOTA 2. En el contexto de esta norma, el término "posibilidad" se utiliza en lugar del término "probabilidad" para la estimación del riesgo.
Evaluación del Riesgo
Proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo. [Guía ISO/IEC 73:2002]  
Evento de Seguridad de la Información
Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad. [ISO/IEC TR 18044:2004]
Evitación del Riesgo
Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación.
Gestión del Riesgo
Actividades coordinadas para dirigir y controlar una organización en relación con el riesgo. [Guía ISO/IEC 73:2002]
Hacker
Es el ingreso ilegal a computadores, páginas y redes sociales con el objetivo de robar información, suplantar la identidad del dueño, beneficiarse económicamente o protestar. [Gobierno en línea]
Identificación del Riesgo
Proceso para encontrar, enumerar y caracterizar los elementos de riesgo. [ISO/IEC Guía 73:2002]
NOTA En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la identificación del riesgo.
Impacto
Cambio adverso en el nivel de los objetivos del negocio logrados.
Información
Toda comunicación o representación de conocimiento, como datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea digital, en papel, en pantallas de computadoras, audiovisual u otro. [Gobierno en línea]
Incidente de Seguridad de la información
Un evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. [ISO/IEC TR 18044:2004]
Integridad
Propiedad de salvaguardar la exactitud y estado completo de los activos. [NTC 5411-1:2006]
Legalidad
Referido al cumplimiento de las leyes, normas, reglamentaciones, disposiciones a las que está sujeto la entidad. [Gobierno en línea]
Lineamiento
Una descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas [ISO/IEC 13335-1:2004]
Medios de Procesamiento de la Información
Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan.  
No repudio
Evitar que una entidad que haya enviado o recibido información alegue ante terceros que no la envió o recibió. [Gobierno en línea]
Phishing
Es un delito cibernético con el que por medio del envío de correos se engaña a las personas invitándolas a que visiten páginas web falsas de entidades bancarias o comerciales. Allí se solicita que verifique o actualice sus datos con el fin de robarle sus nombres de usuarios, claves personales y demás información confidencial. [Gobierno en línea]
Política
Intención y dirección general expresada formalmente por la gerencia x.
Propietarios de Activos de Información
En el contexto de la norma NTC 27001, un propietario de activos de información es cualquier persona o entidad a la cual se le asigna la responsabilidad formal de custodiar y asegurar un activo de información o un conjunto de ellos. [Universidad Distrital de Caldas]
Protección a la Duplicación
Consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transacción para luego reproducirla, con el objeto de simular múltiples peticiones del mismo remitente original. [Gobierno en línea]
Reducción del Riesgo
Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo. [ISO/IEC Guía 73:2002]
NOTA En el contexto de esta norma, el término "posibilidad" se utiliza en lugar del término "probabilidad" para la reducción del riesgo.
Retención del Riesgo
Aceptación de la pérdida o ganancia proveniente de un riesgo particular. [ISO/IEC Guía 73:2002]
NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la retención del riesgo.
Riesgo
Combinación de la probabilidad de un evento y su ocurrencia [ISO/IEC Guía 73:2002]
Riesgo en la Seguridad de la Información
Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.
NOTA: Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.
Riesgo Residual
Nivel restante de riesgo después del tratamiento del riesgo. [Guía ISO/IEC 73:2002]
Seguridad de la Información
Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además, puede involucrar otras propiedades tales como: autenticidad, trazabilidad (Accountability), no repudio y fiabilidad. [NTC-ISO/IEC 17799:2006]
Sistema de Información
Conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales. [Gobierno en línea]
Sistema de Gestión de la Seguridad de la Información (SGSI)
Parte del sistema de gestión global, basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información.
Smishing
Es una variante del Phishing, pero a diferencia de este, usa mensajes de texto para engañar a los usuarios, pidiéndoles información privada e invitándolos a que se dirijan a sitios web falsos que tienen spywares y softwares maliciosos que se descargan automáticamente, sin que el usuario lo note. [Gobierno en línea]
Tecnología de la Información
Se refiere al hardware y software operado por la entidad o por un tercero que procese información en su nombre, para llevar a cabo una función propia de la entidad, sin tener en cuenta la tecnología utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo. [Gobierno en línea]
Transferencia del Riesgo
Compartir con otra de las partes la pérdida o la ganancia de un riesgo. [ISO/IEC Guía 73:2002]
NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la transferencia del riesgo.
Tratamiento del Riesgo
Proceso de selección e implementación de medidas para modificar el riesgo. [Guía ISO/IEC 73:2002]
Valoración del Riesgo
Proceso global de análisis y evaluación del riesgo. [Guía ISO/IEC 73:2002]
Vishing
Similar al Phishing, pero con teléfonos. Consiste en hacer llamadas telefónicas a las víctimas, en las que por medio de una voz computarizada, muy similar a las utilizadas por los bancos, se solicita verificar algunos datos personales e información bancaria. [Gobierno en línea]
Vulnerabilidad
La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas. (ISO/IEC 13335-1:2004)

 

 

Última actualización: Miercoles, Diciembre 16, 2015 3:57 PM
Teléfono: 313 73 24 - 313 74 85 - 313 73 00 ext. 485 Contacto: calidad@utp.edu.co
CRIE • © 2018 • Universidad Tecnológica de Pereira