-A-

Acción correctiva.- Acción para eliminar la causa de una no conformidad y prevenir su repetición.

Acción preventiva.- Medida de tipo pro-activo orientada a prevenir potenciales no conformidades.

Aceptación del riesgo.- Decisión informada de asumir un riesgo concreto.

Alcance.- Ámbito de la organización que queda sometido al SGSI.

Amenaza.- Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.

Análisis de riesgos.- Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.

Ataque.- Intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer uso no autorizado de un activo.

Auditor.- Persona encargada de verificar, de manera independiente, el cumplimiento de unos determinados requisitos.

Auditoría.- Proceso sistemático, independiente y documentado para obtener evidencias de auditoría y evaluarlas objetivamente para determinar el grado en el que se cumplen los criterios de auditoría.

Autenticación.- Provisión de una garantía de que una característica afirmada por una entidad es correcta.

-C-

CIA.- Acrónimo español de confidencialidad, integridad y disponibilidad, las dimensiones básicas de la seguridad de la información.

Confidencialidad.- Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.

Conformidad.- Cumplimiento de un requisito.

Control.- Medida por la que se modifica el riesgo.

Corrección.- Acción para eliminar una no conformidad detectada. Si lo que se elimina es la causa de la no conformidad, véase acción correctiva.

Criterio del riesgo.- Términos de referencia contra los cuales se estima la importancia del riesgo

-D-

Desastre.- Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la misma afectada de manera significativa.

Disponibilidad.- Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.

-E-

Eficacia.- Grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados.

Estándar de implementación de seguridad.- Documento que especifica formas autorizadas para materializar la seguridad.

Estimación de riesgos.- Proceso de comparar los resultados del análisis de riesgos con los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable o tolerable.

Evaluación de riesgos.- Proceso global de identificación, análisis y estimación de riesgos.

Evento.- Ocurrencia o cambio de un conjunto particular de circunstancias.

-F-

Fiabilidad.- Propiedad del comportamiento y de unos resultados consistentes previstos.

-G-

Gestión de claves.- Controles referidos a la gestión de claves criptográficas.

Gestión de riesgos.- Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

-I-

Identificación de riesgos.- Proceso de encontrar, reconocer y describir riesgos.

IEC.- International Electrotechnical Commission. Organización internacional que publica estándares relacionados con todo tipo de tecnologías eléctricas y electrónicas

Impacto.- El coste para la empresa de un incidente de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc.

Incidente de seguridad de la información.- Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

Indicador.- Medida que proporciona una estimación o evaluación.

Información documentada.- Información requerida para ser controlada y mantenida por una organización y el medio en el que está contenida.

Integridad.- Propiedad de la información relativa a su exactitud y completitud.

Inventario de activos.- Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.

ISO.- Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de entidades nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar estándares (normas).

ISO/IEC 27001.- Norma que establece los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Primera publicación en 2005; segunda edición en 2013. Es la norma en base a la cual se certifican los SGSI a nivel mundial.

ISO/IEC 27002.- Código de buenas prácticas en gestión de la seguridad de la información. Primera publicación en 2005; segunda edición en 2013. No es certificable.

​

​

-M-

Mejora continua.- Actividad recurrente para aumentar el rendimiento.

Método de medida.- Secuencia lógica de operaciones, descrita genéricamente, utilizada para cuantificar un atributo con respecto a una escala específica.

Monitoreo.- Determinar el estado de un sistema, un proceso o una actividad. Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.

-N-

Necesidad de información.- Conocimiento requerido para gestionar objetivos, metas, riesgos y problemas.

Nivel de riesgo.- Magnitud de un riesgo expresado en relación a la combinación de consecuencias y su probabilidad.

No conformidad.- Incumplimiento de un requisito.

-O-

Objetivo de control.- Declaración que describe lo que se debe lograr como resultado de la implementación de los controles.

Organización.- Persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos.

-P-

PDCA.- Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). La actual versión de ISO 27001 ya no lo menciona directamente, pero sus cláusulas pueden verse como alineadas con él.

Plan de tratamiento de riesgos.- Documento que define las acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.

Política.- Intenciones y dirección de una organización, expresada formalmente por su alta dirección.

Probabilidad.- Posibilidad de que ocurra algo.

Proceso.- Conjunto de actividades interrelacionadas o interactuantes que transforman unas entradas en salidas.

Proceso de gestión del riesgo.- Aplicación sistemática de políticas de gestión, procedimientos y prácticas a las actividades de comunicación, consultoría, establecimiento del contexto e identificación, análisis, evaluación, tratamiento, monitoreo y revisión de riesgos.

Propietario del riesgo.- Persona o entidad con responsabilidad y autoridad para gestionar un riesgo.

​

​

​

​

​

-R-

Recursos de tratamiento de información.- Cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizadas para su alojamiento.

Rendimiento.- Resultado medible.

Requisito.- Necesidad o expectativa que es establecida, generalmente de forma implícita u obligatoria.

Revisión.- Actividad realizada para determinar la idoneidad, adecuación y efectividad del objeto de estudio para lograr los objetivos establecidos.

Riesgo.- Efecto de la incertidumbre sobre los objetivos.

-S-

Salvaguarda.- Control.

Segregación de tareas.- Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.

Seguridad de la información.- Preservación de la confidencialidad, integridad y disponibilidad de la información.

Selección de controles.- Proceso de elección de los controles que aseguren la reducción de los riesgos a un nivel aceptable.

SGSI.- Sistema de Gestión de la Seguridad de la Información.

Sistema de Gestión.- Conjunto de elementos interrelacionados o interactivos de una organización para establecer políticas y objetivos y procesos para alcanzar esos objetivos.

Sistema de Gestión de la Seguridad de la Información.- Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.

Sistema de Información.- Conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes que manejan información.

SoA.- Declaración de aplicabilidad.

-T-

TIC.- Tecnología de la Información y las Comunicaciones.

Tratamiento de riesgos.- Proceso para modificar el riesgo.

Trazabilidad.- Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad.

-V-

Vulnerabilidad.- Debilidad de un activo o control que puede ser explotada por una o más amenazas.

​