Bienvenidos a esta guía sobre ISO 27001 Términos y definiciones 3.1 – 3.10. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

3.1 Control de acceso

El control de acceso es un mecanismo fundamental en la gestión de la seguridad de la información. Se refiere a los métodos y procedimientos implementados para garantizar que solo las personas autorizadas puedan acceder a los recursos específicos dentro de un sistema o infraestructura. Estos controles pueden aplicarse tanto en entornos físicos como digitales y son esenciales para proteger la integridad, confidencialidad y disponibilidad de los activos.

Los sistemas de control de acceso requieren que los usuarios presenten credenciales antes de permitir la entrada a recursos restringidos. Estas credenciales pueden tomar diversas formas, como contraseñas, tarjetas de identificación, tokens de seguridad o autenticación biométrica. Cuanto más difícil sea transferir o duplicar una credencial, mayor será la seguridad que ofrece el sistema.

Además, existen diferentes tipos de control de acceso, entre los que destacan:

  • Control de acceso discrecional (DAC): el propietario del recurso define quién puede acceder a qué datos y de qué manera.
  • Control de acceso obligatorio (MAC): se asignan etiquetas de seguridad a los datos y a los usuarios, y solo aquellos con el nivel de autorización adecuado pueden acceder a la información.
  • Control de acceso basado en roles (RBAC): los permisos se otorgan según el rol del usuario dentro de la organización.
  • Control de acceso basado en atributos (ABAC): los permisos se conceden en función de atributos específicos, como la ubicación del usuario, la hora del acceso, entre otros factores.

Una gestión adecuada del control de acceso permite a las organizaciones minimizar los riesgos de acceso no autorizado y posibles filtraciones de información.

Para conocer más sobre los requisitos y normativas relacionadas con el control de acceso, puedes consultar la normativa ISO 27002.

3.2 Ataques cibernéticos

Un ataque cibernético es cualquier intento de comprometer la seguridad de un sistema informático, red o aplicación mediante el uso de técnicas maliciosas. Los ciberdelincuentes emplean una amplia variedad de herramientas y estrategias para explotar vulnerabilidades, con el objetivo de robar información, dañar sistemas o interrumpir servicios.

Tipos comunes de ataques:

  • Malware: software malicioso diseñado para infiltrarse y dañar sistemas.
  • Ransomware: bloquea el acceso a datos y exige un rescate para restaurarlos.
  • Phishing: engaño para obtener credenciales sensibles a través de correos electrónicos o sitios falsificados.
  • Ataques de denegación de servicio (DDoS): saturan una red o servidor para dejarlo inaccesible.
  • Exploits y vulnerabilidades de día cero: aprovechamiento de fallos en software antes de que sean parcheados.

Uno de los ataques más devastadores de los últimos años fue el brote global de ransomware en 2017, donde miles de empresas e instituciones fueron afectadas. Entre ellas, el Servicio Nacional de Salud de Gran Bretaña se vio gravemente afectado, lo que provocó el cierre de hospitales y la interrupción de servicios críticos.

Para protegerse contra estos ataques, las organizaciones deben adoptar un enfoque proactivo en seguridad cibernética, implementando medidas como el uso de software actualizado, la formación del personal y la implementación de sistemas de detección de intrusos.

3.3 Auditoría en seguridad de la información

La auditoría en seguridad de la información es un proceso sistemático y documentado mediante el cual se recopila y evalúa información para determinar si los controles implementados cumplen con los estándares establecidos. Estas auditorías pueden ser internas o externas y juegan un papel clave en la mejora continua de la seguridad de la organización.

Etapas clave de una auditoría de seguridad:

  1. Definición del alcance: identificación de activos y sistemas a auditar.
  2. Evaluación de amenazas y vulnerabilidades: análisis de riesgos existentes y potenciales.
  3. Revisión de políticas y procedimientos: aseguramiento de que los controles cumplen con normativas como ISO 27001.
  4. Pruebas de penetración: simulaciones de ataques para evaluar la robustez del sistema.
  5. Elaboración de informes: documentación de hallazgos y recomendaciones para mitigar riesgos.

Las auditorías permiten a las empresas identificar áreas de mejora, optimizar su postura de seguridad y garantizar el cumplimiento con las mejores prácticas internacionales. Implementar auditorías periódicas es esencial para mantener un entorno digital seguro y preparado para posibles amenazas. Ampliemos viendo: 12.7.1 Controles de auditoría de sistemas de información a continuación.

Controles de Auditoría en Sistemas de Información

Las auditorías técnicas en sistemas de información son un proceso esencial para garantizar la seguridad, estabilidad y eficiencia de la infraestructura tecnológica. A diferencia de las auditorías de cumplimiento relacionadas con normativas como ISO 27001, estas evaluaciones se centran en aspectos específicos del funcionamiento de los sistemas, permitiendo detectar vulnerabilidades, optimizar recursos y mejorar la administración de TI.

Un aspecto clave de estas auditorías es verificar que los usuarios trabajen con los privilegios adecuados, evitando accesos innecesarios que puedan comprometer la seguridad. Además, es fundamental evaluar la estabilidad de la infraestructura y asegurarse de que cuenta con la capacidad suficiente en términos de memoria, procesamiento, almacenamiento y ancho de banda para responder eficientemente a las necesidades de la organización.

También se analizan las pruebas de seguridad y rendimiento realizadas en los sistemas, con el fin de determinar su efectividad y la necesidad de mejoras. De la misma manera, se examina la calidad de las actividades de mantenimiento, monitoreo y gestión, garantizando que los procedimientos implementados sean eficientes y se adapten a las exigencias del entorno tecnológico. Otro punto fundamental es la observación de la actividad de los usuarios dentro del sistema, lo que permite identificar patrones de uso, detectar posibles anomalías y prevenir incidentes de seguridad.

Alcance y Planificación de las Auditorías

Para que una auditoría sea efectiva, es imprescindible que su alcance esté claramente definido. En la práctica, si el alcance es demasiado amplio, la auditoría puede volverse inmanejable, desperdiciando recursos en aspectos irrelevantes y reduciendo su valor. Por esta razón, delimitar los objetivos y áreas de análisis es una tarea primordial para maximizar su utilidad y obtener resultados concretos que permitan mejorar la administración de los sistemas de información.

Una auditoría bien planificada debe centrarse en aspectos clave, evitando la dispersión de esfuerzos en elementos de escasa importancia. De esta manera, se logra un equilibrio entre profundidad y eficiencia, garantizando que los hallazgos obtenidos sean relevantes para la toma de decisiones estratégicas.

Evaluación del Impacto en los Recursos del Sistema

Otro factor crucial en la auditoría de sistemas de información es la evaluación del impacto que estas revisiones pueden generar en la infraestructura tecnológica. Algunas auditorías requieren un consumo significativo de recursos, lo que puede afectar el desempeño del sistema en momentos críticos de operación.

Para mitigar este riesgo, es fundamental establecer procedimientos que regulen la ejecución de auditorías en periodos de baja carga de trabajo. Esto permite minimizar la afectación sobre los servicios y asegurar que las evaluaciones se realicen de manera óptima sin comprometer la disponibilidad y rendimiento de los sistemas.

La implementación de auditorías técnicas bien estructuradas es clave para garantizar un entorno tecnológico seguro, eficiente y adaptado a las necesidades organizacionales. Con una correcta planificación y evaluación del impacto, estas auditorías pueden convertirse en una herramienta poderosa para mejorar la gestión y protección de la información en cualquier empresa.

3.4 Alcance de la auditoría

El alcance de una auditoría de seguridad define los límites y objetivos del proceso de evaluación. Esto puede incluir aspectos como:

  • Infraestructura física: servidores, dispositivos de red, centros de datos.
  • Aplicaciones y sistemas de software: plataformas de gestión empresarial, bases de datos.
  • Procesos y políticas organizacionales: procedimientos de control de acceso, gestión de incidentes.
  • Cumplimiento normativo: adherencia a regulaciones y estándares específicos.

Un alcance bien definido garantiza que la auditoría sea efectiva y enfocada en los aspectos más críticos de la seguridad organizacional.

3.5 Autenticación

La autenticación es el proceso mediante el cual se verifica la identidad de un usuario, sistema o dispositivo antes de concederle acceso a recursos específicos. Es un componente fundamental en la seguridad de la información y se basa en tres principales factores:

  1. Algo que el usuario sabe: contraseñas, PINs.
  2. Algo que el usuario tiene: tarjetas inteligentes, tokens.
  3. Algo que el usuario es: biometría (huellas dactilares, reconocimiento facial).

La combinación de múltiples factores de autenticación (MFA, Multi-Factor Authentication) aumenta significativamente la seguridad al requerir más de una prueba de identidad.

Entre los métodos más seguros de autenticación se encuentran los certificados digitales y la infraestructura de clave pública (PKI), los cuales permiten verificar la identidad mediante el uso de criptografía avanzada. También, el uso de autenticación biométrica ha ganado popularidad en dispositivos móviles y entornos empresariales para proporcionar un nivel de seguridad adicional.

3.6 Autenticidad

La autenticidad es la propiedad que garantiza que una entidad es realmente lo que dice ser. En el ámbito de la Seguridad de la Información, este concepto se refiere a la certeza de que un mensaje, transacción o cualquier otro intercambio de datos proviene realmente de la fuente que afirma ser. La autenticidad es clave para evitar suplantaciones y fraudes, ya que implica la verificación de identidad.

Para garantizar la autenticidad, se emplean procesos de autenticación, que generalmente requieren una o varias pruebas para confirmar la identidad de un usuario o sistema. Este proceso es esencial en cualquier interacción digital, ya sea entre personas, programas o sistemas.

Uno de los métodos más comunes de autenticación es el uso de un nombre de usuario y contraseña. Sin embargo, este método presenta múltiples desafíos: las contraseñas pueden ser robadas, olvidadas o descifradas si no son lo suficientemente complejas. Además, los usuarios suelen enfrentarse al problema de gestionar múltiples credenciales para distintos servicios, lo que puede resultar frustrante y aumentar el riesgo de reutilización de contraseñas, debilitando la seguridad.

Para mejorar la autenticación, se han desarrollado métodos más avanzados como la autenticación multifactor (MFA), que combina diferentes tipos de pruebas de identidad, como contraseñas, huellas dactilares o códigos enviados al teléfono del usuario. Estas medidas fortalecen la autenticidad y reducen el riesgo de accesos no autorizados.

3.7 Disponibilidad

La disponibilidad es la capacidad de un sistema para garantizar que la información y los recursos estén accesibles y utilizables cuando un usuario autorizado los requiera. Este concepto es uno de los pilares fundamentales de la Seguridad de la Información, junto con la integridad y la confidencialidad.

Cuando un sistema falla o presenta interrupciones, la disponibilidad se ve comprometida, afectando a los usuarios y, en muchos casos, generando consecuencias críticas para las operaciones de una organización. No solo es cuestión de mantener la información accesible, sino también de garantizar su seguridad y eficiencia en la entrega.

El tiempo de respuesta de un sistema también influye en la disponibilidad. Si un servicio informático no puede proporcionar información de manera rápida y efectiva, su funcionalidad se ve afectada, lo que puede traducirse en pérdidas económicas o problemas operativos.

Para garantizar la disponibilidad, se utilizan diversas estrategias de almacenamiento y redundancia. Los datos pueden ser almacenados localmente, en instalaciones externas o en la nube, lo que permite asegurar su accesibilidad en caso de fallos en la infraestructura principal. Además, la implementación de planes de recuperación ante desastres y copias de seguridad periódicas es una práctica fundamental para minimizar los riesgos de pérdida de información.

En definitiva, la información debe estar disponible en todo momento, pero únicamente para aquellos usuarios que cuenten con la autorización correspondiente, asegurando así tanto el acceso como la protección de los datos.

3.8 Medida Base

Una medida base se define como un atributo específico y el método utilizado para cuantificarlo. Se caracteriza por ser independiente de otras mediciones y suele emplearse en evaluaciones para desarrollar indicadores y métricas que permitan medir el rendimiento o la efectividad de un sistema o proceso.

El uso de indicadores previamente establecidos tiene la ventaja de generar datos comparables con estudios previos, lo que facilita el análisis y la toma de decisiones. En el ámbito de la seguridad de la información y otros campos técnicos, se han desarrollado múltiples estándares y marcos de referencia que permiten evaluar los resultados de proyectos y estrategias implementadas.

Es común que los términos «medida», «métrica» e «indicador» se utilicen indistintamente, aunque sus definiciones pueden variar según el contexto. Para evitar confusiones, es recomendable verificar sus significados específicos dentro de cada marco de referencia.

Dentro de la medición de desempeño, algunos conceptos asociados incluyen:

  • Objetivo: el valor esperado de un indicador en un período determinado.
  • Índice: un conjunto de indicadores que permite comparar el desempeño de distintos programas o estrategias.
  • Estándar: un conjunto de puntos de referencia utilizados para evaluar el cumplimiento de objetivos y la efectividad de las medidas implementadas.

En la seguridad de la información, contar con medidas base adecuadas permite evaluar la robustez de los sistemas, identificar vulnerabilidades y mejorar la protección de los datos.

3.9 Competencia

La competencia en el ámbito de la seguridad de la información se refiere a la capacidad de aplicar conocimientos y habilidades para alcanzar los resultados esperados en la protección de sistemas y datos. En un mundo digital cada vez más interconectado, es esencial definir los requisitos y habilidades necesarias para los profesionales en esta área.

Un ejemplo de esto es el Marco Europeo de Competencia Electrónica (e-CF 3.0), que establece estándares para el desarrollo de competencias en seguridad de la información. A nivel internacional, también se han desarrollado normas como la ISO/IEC 27021 e ISO/IEC 19896, que buscan definir y mejorar las competencias requeridas en este campo.

Además de la capacitación técnica, la cultura organizacional juega un papel clave en la seguridad de la información. La forma en que una empresa maneja y protege sus datos depende en gran medida de la mentalidad y hábitos de sus empleados. Incluir controles de seguridad dentro de las rutinas diarias de los trabajadores y fomentar una cultura de protección de la información ayuda a reducir riesgos y vulnerabilidades.

El nivel de madurez de una organización en términos de competencias de seguridad puede medirse a través de evaluaciones y auditorías. Estas herramientas permiten determinar en qué medida la seguridad de la información está integrada en la cultura empresarial y si los empleados están preparados para enfrentar amenazas digitales.

En última instancia, garantizar la competencia en seguridad de la información es un factor clave para la protección de datos sensibles y la continuidad operativa de cualquier organización en la era digital.

3.10 Confidencialidad

La confidencialidad es la propiedad que garantiza que la información solo esté disponible para personas, entidades o procesos autorizados, evitando su divulgación a terceros no permitidos. En el ámbito de los sistemas de información, este principio permite que los usuarios con permisos accedan a datos protegidos, mientras que aquellos sin autorización son excluidos.

Para garantizar la confidencialidad, se emplean diversos mecanismos de seguridad, diseñados para prevenir el acceso no autorizado y proteger la información contra amenazas internas y externas. Junto con la disponibilidad y la integridad, la confidencialidad es uno de los pilares fundamentales de la Seguridad de la Información.

La protección de datos confidenciales requiere la implementación de un sistema de clasificación de la información. En entornos como el militar, la información se categoriza en niveles de acceso, donde ciertos documentos pueden ser clasificados como «Confidencial», mientras que otros de mayor sensibilidad se etiquetan como «Top Secret». Un usuario con permisos para acceder a información confidencial no debería, bajo ninguna circunstancia, tener acceso a información clasificada en un nivel superior sin la autorización correspondiente.

Entre las mejores prácticas para garantizar la confidencialidad se encuentran:

  • Autenticación de usuarios: A través del uso de credenciales seguras, como nombres de usuario y contraseñas, o métodos avanzados como la autenticación biométrica.
  • Seguridad basada en roles: La asignación de niveles de acceso a los datos en función de las responsabilidades del usuario dentro de la organización.
  • Controles de acceso: Implementación de políticas que limiten las acciones que los usuarios pueden realizar sobre la información, garantizando que solo puedan operar dentro de sus permisos asignados.

No te detengas, sigue avanzando

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre la autora

Romina Orlando

Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:

Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.