Bienvenidos a esta guía sobre ISO 27001 Términos y definiciones 3.51 – 3.60. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

3.51 Externalizar

La externalización es el proceso mediante el cual una organización delega parte de sus funciones o procesos a una entidad externa.

Es importante destacar que, aunque la empresa subcontrate una función, sigue siendo responsable de la seguridad de la información dentro del alcance del SGSI.

Ejemplo de externalización en seguridad de la información:

  • Contratar a un proveedor de almacenamiento en la nube para gestionar copias de seguridad.
  • Delegar la gestión de un centro de datos a una empresa especializada.
  • Subcontratar un SOC (Centro de Operaciones de Seguridad) para la detección y respuesta a incidentes.

Para garantizar la seguridad en los procesos externalizados, es fundamental establecer acuerdos de nivel de servicio (SLA) y cláusulas contractuales que definan requisitos de seguridad.

3.52 Desempeño

El desempeño es un resultado medible que permite evaluar la efectividad de un proceso, sistema o actividad.

En seguridad de la información, el desempeño se mide a través de indicadores clave (KPIs) que reflejan el estado del SGSI y su alineación con los objetivos de seguridad.

Ejemplo de indicadores de desempeño en seguridad de la información:

  • Tiempo medio de respuesta a incidentes (MTTR).
  • Número de accesos no autorizados bloqueados.
  • Porcentaje de cumplimiento de políticas de seguridad en auditorías internas.

Diferencia entre Objetivos e Indicadores

  • Objetivo: Define qué se quiere lograr. Ejemplo: «Reducir el tiempo de detección de amenazas».
  • Indicador: Permite medir si se está logrando el objetivo. Ejemplo: «Tiempo medio de detección de amenazas en minutos».

Criterios para la Selección de Indicadores en Seguridad de la Información

Para que un indicador sea útil, debe cumplir con ciertos criterios:

  1. Relevancia: Debe estar alineado con los objetivos de la organización.
  2. Integración: Debe poder medirse sin interrumpir las operaciones normales.
  3. Significativo: Debe proporcionar información clara sobre aspectos críticos, como intentos fallidos de acceso o ataques detectados.

Seleccionar indicadores adecuados permite evaluar el desempeño del SGSI, identificar áreas de mejora y fortalecer la seguridad de la organización.

3.53 Política

Una política es la expresión formal de las intenciones y dirección de una organización, establecida por la alta dirección.

En el ámbito de la seguridad de la información, la política de seguridad de la información es un documento fundamental dentro de un SGSI (Sistema de Gestión de Seguridad de la Información). Define los principios y lineamientos que deben seguirse para proteger la información y garantizar su confidencialidad, integridad y disponibilidad.

Elementos Claves de una Política de Seguridad de la Información

  • Compromiso de la alta dirección con la seguridad de la información.
  • Definición clara de responsabilidades y roles en la organización.
  • Objetivos de seguridad alineados con los requerimientos de negocio.
  • Cumplimiento de normativas como ISO 27001, GDPR, NIST, etc.
  • Lineamientos para la protección de datos y gestión de riesgos.

Una política de seguridad efectiva debe ser clara, accesible y revisada periódicamente para garantizar su vigencia y aplicabilidad.

3.54 Proceso

Un proceso es un conjunto de actividades interrelacionadas que transforman entradas en salidas para generar un producto o servicio.

En el contexto de ISO 27001 y los SGSI, un enfoque basado en procesos es clave para gestionar la seguridad de la información de manera efectiva.

Enfoque de Procesos en ISO 27001

La norma ISO 27001 establece que una organización debe tratar su SGSI como un conjunto de procesos interconectados. Esto significa que:

  1. Cada proceso debe estar claramente definido.
  2. Las interacciones entre procesos deben ser gestionadas.
  3. Las entradas y salidas de cada proceso deben ser identificadas.
  4. Los procesos deben ser medibles y auditables.

Por ejemplo, el proceso de gestión de accesos en un SGSI incluiría:

  • Entrada: Solicitudes de acceso a sistemas.
  • Actividades: Verificación de identidad, asignación de privilegios, validación de permisos.
  • Salida: Acceso concedido o denegado según las políticas de seguridad.

Gestión de Procesos en Seguridad de la Información

Para implementar un enfoque efectivo de procesos en un SGSI, se deben seguir estos pasos:

  1. Identificar los procesos clave de la seguridad de la información.
  2. Definir cada proceso, incluyendo su propósito, entradas, salidas y responsables.
  3. Medir y evaluar el proceso con indicadores de desempeño.
  4. Establecer objetivos para cada proceso, alineados con la estrategia organizacional.
  5. Evaluar la efectividad de los procesos mediante auditorías periódicas.

El objetivo final de este enfoque es mejorar la eficiencia y efectividad del SGSI, asegurando la mejora continua y el cumplimiento de los requisitos de seguridad de la información.

3.55 Confiabilidad

La confiabilidad es una característica fundamental de cualquier sistema de información, ya sea software, hardware o una red. Esta propiedad garantiza que el sistema funcione de acuerdo con las especificaciones establecidas, ofreciendo un desempeño predecible y estable.

A menudo, la confiabilidad se relaciona estrechamente con otros atributos esenciales como la disponibilidad y la capacidad. Estos factores son determinantes en la toma de decisiones al adquirir equipos o sistemas informáticos, ya que influyen directamente en su eficiencia y rendimiento. Por ello, al diseñar cualquier sistema, se debe considerar no solo su confiabilidad, sino también su capacidad de respuesta y disponibilidad.

En términos ideales, un sistema confiable estaría completamente libre de fallos técnicos. Sin embargo, en la práctica, los fabricantes suelen expresar la confiabilidad en términos porcentuales, proporcionando una medida del nivel de seguridad y estabilidad que puede ofrecer un producto.

En el ámbito del software, la confiabilidad también se evalúa a lo largo del tiempo, teniendo en cuenta la evolución del producto a través de sus diferentes versiones. Generalmente, con cada nueva actualización, se corrigen errores y se optimiza el rendimiento, lo que hace que el software se vuelva progresivamente más confiable. Por esta razón, antes de realizar una instalación o migración, es crucial optar por la versión más estable y depurada de la aplicación, minimizando así los riesgos de fallos inesperados.

3.56 Requisito

Un requisito es una necesidad o expectativa que debe cumplirse, ya sea de manera implícita o explícita. Cuando un requisito es «generalmente implícito», significa que se trata de una práctica habitual o esperada dentro de una organización o sector, aunque no necesariamente esté formalizada.

Por otro lado, un requisito especificado es aquel que ha sido definido de manera clara, como puede ser la necesidad de contar con documentación estructurada. En el ámbito normativo, cumplir con ciertos requisitos significa alinearse con estándares específicos, como los establecidos por la Organización Internacional de Normalización (ISO).

Por ejemplo, si una empresa cumple con los requisitos de la norma ISO 27001, se considera que su sistema de gestión de seguridad de la información sigue las mejores prácticas reconocidas a nivel internacional. Obtener la certificación bajo esta norma no solo refuerza la seguridad de la información dentro de la organización, sino que también mejora su credibilidad y reputación en el mercado.

Además, el cumplimiento de los requisitos de seguridad de la información establecidos en la norma ISO 27001 puede ser utilizado con distintos propósitos: desde mejorar la imagen de la empresa y su confiabilidad hasta obtener certificaciones oficiales o fortalecer los procesos internos de seguridad.

3.57 Riesgo Residual

El riesgo residual es aquel que permanece después de haber aplicado las medidas de tratamiento de riesgo. Incluso tras la implementación de controles y estrategias de mitigación, ciertos riesgos pueden persistir en algún grado, lo que implica que nunca es posible eliminar por completo todas las amenazas. Este tipo de riesgo también es conocido como «riesgo retenido».

En el contexto de la norma ISO 27001, el riesgo residual representa la cantidad de riesgo que todavía existe después de que se han aplicado los controles diseñados para reducir su impacto o probabilidad. Tras identificar los riesgos, se procede a tratar aquellos que no son aceptables con el objetivo de minimizar sus efectos, sin embargo, es inevitable que ciertos riesgos permanezcan dentro de un umbral determinado. Evaluar el nivel de riesgo residual es clave para determinar si las medidas adoptadas han sido lo suficientemente eficaces.

Para medir el riesgo residual, se emplea un proceso similar al de la evaluación de riesgos inicial. Sin embargo, debido a que los riesgos han sido ya tratados, su impacto y probabilidad de ocurrencia suelen ser menores. Esto hace que las estrategias de mitigación de esta fase sean diferentes, enfocándose en la gestión y supervisión de los riesgos restantes en lugar de su eliminación.

Tratamiento del Riesgo Residual y Niveles Aceptables

El análisis del riesgo residual permite determinar si las estrategias de mitigación aplicadas han sido efectivas. La clave aquí es identificar qué nivel de riesgo es aceptable para la organización, lo que se conoce como su perfil de riesgo.

Cada empresa define su propio umbral de tolerancia al riesgo con base en su modelo de negocio y su entorno operativo. La norma ISO 27001 brinda flexibilidad para que las organizaciones decidan si desean operar con un perfil de riesgo conservador, moderado o alto. En general, las empresas en etapas iniciales pueden aceptar mayores niveles de riesgo, mientras que organizaciones más establecidas tienden a buscar una postura más conservadora para garantizar estabilidad y continuidad.

Una vez determinados los riesgos residuales, existen tres opciones principales de gestión:

  • Si el nivel de riesgo está por debajo del umbral aceptable, no es necesario tomar medidas adicionales, solo se documenta la aceptación del riesgo.
  • Si el nivel de riesgo supera el umbral aceptable, es necesario evaluar nuevos controles y estrategias para reforzar la seguridad y luego reevaluar la situación.
  • Si el costo de mitigación es mayor que el impacto potencial del riesgo, puede ser más viable aceptar el riesgo o buscar alternativas como la transferencia del riesgo a través de seguros.

3.58 Revisión

La revisión es una actividad esencial para evaluar la idoneidad, adecuación y eficacia de un sistema de gestión de seguridad de la información (SGSI) en relación con sus objetivos. A través de este proceso, las organizaciones pueden determinar si su SGSI está cumpliendo con su propósito y si las estrategias implementadas están generando los resultados esperados.

La eficacia de un SGSI se mide observando la relación entre los resultados obtenidos y los recursos empleados. Un sistema de seguridad de la información se considera eficaz cuando logra mejorar la protección de los datos y reducir vulnerabilidades de manera comprobable.

Por otro lado, la eficiencia se enfoca en qué tan bien se están ejecutando las actividades planificadas y en qué medida se alcanzan los resultados esperados. Una gestión eficiente implica que los procesos de seguridad de la información se llevan a cabo de manera óptima sin desperdiciar recursos.

Adecuación e Idoneidad del SGSI

La adecuación de un SGSI se refiere a su capacidad para cumplir con los requisitos establecidos, ya sea por la organización misma o por estándares como la ISO 27001. Para que un sistema sea adecuado, debe cumplir con todos los requisitos aplicables sin excederlos ni quedarse por debajo del estándar necesario.

Por otro lado, la idoneidad del SGSI está relacionada con su capacidad para cumplir con el propósito específico para el que fue diseñado. Dependiendo de la organización, este propósito puede incluir garantizar la seguridad de la información, reducir incidentes o fortalecer la confianza de clientes y socios.

Evaluar y mejorar constantemente estos aspectos permite que un SGSI se mantenga alineado con las necesidades de la empresa, asegurando su efectividad a lo largo del tiempo.

3.59 Objeto de Revisión

El objeto de revisión se refiere a un elemento específico que debe ser evaluado dentro de un sistema de gestión de seguridad de la información (SGSI). Para determinar la eficacia y el rendimiento de un SGSI, se suelen definir una serie de factores críticos de evaluación que influyen directamente en su éxito. Estos factores pueden estar organizados en distintos niveles y ser medidos mediante un sistema ponderado, lo que permite obtener una visión estructurada del desempeño del sistema.

En un modelo de evaluación basado en ponderaciones, el análisis del rendimiento no solo se basa en datos empíricos obtenidos a través de la experiencia de expertos en seguridad de la información, sino también en la valoración estructurada de indicadores organizados en diferentes niveles. Este enfoque ayuda a determinar de manera más precisa la efectividad de las medidas implementadas y su impacto real en la seguridad de la información.

Objetos de Revisión en Seguridad de la Información

El nivel de seguridad de la información depende, en gran medida, de cómo se gestionan los riesgos, los empleados y las fuentes de información. En contraste, los factores formales y ambientales suelen tener un impacto menor en comparación con los controles técnicos y organizativos.

Los especialistas en seguridad recomiendan que la evolución de un SGSI sea un proceso sistemático y progresivo. Los primeros pasos en este proceso deberían enfocarse en la revisión de controles de seguridad técnicos, lógicos y físicos, asegurando que las bases del sistema sean sólidas. Posteriormente, las organizaciones pueden avanzar hacia actividades estratégicas de administración que permitan mejorar la seguridad a un nivel más alto.

Al implementar un modelo ponderado en el que los objetos de revisión se clasifican en distintos niveles de importancia, las organizaciones pueden obtener una evaluación más precisa de su rendimiento en seguridad de la información. Este enfoque facilita la toma de decisiones basada en datos objetivos y permite priorizar las áreas que requieren mejoras.

3.60 Objetivo de Revisión

El objetivo de revisión es una declaración que define claramente lo que se espera lograr como resultado de una evaluación dentro de un SGSI. Este objetivo establece la dirección y el propósito de la revisión, asegurando que los esfuerzos estén alineados con las metas estratégicas de la organización en materia de seguridad de la información.

Un objetivo de revisión debe ser concreto y medible. Por ejemplo, una empresa que gestiona servicios en la nube podría definir su objetivo de revisión como:

«Garantizar un servicio en la nube seguro y confiable para los usuarios y otras partes interesadas, asegurando que la plataforma es adecuada para manejar información confidencial con el más alto nivel de seguridad.»

Para asegurar que este objetivo sea alcanzable, se deben definir metas específicas que puedan ser revisadas periódicamente. Estas metas no deben ser exageradas, pero sí deben reflejar altos estándares de calidad y seguridad.

Ejemplos de objetivos de revisión incluyen:

  • Tiempo de actividad del sistema: Mantener una disponibilidad del 99,5%
  • Seguridad de las copias de seguridad: Garantizar un nivel de fallos igual a 0
  • Corrección de fallos del sistema: Lograr un número de acciones correctivas sobre fallos del sistema en un año igual a 0

Definir estos objetivos permite a las organizaciones evaluar continuamente su desempeño y realizar ajustes cuando sea necesario, garantizando que su SGSI permanezca alineado con las mejores prácticas y estándares internacionales.

No te detengas, sigue avanzando

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre la autora

Romina Orlando

Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:

Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.