Bienvenidos a esta guía sobre ISO 27001 Términos y definiciones 3.51 – 3.60. Comparte este articulo y síguenos para recibir más guías y cursos.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
3.51 Externalizar
La externalización es el proceso mediante el cual una organización delega parte de sus funciones o procesos a una entidad externa.
Es importante destacar que, aunque la empresa subcontrate una función, sigue siendo responsable de la seguridad de la información dentro del alcance del SGSI.
Ejemplo de externalización en seguridad de la información:
- Contratar a un proveedor de almacenamiento en la nube para gestionar copias de seguridad.
- Delegar la gestión de un centro de datos a una empresa especializada.
- Subcontratar un SOC (Centro de Operaciones de Seguridad) para la detección y respuesta a incidentes.
Para garantizar la seguridad en los procesos externalizados, es fundamental establecer acuerdos de nivel de servicio (SLA) y cláusulas contractuales que definan requisitos de seguridad.
3.52 Desempeño
El desempeño es un resultado medible que permite evaluar la efectividad de un proceso, sistema o actividad.
En seguridad de la información, el desempeño se mide a través de indicadores clave (KPIs) que reflejan el estado del SGSI y su alineación con los objetivos de seguridad.
Ejemplo de indicadores de desempeño en seguridad de la información:
- Tiempo medio de respuesta a incidentes (MTTR).
- Número de accesos no autorizados bloqueados.
- Porcentaje de cumplimiento de políticas de seguridad en auditorías internas.
Diferencia entre Objetivos e Indicadores
- Objetivo: Define qué se quiere lograr. Ejemplo: «Reducir el tiempo de detección de amenazas».
- Indicador: Permite medir si se está logrando el objetivo. Ejemplo: «Tiempo medio de detección de amenazas en minutos».
Criterios para la Selección de Indicadores en Seguridad de la Información
Para que un indicador sea útil, debe cumplir con ciertos criterios:
- Relevancia: Debe estar alineado con los objetivos de la organización.
- Integración: Debe poder medirse sin interrumpir las operaciones normales.
- Significativo: Debe proporcionar información clara sobre aspectos críticos, como intentos fallidos de acceso o ataques detectados.
Seleccionar indicadores adecuados permite evaluar el desempeño del SGSI, identificar áreas de mejora y fortalecer la seguridad de la organización.
3.53 Política
Una política es la expresión formal de las intenciones y dirección de una organización, establecida por la alta dirección.
En el ámbito de la seguridad de la información, la política de seguridad de la información es un documento fundamental dentro de un SGSI (Sistema de Gestión de Seguridad de la Información). Define los principios y lineamientos que deben seguirse para proteger la información y garantizar su confidencialidad, integridad y disponibilidad.
Elementos Claves de una Política de Seguridad de la Información
- Compromiso de la alta dirección con la seguridad de la información.
- Definición clara de responsabilidades y roles en la organización.
- Objetivos de seguridad alineados con los requerimientos de negocio.
- Cumplimiento de normativas como ISO 27001, GDPR, NIST, etc.
- Lineamientos para la protección de datos y gestión de riesgos.
Una política de seguridad efectiva debe ser clara, accesible y revisada periódicamente para garantizar su vigencia y aplicabilidad.
3.54 Proceso
Un proceso es un conjunto de actividades interrelacionadas que transforman entradas en salidas para generar un producto o servicio.
En el contexto de ISO 27001 y los SGSI, un enfoque basado en procesos es clave para gestionar la seguridad de la información de manera efectiva.
Enfoque de Procesos en ISO 27001
La norma ISO 27001 establece que una organización debe tratar su SGSI como un conjunto de procesos interconectados. Esto significa que:
- Cada proceso debe estar claramente definido.
- Las interacciones entre procesos deben ser gestionadas.
- Las entradas y salidas de cada proceso deben ser identificadas.
- Los procesos deben ser medibles y auditables.
Por ejemplo, el proceso de gestión de accesos en un SGSI incluiría:
- Entrada: Solicitudes de acceso a sistemas.
- Actividades: Verificación de identidad, asignación de privilegios, validación de permisos.
- Salida: Acceso concedido o denegado según las políticas de seguridad.
Gestión de Procesos en Seguridad de la Información
Para implementar un enfoque efectivo de procesos en un SGSI, se deben seguir estos pasos:
- Identificar los procesos clave de la seguridad de la información.
- Definir cada proceso, incluyendo su propósito, entradas, salidas y responsables.
- Medir y evaluar el proceso con indicadores de desempeño.
- Establecer objetivos para cada proceso, alineados con la estrategia organizacional.
- Evaluar la efectividad de los procesos mediante auditorías periódicas.
El objetivo final de este enfoque es mejorar la eficiencia y efectividad del SGSI, asegurando la mejora continua y el cumplimiento de los requisitos de seguridad de la información.
3.55 Confiabilidad
La confiabilidad es una característica fundamental de cualquier sistema de información, ya sea software, hardware o una red. Esta propiedad garantiza que el sistema funcione de acuerdo con las especificaciones establecidas, ofreciendo un desempeño predecible y estable.
A menudo, la confiabilidad se relaciona estrechamente con otros atributos esenciales como la disponibilidad y la capacidad. Estos factores son determinantes en la toma de decisiones al adquirir equipos o sistemas informáticos, ya que influyen directamente en su eficiencia y rendimiento. Por ello, al diseñar cualquier sistema, se debe considerar no solo su confiabilidad, sino también su capacidad de respuesta y disponibilidad.
En términos ideales, un sistema confiable estaría completamente libre de fallos técnicos. Sin embargo, en la práctica, los fabricantes suelen expresar la confiabilidad en términos porcentuales, proporcionando una medida del nivel de seguridad y estabilidad que puede ofrecer un producto.
En el ámbito del software, la confiabilidad también se evalúa a lo largo del tiempo, teniendo en cuenta la evolución del producto a través de sus diferentes versiones. Generalmente, con cada nueva actualización, se corrigen errores y se optimiza el rendimiento, lo que hace que el software se vuelva progresivamente más confiable. Por esta razón, antes de realizar una instalación o migración, es crucial optar por la versión más estable y depurada de la aplicación, minimizando así los riesgos de fallos inesperados.
3.56 Requisito
Un requisito es una necesidad o expectativa que debe cumplirse, ya sea de manera implícita o explícita. Cuando un requisito es «generalmente implícito», significa que se trata de una práctica habitual o esperada dentro de una organización o sector, aunque no necesariamente esté formalizada.
Por otro lado, un requisito especificado es aquel que ha sido definido de manera clara, como puede ser la necesidad de contar con documentación estructurada. En el ámbito normativo, cumplir con ciertos requisitos significa alinearse con estándares específicos, como los establecidos por la Organización Internacional de Normalización (ISO).
Por ejemplo, si una empresa cumple con los requisitos de la norma ISO 27001, se considera que su sistema de gestión de seguridad de la información sigue las mejores prácticas reconocidas a nivel internacional. Obtener la certificación bajo esta norma no solo refuerza la seguridad de la información dentro de la organización, sino que también mejora su credibilidad y reputación en el mercado.
Además, el cumplimiento de los requisitos de seguridad de la información establecidos en la norma ISO 27001 puede ser utilizado con distintos propósitos: desde mejorar la imagen de la empresa y su confiabilidad hasta obtener certificaciones oficiales o fortalecer los procesos internos de seguridad.
3.57 Riesgo Residual
El riesgo residual es aquel que permanece después de haber aplicado las medidas de tratamiento de riesgo. Incluso tras la implementación de controles y estrategias de mitigación, ciertos riesgos pueden persistir en algún grado, lo que implica que nunca es posible eliminar por completo todas las amenazas. Este tipo de riesgo también es conocido como «riesgo retenido».
En el contexto de la norma ISO 27001, el riesgo residual representa la cantidad de riesgo que todavía existe después de que se han aplicado los controles diseñados para reducir su impacto o probabilidad. Tras identificar los riesgos, se procede a tratar aquellos que no son aceptables con el objetivo de minimizar sus efectos, sin embargo, es inevitable que ciertos riesgos permanezcan dentro de un umbral determinado. Evaluar el nivel de riesgo residual es clave para determinar si las medidas adoptadas han sido lo suficientemente eficaces.
Para medir el riesgo residual, se emplea un proceso similar al de la evaluación de riesgos inicial. Sin embargo, debido a que los riesgos han sido ya tratados, su impacto y probabilidad de ocurrencia suelen ser menores. Esto hace que las estrategias de mitigación de esta fase sean diferentes, enfocándose en la gestión y supervisión de los riesgos restantes en lugar de su eliminación.
Tratamiento del Riesgo Residual y Niveles Aceptables
El análisis del riesgo residual permite determinar si las estrategias de mitigación aplicadas han sido efectivas. La clave aquí es identificar qué nivel de riesgo es aceptable para la organización, lo que se conoce como su perfil de riesgo.
Cada empresa define su propio umbral de tolerancia al riesgo con base en su modelo de negocio y su entorno operativo. La norma ISO 27001 brinda flexibilidad para que las organizaciones decidan si desean operar con un perfil de riesgo conservador, moderado o alto. En general, las empresas en etapas iniciales pueden aceptar mayores niveles de riesgo, mientras que organizaciones más establecidas tienden a buscar una postura más conservadora para garantizar estabilidad y continuidad.
Una vez determinados los riesgos residuales, existen tres opciones principales de gestión:
- Si el nivel de riesgo está por debajo del umbral aceptable, no es necesario tomar medidas adicionales, solo se documenta la aceptación del riesgo.
- Si el nivel de riesgo supera el umbral aceptable, es necesario evaluar nuevos controles y estrategias para reforzar la seguridad y luego reevaluar la situación.
- Si el costo de mitigación es mayor que el impacto potencial del riesgo, puede ser más viable aceptar el riesgo o buscar alternativas como la transferencia del riesgo a través de seguros.
3.58 Revisión
La revisión es una actividad esencial para evaluar la idoneidad, adecuación y eficacia de un sistema de gestión de seguridad de la información (SGSI) en relación con sus objetivos. A través de este proceso, las organizaciones pueden determinar si su SGSI está cumpliendo con su propósito y si las estrategias implementadas están generando los resultados esperados.
La eficacia de un SGSI se mide observando la relación entre los resultados obtenidos y los recursos empleados. Un sistema de seguridad de la información se considera eficaz cuando logra mejorar la protección de los datos y reducir vulnerabilidades de manera comprobable.
Por otro lado, la eficiencia se enfoca en qué tan bien se están ejecutando las actividades planificadas y en qué medida se alcanzan los resultados esperados. Una gestión eficiente implica que los procesos de seguridad de la información se llevan a cabo de manera óptima sin desperdiciar recursos.
Adecuación e Idoneidad del SGSI
La adecuación de un SGSI se refiere a su capacidad para cumplir con los requisitos establecidos, ya sea por la organización misma o por estándares como la ISO 27001. Para que un sistema sea adecuado, debe cumplir con todos los requisitos aplicables sin excederlos ni quedarse por debajo del estándar necesario.
Por otro lado, la idoneidad del SGSI está relacionada con su capacidad para cumplir con el propósito específico para el que fue diseñado. Dependiendo de la organización, este propósito puede incluir garantizar la seguridad de la información, reducir incidentes o fortalecer la confianza de clientes y socios.
Evaluar y mejorar constantemente estos aspectos permite que un SGSI se mantenga alineado con las necesidades de la empresa, asegurando su efectividad a lo largo del tiempo.
3.59 Objeto de Revisión
El objeto de revisión se refiere a un elemento específico que debe ser evaluado dentro de un sistema de gestión de seguridad de la información (SGSI). Para determinar la eficacia y el rendimiento de un SGSI, se suelen definir una serie de factores críticos de evaluación que influyen directamente en su éxito. Estos factores pueden estar organizados en distintos niveles y ser medidos mediante un sistema ponderado, lo que permite obtener una visión estructurada del desempeño del sistema.
En un modelo de evaluación basado en ponderaciones, el análisis del rendimiento no solo se basa en datos empíricos obtenidos a través de la experiencia de expertos en seguridad de la información, sino también en la valoración estructurada de indicadores organizados en diferentes niveles. Este enfoque ayuda a determinar de manera más precisa la efectividad de las medidas implementadas y su impacto real en la seguridad de la información.
Objetos de Revisión en Seguridad de la Información
El nivel de seguridad de la información depende, en gran medida, de cómo se gestionan los riesgos, los empleados y las fuentes de información. En contraste, los factores formales y ambientales suelen tener un impacto menor en comparación con los controles técnicos y organizativos.
Los especialistas en seguridad recomiendan que la evolución de un SGSI sea un proceso sistemático y progresivo. Los primeros pasos en este proceso deberían enfocarse en la revisión de controles de seguridad técnicos, lógicos y físicos, asegurando que las bases del sistema sean sólidas. Posteriormente, las organizaciones pueden avanzar hacia actividades estratégicas de administración que permitan mejorar la seguridad a un nivel más alto.
Al implementar un modelo ponderado en el que los objetos de revisión se clasifican en distintos niveles de importancia, las organizaciones pueden obtener una evaluación más precisa de su rendimiento en seguridad de la información. Este enfoque facilita la toma de decisiones basada en datos objetivos y permite priorizar las áreas que requieren mejoras.
3.60 Objetivo de Revisión
El objetivo de revisión es una declaración que define claramente lo que se espera lograr como resultado de una evaluación dentro de un SGSI. Este objetivo establece la dirección y el propósito de la revisión, asegurando que los esfuerzos estén alineados con las metas estratégicas de la organización en materia de seguridad de la información.
Un objetivo de revisión debe ser concreto y medible. Por ejemplo, una empresa que gestiona servicios en la nube podría definir su objetivo de revisión como:
«Garantizar un servicio en la nube seguro y confiable para los usuarios y otras partes interesadas, asegurando que la plataforma es adecuada para manejar información confidencial con el más alto nivel de seguridad.»
Para asegurar que este objetivo sea alcanzable, se deben definir metas específicas que puedan ser revisadas periódicamente. Estas metas no deben ser exageradas, pero sí deben reflejar altos estándares de calidad y seguridad.
Ejemplos de objetivos de revisión incluyen:
- Tiempo de actividad del sistema: Mantener una disponibilidad del 99,5%
- Seguridad de las copias de seguridad: Garantizar un nivel de fallos igual a 0
- Corrección de fallos del sistema: Lograr un número de acciones correctivas sobre fallos del sistema en un año igual a 0
Definir estos objetivos permite a las organizaciones evaluar continuamente su desempeño y realizar ajustes cuando sea necesario, garantizando que su SGSI permanezca alineado con las mejores prácticas y estándares internacionales.
No te detengas, sigue avanzando
Aquí tienes un propósito para este 2025 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad
En este curso exclusivo, te guiaré paso a paso a lo largo de más de 13 horas de contenido en video, donde aprenderás en profundidad los fundamentos, la implementación y la auditoría de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001.
Además, te prepararé para obtener las 4 certificaciones oficiales de CertiProf relacionadas con esta norma, explicándote no solo los conceptos clave, sino también cómo afrontar con éxito los exámenes, con ejemplos reales, simulaciones y estrategias prácticas.
Certificate en ISO 27001
Cada certificación de ISO 27001 cumple un rol específico, pero juntas forman un camino integral para la gestión, implementación y auditoría de la seguridad de la información. Aquí te mostramos cómo se complementan:
- ISO 27001 Foundation proporciona la base teórica para comprender la norma y su impacto en la seguridad de la información.
- ISO 27001 Lead Implementer lleva ese conocimiento a la práctica, permitiendo diseñar e implementar un SGSI en una organización.
- ISO 27001 Internal Auditor se encarga de evaluar la implementación del SGSI, asegurando que se cumpla con la norma y se identifiquen oportunidades de mejora.
- ISO 27001 Lead Auditor valida todo el proceso, certificando la conformidad del SGSI con ISO 27001 y asegurando la mejora continua a nivel externo.
Un profesional con estas cuatro certificaciones puede no solo comprender ISO 27001, sino también implementarla, auditar su cumplimiento interno y certificar a organizaciones. Esto lo convierte en un experto altamente competitivo en seguridad de la información.
ISO 27001 Lead Implementer: Diseña y gestiona un SGSI
¿Qué aprenderás?
Esta certificación está diseñada para aquellos que lideran la implementación de un SGSI dentro de una organización. Se centra en:
- Diseño y desarrollo de un SGSI efectivo según ISO 27001.
- Identificación y gestión de riesgos de seguridad.
- Aplicación de controles de seguridad adecuados.
- Creación de políticas y procedimientos para la gestión de la información.
- Gestión del cambio y estrategias de mejora continua en seguridad.
Enfoque principal:
Preparar a los profesionales para liderar la implementación de un SGSI dentro de una organización, asegurando el cumplimiento con ISO 27001 y optimizando la gestión de la seguridad de la información.
ISO 27001 Auditor – Lead Auditor Professional Certificate
La seguridad de la información es un pilar fundamental en cualquier organización que maneje datos sensibles. La ISO/IEC 27001 es la norma internacional de referencia para la gestión de la seguridad de la información, estableciendo los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
En este curso, aprenderás a aplicar la norma ISO 27001 desde la perspectiva de un auditor, adquiriendo los conocimientos y habilidades para liderar auditorías internas y externas, evaluar la conformidad con la norma y garantizar que las organizaciones implementen controles de seguridad efectivos.
Al completar este programa, estarás preparado para:
✅ Comprender los principios y requisitos de la norma ISO 27001.
✅ Planificar y ejecutar auditorías de seguridad de la información.
✅ Identificar riesgos y puntos de mejora en un SGSI.
✅ Elaborar informes de auditoría con hallazgos y recomendaciones.
✅ Obtener el ISO 27001 Auditor – Lead Auditor Professional Certificate, que certifica tu capacidad como auditor líder en seguridad de la información.
ISO 27001 Lead Implementer
La seguridad de la información es un desafío clave en la era digital, y la norma ISO/IEC 27001 se ha convertido en el estándar global para la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI). Un Lead Implementer es el profesional encargado de diseñar, implementar y mantener un SGSI efectivo dentro de una organización, asegurando el cumplimiento normativo y la protección de la información crítica.
En este curso, aprenderás a:
✅ Comprender en profundidad la norma ISO 27001 y sus requisitos.
✅ Diseñar e implementar un SGSI desde cero.
✅ Identificar y gestionar los riesgos de seguridad de la información.
✅ Desarrollar políticas, procedimientos y controles de seguridad alineados con ISO 27001.
✅ Liderar la certificación de una organización bajo ISO 27001.
✅ Obtener el ISO 27001 Lead Implementer Professional Certificate, que certifica tu capacidad para implementar y gestionar la seguridad de la información de manera profesional.
¡Inscríbete ahora!
Ya sea que estés dando tus primeros pasos en ciberseguridad o que busques especializarte como auditor o consultor en seguridad de la información, este curso está diseñado para darte todo lo necesario para certificarte y destacarte.
Este curso está diseñado tanto para profesionales de ciberseguridad, consultores, auditores internos y externos, responsables de seguridad de la información y gestores de riesgo, como para cualquier persona interesada en obtener una certificación reconocida en auditoría de seguridad. Es hora de potenciar tu perfil profesional con una certificación internacional y una formación completa y accesible.
¡Inscríbete ahora y da el siguiente paso en tu carrera profesional con ISO 27001!
Mira los videos Gratuitos de previsualización para saber que te encontraras en el curso.
Sobre los autores
Álvaro Chirou
Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 2.000.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:
Laprovittera Carlos
Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad de hacking y ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?