
Bienvenidos a esta guía sobre ISO 27001 Términos y definiciones 3.31 – 3.40. Comparte este articulo y síguenos para recibir más guías y cursos.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

3.31 Incidente de Seguridad de la Información
Un incidente de seguridad de la información es un evento, o una serie de eventos no deseados e inesperados, que pueden comprometer la seguridad de los datos y afectar las operaciones comerciales de una organización.
La diferencia entre un evento de seguridad y un incidente de seguridad radica en el impacto: un evento es cualquier ocurrencia relacionada con la seguridad, mientras que un incidente tiene consecuencias que afectan la confidencialidad, integridad o disponibilidad de la información.
Ejemplos de incidentes de seguridad incluyen:
- Divulgación no autorizada de información confidencial (por ejemplo, correos electrónicos enviados a destinatarios incorrectos).
- Pérdida o robo de datos almacenados en dispositivos físicos (ordenadores, discos duros, USB).
- Accesos no autorizados a sistemas o áreas restringidas.
- Ataques de malware, virus o ransomware.
- Ataques de denegación de servicio (DDoS) que afectan la disponibilidad de los servicios.
- Modificación no autorizada de información en bases de datos o sistemas críticos.
3.32 Gestión de Incidentes de Seguridad de la Información
La gestión de incidentes de seguridad de la información abarca el conjunto de procesos diseñados para detectar, informar, evaluar, responder y aprender de los incidentes de seguridad.
Este proceso no solo busca mitigar el impacto inmediato del incidente, sino que también tiene el objetivo de mejorar la resistencia de la organización ante futuras amenazas.
Un sistema eficiente de gestión de incidentes debe incluir:
- Identificación: Detectar y clasificar el incidente.
- Registro y análisis: Evaluar el impacto del incidente en tiempo real.
- Respuesta y mitigación: Contener el incidente y reducir los daños.
- Recuperación: Restaurar sistemas y datos comprometidos.
- Aprendizaje: Documentar el incidente y mejorar las estrategias de prevención.
Ejemplo de Respuesta a un Incidente
Imaginemos que un servidor comienza a funcionar más lentamente de lo habitual. Los analistas de seguridad identifican que un alto consumo de recursos proviene de una actividad sospechosa. Tras la investigación, descubren que el servidor ha sido comprometido con malware.
Pasos de respuesta:
- Contención del incidente: Se aísla el servidor afectado para evitar la propagación del malware.
- Análisis del ataque: Se investigan los archivos infectados y se recopila evidencia forense.
- Erradicación del malware: Se eliminan las amenazas detectadas y se aplican parches de seguridad.
- Recuperación del sistema: Se restauran los datos y se reestablecen los servicios.
- Informe y mejoras: Se documenta el incidente y se actualizan las políticas de seguridad para evitar futuras infecciones.
Planificación y Preparación ante Incidentes
La mejor manera de gestionar incidentes es contar con un Plan de Respuesta a Incidentes de Seguridad de la Información, que incluya:
- Políticas y procedimientos claros para identificar y tratar incidentes.
- Equipo de respuesta a incidentes (CSIRT) con roles definidos.
- Capacitación continua para el personal de seguridad y empleados.
- Simulacros de ataques para evaluar la preparación del equipo.
- Uso de herramientas de análisis forense para investigar ataques complejos.
Un plan sólido de gestión de incidentes no solo reduce los costos de recuperación, sino que también protege la reputación de la organización y minimiza riesgos legales derivados de brechas de seguridad.
3.33 Sistema de Gestión de Seguridad de la Información (SGSI) Profesional
Un SGSI profesional es la persona o equipo responsable de establecer, implementar, mantener y mejorar continuamente los procesos dentro del Sistema de Gestión de Seguridad de la Información (SGSI) de una organización.
En pequeñas y medianas empresas, una sola persona puede asumir esta responsabilidad, mientras que en organizaciones más grandes, es recomendable contar con un equipo especializado.
Las funciones principales de un profesional del SGSI incluyen:
- Definir y supervisar el Sistema de Gestión de Seguridad de la Información.
- Coordinar todas las actividades relacionadas con la seguridad de la información.
- Comunicarse con diferentes departamentos y partes interesadas.
- Gestionar el proceso de evaluación de riesgos.
- Mantener la conformidad con normativas y regulaciones.
Para desempeñar este rol, el profesional debe contar con habilidades técnicas, directivas y de comunicación, ya que su función implica tanto la gestión de tecnología como la formación y concienciación de los empleados.
3.34 Comunidad de Intercambio de Información
Una comunidad de intercambio de información es un grupo de organizaciones o individuos que acuerdan compartir información relevante sobre ciberseguridad.
En entornos internacionales, tanto en Estados Unidos como en Europa, existen regulaciones que establecen normas para el intercambio seguro de información sobre amenazas y vulnerabilidades. Un caso clave es el Reglamento General de Protección de Datos (RGPD), que impone restricciones sobre el tipo de datos que pueden compartirse, garantizando que la información personal sea eliminada antes de su distribución.
La información de seguridad compartida debe usarse exclusivamente para:
- Identificar amenazas cibernéticas o vulnerabilidades.
- Prevenir ataques de actores malintencionados, incluidos terroristas y ciberdelincuentes.
- Mitigar amenazas inminentes a la seguridad pública.
- Apoyar investigaciones criminales relacionadas con fraude, robo de identidad o explotación infantil.
El intercambio de información es una estrategia clave para fortalecer la seguridad global, ya que permite a las organizaciones anticiparse a nuevas amenazas basándose en experiencias compartidas por otras entidades.
3.35 Sistema de Información
Un sistema de información es un conjunto de aplicaciones, servicios, hardware, software y otros activos tecnológicos diseñados para gestionar, procesar y almacenar información.
A menudo, se asocia con sistemas informáticos, pero también puede incluir redes de telecomunicaciones, sistemas de control ambiental y plataformas de gestión empresarial.
Un sistema de información está compuesto por:
- Infraestructura tecnológica (servidores, redes, bases de datos).
- Software y aplicaciones que procesan y gestionan datos.
- Usuarios que interactúan con la información.
- Instalaciones y soportes físicos que albergan los datos.
Dependiendo de su función, los sistemas de información pueden clasificarse en:
- Sistemas de soporte de operaciones: Procesan transacciones y automatizan tareas operativas.
- Sistemas de información de gestión: Organizan datos para ayudar en la toma de decisiones.
- Sistemas de apoyo a la toma de decisiones: Recopilan información para análisis estratégicos.
- Sistemas de información ejecutiva: Proporcionan datos clave a los líderes empresariales.
En un mundo cada vez más digitalizado, la correcta administración de los sistemas de información es esencial para la eficiencia operativa y la seguridad de los datos.
3.36 Integridad
La integridad de la información es la propiedad que garantiza la exactitud y consistencia de los datos a lo largo del tiempo. En términos de seguridad de la información, esto significa que los datos no han sido alterados ni modificados sin autorización, manteniéndose intactos durante su captura, almacenamiento, transferencia y procesamiento.
Para garantizar la integridad de los datos, se implementan controles que permiten validar que la información permanece en su estado original y no ha sido comprometida por errores o ataques malintencionados. Entre los mecanismos más comunes para preservar la integridad se encuentran:
- Cifrado de datos, que protege la información contra manipulaciones no autorizadas.
- Copias de seguridad, para garantizar la recuperación de la información en caso de corrupción.
- Controles de acceso, limitando los privilegios de escritura y modificación.
- Validación de entrada, asegurando que solo datos correctos sean procesados.
- Verificación de integridad, a través de técnicas como el uso de hashes criptográficos que detectan cualquier alteración en los datos.
Integridad en Bases de Datos
En bases de datos, la integridad es un principio esencial para garantizar que la información almacenada sea precisa y confiable. Durante el diseño de una base de datos, se implementan reglas de validación y mecanismos de rastreo que permiten asegurar la relación entre diferentes registros y la coherencia de los datos.
Contar con un sistema de integridad de datos bien definido mejora la estabilidad y el rendimiento del sistema, asegurando que cualquier alteración no autorizada pueda ser detectada y corregida a tiempo.
3.37 Parte Interesada
Una parte interesada es cualquier persona u organización que puede afectar o verse afectada por una decisión o actividad dentro de una empresa. En el contexto de la seguridad de la información, las partes interesadas incluyen empleados, clientes, proveedores, accionistas y reguladores, todos los cuales pueden influir en la implementación y cumplimiento de las políticas de seguridad.
Cada parte interesada tiene expectativas y responsabilidades en la seguridad de la información. Por ejemplo:
- Los empleados deben cumplir con las normativas de seguridad y buenas prácticas.
- Los clientes esperan que sus datos personales sean protegidos.
- Los reguladores imponen requisitos legales y normativos que la empresa debe cumplir.
3.38 Contexto Interno
El contexto interno de una organización se refiere a todos los factores internos que influyen en su capacidad para alcanzar sus objetivos, incluyendo su estructura organizativa, cultura y recursos disponibles.
Algunos de los elementos clave del contexto interno incluyen:
- Gobierno corporativo: Roles y responsabilidades dentro de la organización.
- Estrategias y objetivos: Planes de acción y metas establecidas.
- Capacidades internas: Recursos financieros, humanos y tecnológicos.
- Flujos de información: Métodos de comunicación y toma de decisiones.
- Cultura organizacional: Valores y percepciones dentro de la empresa.
En el contexto de un Sistema de Gestión de Seguridad de la Información (SGSI), comprender el contexto interno es esencial para diseñar estrategias de seguridad efectivas y alineadas con los objetivos empresariales.
3.39 Nivel de Riesgo
El nivel de riesgo en seguridad de la información se refiere a la magnitud de una amenaza, expresada en función de su impacto y probabilidad de ocurrencia. Evaluar el nivel de riesgo permite tomar decisiones informadas sobre qué medidas implementar para mitigar posibles amenazas.
Cálculo del Nivel de Riesgo
El nivel de riesgo se determina mediante la siguiente fórmula:
Nivel de riesgo = Probabilidad de ocurrencia x Impacto de la pérdida
Donde:
- Probabilidad de ocurrencia: La posibilidad de que un evento adverso suceda (por ejemplo, un ataque cibernético o una filtración de datos).
- Impacto de la pérdida: La gravedad de las consecuencias si el evento ocurre (pérdida financiera, daño reputacional, sanciones legales).
Un enfoque común para evaluar el nivel de riesgo es asignar valores a estos factores en una escala del 1 al 5 y multiplicarlos para obtener un nivel de riesgo cuantificable.
Ejemplo de Evaluación de Riesgo
Si la probabilidad de que un hacker comprometa un sistema es alta (4) y el impacto de la brecha de datos es crítico (5), el nivel de riesgo sería:
4 (Probabilidad) x 5 (Impacto) = 20 (Riesgo Alto)
Este análisis permite establecer medidas de seguridad adecuadas, como implementar autenticación multifactor, cifrado de datos y sistemas de detección de intrusos.
El nivel de riesgo es un factor clave en la toma de decisiones sobre inversiones en ciberseguridad y en la priorización de esfuerzos para mitigar amenazas dentro de una organización.
3.40 Probabilidad
La probabilidad en el análisis de riesgos de seguridad de la información se refiere a la posibilidad de que una amenaza se materialice y genere un impacto en los activos de una organización. Evaluar la probabilidad de ocurrencia de un evento es fundamental para anticipar riesgos y diseñar estrategias de mitigación adecuadas.
Sin embargo, en muchos casos, la falta de datos objetivos sobre ciertos tipos de amenazas dificulta la aplicación de un modelo de pronóstico basado en la probabilidad matemática tradicional. Por ello, se utilizan diferentes enfoques para estimar la probabilidad dentro del análisis de riesgos.
Conceptos Claves de la Probabilidad en Seguridad de la Información
1. Probabilidad Clásica
La probabilidad clásica se basa en la suposición de que todos los eventos posibles son igualmente probables. Sin embargo, en el ámbito de la seguridad de la información, este concepto rara vez es aplicable, ya que los ataques cibernéticos, errores humanos o fallos técnicos tienen diferentes niveles de probabilidad dependiendo del contexto.
2. Frecuencia y Probabilidad Empírica
La frecuencia mide la probabilidad de que un evento ocurra dentro de un intervalo de tiempo determinado, basado en la cantidad de veces que ha ocurrido en el pasado.
Por ejemplo, si en un período de un año una empresa ha sufrido 10 intentos de phishing exitosos, podríamos estimar que la probabilidad de ocurrencia de un intento de phishing exitoso en los próximos meses es alta.
Caso Práctico: Estimación de Frecuencia
Si un centro de datos ha sido objetivo de ataques DDoS cinco veces en los últimos dos años, podemos calcular la frecuencia promedio y extrapolarla para estimar la probabilidad de futuros ataques en condiciones similares.
Este enfoque es útil, pero tiene la limitación de que no puede predecir eventos que no hayan ocurrido previamente o para los cuales no se tengan registros históricos suficientes.
3. Probabilidad Subjetiva
Cuando no se cuenta con suficientes datos empíricos, se recurre a la probabilidad subjetiva, basada en la evaluación de expertos, intuición o factores indirectos.
Por ejemplo, si un analista de seguridad evalúa que un sistema vulnerable no ha sido atacado en el pasado, pero está expuesto a amenazas emergentes en su sector, podría estimar que la probabilidad de un ataque es moderada o alta, incluso sin datos concretos.
Este enfoque tiene la desventaja de que la estimación puede variar según el criterio de la persona que realiza la evaluación, lo que introduce un margen de error o sesgo en el análisis de riesgos.
Estimación de Probabilidad en Seguridad de la Información
Para estimar la probabilidad de un ataque o evento de seguridad, se pueden considerar tres factores clave:
- Motivo: ¿Cuán motivado está un atacante para comprometer un activo? ¿Se trata de un ataque dirigido o una amenaza genérica?
- Medios: ¿Qué tipo de ataques pueden afectar a la organización? ¿Qué tan sofisticados son? ¿Los atacantes tienen los conocimientos y herramientas necesarias para ejecutarlos?
- Oportunidad: ¿Qué tan vulnerable es la infraestructura de la organización? ¿Existen brechas de seguridad evidentes que puedan ser explotadas?
Un análisis de riesgos efectivo combina estos factores junto con datos históricos y evaluaciones expertas para proporcionar una probabilidad más precisa de ocurrencia de incidentes de seguridad.
Ejemplo Aplicado en Seguridad de la Información
Si una empresa del sector financiero analiza la probabilidad de sufrir un ataque de ransomware, podría considerar:
- Motivo: Los atacantes buscan obtener beneficios económicos mediante la extorsión. La industria financiera es un objetivo atractivo.
- Medios: Existen numerosos grupos de ransomware con acceso a herramientas avanzadas para lanzar ataques.
- Oportunidad: Si la empresa no tiene implementadas soluciones de respaldo y respuesta ante ransomware, la vulnerabilidad es alta.
En este caso, la combinación de estos factores indica una probabilidad alta de que la empresa sea atacada, lo que justifica la implementación de medidas preventivas como el cifrado de datos, copias de seguridad regulares y simulaciones de respuesta ante incidentes.
Conclusión
La probabilidad es un elemento crítico en el análisis de riesgos de seguridad de la información. Sin embargo, debido a la variabilidad de las amenazas cibernéticas, se deben combinar diferentes enfoques, incluyendo el análisis de frecuencia, la probabilidad subjetiva y la evaluación de factores de riesgo, para tomar decisiones informadas y mejorar la postura de seguridad de una organización.
No te detengas, sigue avanzando
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre la autora
Romina Orlando
Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.