EAR  >  glosario

EAR / glosario Entorno de análisis de riesgos

Glosario

Acreditación (accreditation):

Acción de facultar a un sistema o red de información para que procese datos sensibles, determinando el grado en el que el diseño y la materialización de dicho sistema cumple los requerimientos de seguridad técnica preestablecidos.

Activo (asset):

Recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.

AGR ():

Análisis y Gestión de Riesgos.

Amenaza (threat):

Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Análisis de impacto (impact analysis):

Estudio de las consecuencias que tendría una parada de X tiempo sobre la Organización.

Análisis de riesgos (risk analysis):

Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.

Ataque (attack):

Cualquier acción deliberada encaminada a violar los mecanismos de seguridad de un sistema de información.

Auditoría de seguridad (security audit):

Estudio y examen independiente del historial y actividades de un sistema de información, con la finalidad de comprobar la idoneidad de los controles del sistema, asegurar su conformidad con la estructura de seguridad y procedimientos operativos establecidos, a fin de detectar brechas en la seguridad y recomendar cambios en los procedimientos, controles y estructuras de seguridad.

Autenticidad (authenticity):

Aseguramiento de la identidad u origen.

Certificación (certification):

Confirmación del resultado de una evaluación, y que los criterios de evaluación utilizados fueron correctamente aplicados.

Confidencialidad (confidentiality):

Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso.

Contra medida (countermeasure):

Véase salvaguarda.

Control (control):

Véase salvaguarda.

Degradación (degradation):

Pérdida de valor de un activo como consecuencia de la materialización de una amenaza.

Dimensión (de seguridad) (security dimension):

Un aspecto, diferenciado de otros posibles aspectos, respecto del que se puede medir el valor de un activo en el sentido del perjuicio que causaría su pérdida de valor.

Disponibilidad (availability):

Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

Documento de selección de controles (statemente of applicability):

Documento formal en el que, para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido.

Estado de riesgo (risk position):

Informe: Caracterización de los activos por su riesgo residual; es decir lo que puede pasar tomando en consideración las salvaguardas desplegadas.

Evaluación de salvaguardas (safeguard evaluation):

Informe: Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan.

Frecuencia (frequency):

Tasa de ocurrencia de una amenaza.

Gestión de riesgos (risk management):

Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.

Impacto (impact):

Consecuencia que sobre un activo tiene la materialización de una amenaza.

Impacto residual (residual impact):

Impacto remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información.

Incidente (incident):

Evento con consecuencias en detrimento de la seguridad del sistema de información.

Informe de insuficiencias (defects report):

Informe: Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir el riesgo sobre el sistema.

Integridad (integrity):

Garantía de la exactitud y completitud de la información y los métodos de su procesamiento.

Mapa de riesgos (risk map):

Informe: Relación de las amenazas a que están expuestos los activos.

Modelo de valor (value model):

Informe: Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos.

Plan de seguridad (security plan):

Conjunto de programas de seguridad que permiten materializar las decisiones de gestión de riesgos.

Programa de seguridad (security programme):

Agrupación de tareas orientadas a afrontar el riesgo del sistema. La agrupación se realiza por conveniencia, bien porque se trata de tareas que en singular carecerían de eficacia, bien porque se trata de tareas con un objetivo común, bien porque se trata de tareas que competen a una única unidad de acción.

Proyecto de seguridad (security project):

Programa de seguridad cuya envergadura es tal que requiere una planificación específica.

Riesgo (risk):

Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización.

Riesgo residual (residual risk):

Riesgo remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información.

Riesgo acumulado (full risk):

Dícese del calculado tomando en consideración el valor propio de un activo y el valor de los activos que depende de él. Este valor se combina con la degradación causada por una amenaza y la frecuencia estimada de la misma.

Riesgo repercutido (deflected risk):

Dícese del calculado tomando en consideración únicamente el valor propio de un activo. Este valor se combina con la degradación causada por una amenaza y la frecuencia estimada de la misma, medidas ambas sobre activos de los que depende.

Salvaguarda (safeguard):

Procedimiento o mecanismo tecnológico que reduce el riesgo.

Seguridad (security):

La capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Sistema de información (information system):

Los ordenadores y redes de comunicaciones electrónicas, así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento.

Trazabilidad (accountability):

Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento.

Valor (value):

De un activo. Es una estimación del coste inducido por la materialización de una amenaza.

Valor acumulado (full value):

Considera tanto el valor propio de un activo como el valor de los activos que dependen de él.