Bienvenidos a esta guía sobre ISO 27001 Términos y definiciones 3.11 – 3.20. Comparte este articulo y síguenos para recibir más guías y cursos.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
3.11 Conformidad
La conformidad en seguridad de la información se define como el cumplimiento de un requisito. Este concepto abarca una amplia variedad de normativas y estándares que pueden incluir requisitos de calidad, normativas legales, políticas internas de gestión, protección de datos y estándares internacionales como la norma ISO 27001.
Cumplir con estos requisitos significa que una organización está operando dentro de los parámetros establecidos para garantizar la seguridad de la información. Sin embargo, el incumplimiento de estos estándares genera lo que se conoce como «no conformidad», que se refiere a cualquier desviación respecto a una especificación, normativa o expectativa establecida.
Las no conformidades pueden clasificarse en diferentes niveles:
- No conformidad menor: Aquellas desviaciones que no afectan significativamente la seguridad de la información ni el rendimiento del sistema. Si se acumulan múltiples no conformidades menores, pueden escalar a una no conformidad mayor.
- No conformidad mayor: Se produce cuando una desviación compromete la seguridad de la información o reduce significativamente la funcionalidad del sistema. Estas no conformidades requieren medidas correctivas inmediatas.
- No conformidad crítica: Ocurre cuando la falta de conformidad representa un riesgo grave, como una vulnerabilidad que puede ser explotada para causar daños a la organización, su reputación o sus usuarios.
Las organizaciones deben implementar auditorías y revisiones periódicas para detectar y corregir no conformidades, asegurando así que sus sistemas de seguridad estén alineados con los estándares requeridos.
3.12 Consecuencia
En el contexto de la seguridad de la información, una consecuencia es el resultado de un evento que impacta los objetivos de una organización. Dependiendo de la naturaleza del evento, las consecuencias pueden ser menores o extremadamente graves, afectando desde la disponibilidad de un servicio hasta la integridad y confidencialidad de los datos.
Un evento de seguridad es cualquier cambio en el funcionamiento normal de un sistema que pueda indicar una posible vulnerabilidad o brecha en la seguridad. Este puede ser detectado por herramientas de monitoreo, alertas automatizadas o reportes de los propios usuarios.
Cuando un evento tiene un impacto directo en la seguridad, como la interrupción de servicios críticos, la pérdida de información o una filtración de datos, se convierte en un evento con consecuencias que deben ser analizadas y gestionadas.
Algunos ejemplos de eventos de seguridad incluyen:
- Un usuario reporta que su equipo ha sido infectado con malware.
- Un sistema detecta múltiples intentos fallidos de autenticación, lo que podría indicar un ataque de fuerza bruta.
- Se produce una brecha de datos que expone información sensible de clientes.
Las grandes organizaciones manejan miles de eventos de seguridad diariamente. Para hacer frente a esta carga, se emplean sistemas automatizados de respuesta a incidentes, como soluciones antivirus, herramientas de monitoreo de red y protocolos de gestión de riesgos. Una gestión eficaz de eventos de seguridad ayuda a minimizar las consecuencias adversas y a mantener la integridad del sistema.
Sistemas de Administración de Eventos
Los eventos de seguridad que no requieren intervención humana pueden ser gestionados automáticamente mediante sistemas de administración de información y eventos de seguridad (SIEM, por sus siglas en inglés). Estas plataformas surgieron inicialmente en la industria de los pagos con tarjeta, pero su eficacia las llevó a expandirse a grandes y medianas empresas como una solución integral para la detección y mitigación de amenazas.
El objetivo principal de un SIEM es consolidar y analizar todos los datos relacionados con la seguridad desde un único punto de vista. Esto permite detectar patrones anómalos y responder rápidamente ante posibles incidentes. Para ello, los SIEM combinan diversas tecnologías y metodologías, tales como:
- Infraestructura de TI: integración con firewalls, sistemas antivirus y herramientas de prevención de intrusiones.
- Bases de datos y registros: recopilación y análisis de patrones de comportamiento basados en registros de actividad.
- Inteligencia artificial: algoritmos avanzados que permiten identificar anomalías y posibles amenazas de manera proactiva.
- Análisis forense: evaluación detallada de eventos sospechosos para comprender su impacto y origen.
- Informes de seguridad: generación de reportes que ayudan a mejorar la toma de decisiones en ciberseguridad.
Gracias a la implementación de estos sistemas, las organizaciones pueden responder a incidentes en tiempo real, fortaleciendo así su postura de seguridad y minimizando los riesgos asociados a ciberataques.
Objetivos de Seguridad
Los sistemas de información están expuestos constantemente a amenazas que pueden comprometer su funcionalidad, integridad y confidencialidad. Para mitigar estos riesgos, los sistemas de gestión de seguridad de la información establecen criterios de protección basados en una evaluación de amenazas y vulnerabilidades, permitiendo así implementar controles adecuados para reducir las pérdidas o impactos negativos a niveles aceptables.
El principio fundamental que guía los objetivos de seguridad es:
«Proteger los intereses de quienes dependen de la información y los sistemas de comunicación, asegurando que no sufran daños por fallas en la disponibilidad, confidencialidad o integridad.»
Estos tres términos representan los pilares esenciales de la seguridad de la información:
- Disponibilidad: Garantizar que los sistemas estén operativos y accesibles cuando se necesiten.
- Confidencialidad: Asegurar que la información solo sea accesible para quienes tienen autorización.
- Integridad: Proteger los datos contra modificaciones no autorizadas o corrupción.
La importancia de cada uno de estos aspectos varía según el tipo de información y el entorno empresarial donde se utilice. Un sistema bancario, por ejemplo, priorizará la confidencialidad de sus datos financieros, mientras que un servicio de emergencias enfocará sus esfuerzos en la disponibilidad de su infraestructura crítica.
3.13 Mejora Continua
La mejora continua es un proceso recurrente que busca optimizar el rendimiento de una organización, adaptándose a cambios y corrigiendo deficiencias. En el ámbito de la seguridad de la información, este principio es esencial, ya que las amenazas evolucionan constantemente, y los sistemas deben ajustarse de manera dinámica para mantenerse protegidos.
El entorno digital es altamente complejo: redes interconectadas, normativas cambiantes y tecnología en constante evolución crean un escenario desafiante. Además, los atacantes desarrollan nuevas estrategias y herramientas para vulnerar sistemas, por lo que una postura de seguridad estática resulta ineficiente.
Para gestionar este reto, es fundamental evaluar continuamente los riesgos y los controles de seguridad implementados. La complejidad de los sistemas informáticos puede generar errores o puntos ciegos que dificultan la detección de vulnerabilidades. Un claro ejemplo es la configuración de firewalls: en muchas ocasiones, las reglas de acceso son tan complicadas que resulta difícil determinar si un sistema está adecuadamente protegido o expuesto a riesgos.
Caso Práctico: Análisis de Configuraciones de Seguridad
Un firewall mal configurado puede convertirse en un punto débil en la seguridad de una organización. Aunque su propósito es limitar el acceso a los sistemas, la cantidad de reglas y parámetros puede ser tan extensa que su efectividad se diluye.
Para solucionar este problema, es necesario realizar evaluaciones periódicas que permitan analizar las configuraciones y determinar si los controles aplicados son realmente efectivos. Las herramientas avanzadas de seguridad, como Security Manager, permiten visualizar y optimizar estos parámetros, asegurando que las reglas definidas cumplan con los estándares de protección requeridos.
Evaluación Continua y Seguridad Proactiva
Dado que el panorama de amenazas cambia constantemente, la seguridad no puede depender únicamente de revisiones esporádicas. Es necesario adoptar un enfoque de evaluación continua, mediante:
- Definición de controles de seguridad: Establecer configuraciones claras y criterios de seguridad bien definidos.
- Monitoreo constante: Implementar herramientas automatizadas que permitan identificar y mitigar riesgos en tiempo real.
- Medición de resultados: Evaluar periódicamente la efectividad de las medidas de seguridad, ajustándolas según sea necesario.
Las organizaciones más efectivas en seguridad no solo reaccionan ante incidentes, sino que trabajan de manera proactiva para mejorar sus controles antes de que ocurra un ataque. Adoptar la mejora continua como filosofía permite fortalecer la protección de los sistemas y garantizar una respuesta ágil y efectiva ante cualquier amenaza emergente.
En última instancia, mejorar la seguridad implica mucho más que simplemente reparar fallos; requiere establecer un marco sólido de evaluación y ajuste constante, asegurando que la tecnología, los procesos y las personas trabajen de manera sincronizada para minimizar los riesgos.
3.14 Control
El control en seguridad de la información se define como cualquier medida que modifica un riesgo. Estas medidas pueden ser técnicas o administrativas y tienen como objetivo prevenir, detectar o corregir amenazas que podrían explotar vulnerabilidades en los sistemas. En esencia, los controles de seguridad buscan minimizar el impacto de los riesgos y garantizar la protección de la información.
Aunque los controles suelen estar asociados a aspectos específicos de la seguridad, rara vez se definen en términos concretos. Pueden clasificarse en varias categorías según su naturaleza, como controles técnicos, administrativos, preventivos, de detección y correctivos. También existen controles generales que abarcan múltiples funciones dentro de un sistema de gestión de seguridad.
Si bien la gestión de controles puede parecer un tema altamente técnico, la experiencia demuestra que el «ambiente de control» dentro de una organización es fundamental. Este ambiente establece la cultura de seguridad, influyendo en la conciencia del personal sobre la importancia de la protección de la información. La ética, la disciplina y la estructura organizativa juegan un papel clave en la forma en que se implementan y hacen cumplir los controles de seguridad.
Tipos de Controles
Los controles de seguridad pueden clasificarse en función de su aplicación y propósito:
- Controles administrativos: Se refieren a las políticas, normas y procedimientos que regulan el comportamiento del personal en relación con la seguridad de la información. Estos controles establecen lo que los empleados deben hacer, lo que tienen prohibido y cómo deben actuar en situaciones específicas.
- Controles técnicos: Son aquellos implementados a través de sistemas informáticos y software. Pueden incluir cifrado de datos, autenticación de usuarios, firewalls y sistemas de detección de intrusos.
Dentro del ciclo de vida de la seguridad, los controles pueden ser:
- Controles preventivos: Diseñados para evitar que una amenaza aproveche una vulnerabilidad.
- Controles de detección: Se activan cuando una amenaza ya ha accedido al sistema, permitiendo identificar su presencia.
- Controles correctivos: Aplicados después de un incidente para mitigar o reparar el daño causado.
Caso Práctico: Aplicación de Controles Técnicos
Algunos ejemplos de controles técnicos en seguridad informática incluyen:
- Firewalls: Son controles preventivos, ya que bloquean accesos no autorizados antes de que se produzca un incidente.
- Sistemas de Detección de Intrusos (IDS): Son controles de detección que alertan cuando se identifica una actividad sospechosa en la red.
- Sistemas de Prevención de Intrusos (IPS): Pueden configurarse tanto para detectar como para bloquear ataques en tiempo real.
- Reinstalación de un sistema operativo infectado: Se considera un control correctivo, ya que elimina el malware después de que ha afectado al sistema.
Por otro lado, los controles forenses y la respuesta a incidentes también pueden considerarse controles administrativos o de personal, ya que requieren intervención humana para analizar y mitigar el impacto de un incidente de seguridad.
Controles Alternativos y de Compensación
Cuando un control estándar no puede aplicarse por limitaciones técnicas o del entorno, se recurre a controles alternativos o de compensación. Estos controles buscan cumplir la misma función que los controles originales, mitigando los riesgos de manera diferente.
Un control de compensación es aquel que se implementa cuando no es posible cumplir con un requisito específico, pero se logra reducir el riesgo mediante otras medidas de seguridad. Por ejemplo, si una empresa no puede implementar autenticación multifactor en ciertos sistemas debido a restricciones técnicas, podría compensar el riesgo con un monitoreo más estricto y un control de accesos más riguroso.
En conclusión, la implementación de controles de seguridad es una estrategia clave para proteger los sistemas de información. La combinación de controles preventivos, de detección y correctivos, junto con un enfoque basado en la evaluación continua de riesgos, permite a las organizaciones mejorar su postura de seguridad y responder de manera efectiva a cualquier incidente.
do los controles primarios fallan o no están disponibles, asegurando así la continuidad de la protección de los sistemas y datos.
3.15 Objetivo de Control
El objetivo de control es una declaración que establece lo que se espera lograr mediante la implementación de controles de seguridad. Este concepto es clave en la filosofía de la norma ISO 27001, que se basa en el ciclo PDCA (Planificar, Hacer, Verificar, Actuar), asegurando así una mejora continua en la gestión de la seguridad.
En la fase de planificación del sistema, se definen los objetivos de control específicos. Durante la implementación, se evalúa hasta qué punto se están alcanzando estos objetivos, y en la monitorización, se mide el desempeño real. Finalmente, en la evaluación, se analiza el cumplimiento de los objetivos y se implementan mejoras necesarias.
Los objetivos pueden ser de dos tipos:
- Objetivos medibles para los procesos del Sistema de Gestión de Seguridad de la Información (SGSI): Incluyen metas específicas para asegurar la protección de la información en la organización.
- Objetivos para los controles de seguridad: Se centran en la eficacia de las medidas implementadas para mitigar riesgos específicos.
Caso Práctico: Establecimiento de Objetivos de Control
- Firewall: Un objetivo de control podría ser reducir en un 5% las violaciones de políticas de acceso. Esto se puede medir monitoreando los incidentes detectados y bloqueados por el firewall.
- Sistema de Copias de Seguridad: Un objetivo medible podría ser limitar la pérdida de datos a un máximo de 12 horas, asegurando que la información se respalde de manera frecuente y eficiente.
La forma de verificar estos objetivos no debería depender de situaciones de emergencia o incidentes reales. En su lugar, es recomendable realizar simulaciones y pruebas periódicas para validar la eficacia de los controles implementados.
La Importancia de Medir Objetivos en Seguridad de la Información
Establecer y medir objetivos específicos es fundamental para gestionar efectivamente la seguridad de la información. Aunque puede parecer un enfoque nuevo, la medición sistemática permite identificar áreas de mejora y optimizar los recursos dedicados a la protección de datos. A menudo, la percepción de que esta práctica representa una sobrecarga se debe a la falta de conocimiento sobre los beneficios prácticos que ofrece.
| Preventivos | Detección | Correctivos | Compensación |
|---|---|---|---|
| Concienciación en la Seguridad | Sistemas de monitoreo de red | Actualización de Sistema Operativo | Copias de seguridad |
| Firewalls | IDS | Restaurar copias de respaldo | Servidor de respaldo en caliente |
| Anti virus | Anti virus | Anti virus | Aislamiento del servidor |
| Control de accesos | Detectores de Humos / Presencia | Mitigación de la vulnerabilidad | |
| IPS | IPS |
3.16 Corrección
La corrección es una acción inmediata tomada para eliminar una no conformidad detectada. Una no conformidad representa cualquier incumplimiento de un requisito, ya sea de un cliente, una normativa legal, la norma ISO 27001 o cualquier procedimiento interno de la organización.
Ante una no conformidad, la corrección aborda directamente las consecuencias inmediatas del problema, restaurando la conformidad de manera temporal. Sin embargo, para evitar la recurrencia del problema, es crucial identificar y eliminar las causas mediante acciones correctivas.
Diferencia entre Corrección y Acción Correctiva
- Corrección: Actúa sobre los efectos inmediatos de la no conformidad, asegurando una solución rápida para mitigar los daños.
- Acción Correctiva: Se enfoca en investigar y erradicar las causas raíz del problema, previniendo su futura aparición.
Implementar ambos enfoques de manera adecuada permite a las organizaciones no solo resolver los problemas cuando ocurren, sino también fortalecer sus sistemas de gestión de seguridad de la información, minimizando el riesgo de recurrencias y optimizando sus procesos.
3.17 Acción Correctiva
Una acción correctiva es aquella que se implementa para eliminar la causa raíz de una no conformidad y prevenir su recurrencia en el futuro. A diferencia de una corrección, que se limita a abordar el problema inmediato, la acción correctiva busca erradicar las condiciones que originaron la no conformidad para que no vuelva a presentarse.
En el ámbito de la seguridad de la información, la identificación y aplicación de acciones correctivas es clave para mejorar continuamente los sistemas de gestión y reducir vulnerabilidades. El proceso de acción correctiva generalmente incluye:
- Identificación de la no conformidad: Se detecta un incumplimiento de un requisito, ya sea por auditoría, revisión interna o incidente de seguridad.
- Análisis de causa raíz: Se investiga el origen del problema utilizando metodologías como el análisis de causa y efecto o los «5 porqués».
- Implementación de la acción correctiva: Se establecen medidas concretas para eliminar la causa del problema.
- Seguimiento y evaluación: Se verifica si la acción implementada ha sido efectiva para evitar la recurrencia.
Por ejemplo, si una auditoría detecta accesos no autorizados a una base de datos, una acción correctiva podría ser la revisión y actualización de los controles de acceso, asegurando que solo el personal autorizado tenga permisos adecuados.
3.18 Medida Derivada
Una medida derivada es una métrica que se obtiene como resultado de la combinación de dos o más medidas base. Estas medidas suelen usarse para evaluar tendencias o proporcionar indicadores más específicos que reflejen el desempeño de un sistema de seguridad de la información.
Existen diferentes formas de establecer medidas derivadas, entre ellas:
- Fórmulas de cálculo: Incluyen subtotales, sumas continuas o cualquier otro cálculo basado en datos acumulados.
- Indicadores sin agregación dinámica: Como los promedios de ocurrencias de incidentes de seguridad o el porcentaje de cumplimiento de un control de acceso.
Por ejemplo, si una organización tiene dos medidas base, como el número total de intentos de acceso no autorizado y el número de accesos exitosamente bloqueados, podría derivar una medida que refleje la efectividad de sus sistemas de autenticación.
3.19 Información Documentada
La información documentada es aquella que una organización debe mantener y controlar para asegurar la adecuada gestión de sus procesos. Puede presentarse en cualquier formato o medio, desde archivos de texto y bases de datos hasta audios, videos o registros físicos.
Este tipo de documentación es esencial para garantizar la coherencia y trazabilidad dentro de un Sistema de Gestión de Seguridad de la Información (SGSI). Su correcta gestión permite demostrar que los procesos están correctamente implementados y que cumplen con los requisitos normativos y operativos.
Dentro de un SGSI, la documentación se organiza en tres niveles principales:
- Documentación del sistema de gestión: Incluye políticas, procedimientos y normativas generales de la organización.
- Información operativa: Se refiere a los registros y documentos necesarios para la ejecución de las actividades diarias.
- Evidencias y registros: Son los datos que demuestran el cumplimiento de los procesos y la eficacia de las medidas implementadas.
Un error común en la gestión documental es la sobrecomplicación de la estructura, generando múltiples niveles de información que pueden entorpecer la operatividad. En muchos casos, una adecuada asesoría en la implementación del SGSI puede ayudar a optimizar la documentación sin incurrir en costos innecesarios.
3.20 Efectividad
La efectividad en la seguridad de la información se refiere a la medida en que las actividades planificadas se llevan a cabo correctamente y logran los resultados esperados. En un SGSI, la efectividad se evalúa observando cómo los procesos contribuyen a la consecución de los objetivos de seguridad.
Cada actividad dentro del sistema de gestión debe contar con entradas y salidas claramente definidas, permitiendo un control y seguimiento adecuado. La medición de la efectividad implica:
- Comparar lo planificado con lo ejecutado: Verificar si las medidas de seguridad se implementaron tal como se había previsto.
- Analizar los resultados obtenidos: Evaluar si los objetivos de seguridad se han alcanzado y en qué grado.
- Realizar ajustes y mejoras: Si se identifican desviaciones o fallos en la implementación, se deben tomar medidas para optimizar el proceso.
Por ejemplo, si un sistema de monitoreo de seguridad está diseñado para detectar ataques en tiempo real, su efectividad se mide en función de la rapidez con la que identifica incidentes y activa las respuestas necesarias.
La seguridad de la información no solo se trata de cumplir con normativas, sino de asegurar que las medidas adoptadas sean efectivas en la protección de los datos y la infraestructura digital de la organización.
No te detengas, sigue avanzando
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Sobre la autora
Romina Orlando
Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.