Modelo de csirt colombiano



Descargar 1.08 Mb.
Página26/27
Fecha de conversión27.05.2018
Tamaño1.08 Mb.
1   ...   19   20   21   22   23   24   25   26   27

11.TERMINOLOGÍA


A

Acción correctiva: (Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una no-conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su repetición.

Acción preventiva: (Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales no-conformidades asociadas a la implementación y operación del SGSI.

Accreditation body: Véase: Entidad de acreditación.

Aceptación del Riesgo: (Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un riesgo.

Activo: (Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organización.

Alcance: (Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir la identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una parte de la organización.

Alerta: (Inglés: Alert). Una notificación formal de que se ha producido un incidente relacionado con la seguridad de la información que puede evolucionar hasta convertirse en desastre.

Amenaza: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.

Análisis de riesgos: (Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la información para identificar fuentes y estimar el riesgo.

Análisis de riesgos cualitativo: (Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una escala de puntuaciones para situar la gravedad del impacto.

Análisis de riesgos cuantitativo: (Inglés: Quantitative risk analysis). Análisis de riesgos en función de las pérdidas financieras que causaría el impacto.

Asset: Véase: Activo.

Assets inventory: Véase: Inventario de activos.

Audit: Véase: Auditoría.

Auditor: (Inglés: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un área particular.

Auditor de primera parte: (Inglés: First party auditor). Auditor interno que audita la organización en nombre de ella misma. En general, se hace como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación.

Auditor de segunda parte: (Inglés: Second party auditor). Auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor de outsourcing.

Auditor de tercera parte: (Inglés: Third party auditor). Auditor independiente, es decir, que audita una organización como tercera parte independiente. Normalmente, porque la organización tiene la intención de lograr la certificación.

Auditor jefe: (Inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y efectiva de la auditoría, dentro del alcance y del plan de auditoría aprobado por el cliente.

Auditoría: (Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organización.

Autenticación: (Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de una persona o sistema.

Authentication: Véase: Autenticación.

Availability: Véase: Disponibilidad.



B

BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la seguridad de la información -no es certificable- y la parte segunda especifica el sistema de gestión de seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.

BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la serie de normas BS 7799, además de otros varios miles de normas de muy diferentes ámbitos.

Business Continuity Plan: Véase: Plan de continuidad del negocio.



C

CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales (Marca registrada por la Universidad Carnegie - Melon).

Certification body: Véase: Entidad de certificación.

CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la seguridad de la información.

CID: Acrónimo español de confidencialidad, integridad y disponibilidad, los parámetros básicos de la seguridad de la información.

CCEB: Criterio Común para la Seguridad de Tecnología de Información.

Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar durante la implantación del SGSI para facilitar su desarrollo.

Clear desk policy: Véase: Política de escritorio despejado.

CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de empresas y auditores.

Código malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrónicos. Se pueden distribuir a través de varios métodos incluyendo el email, Web site, shareware / freeware y de otros medios tales como material promocional.

Compromiso de la Dirección: (Inglés: Management commitment). Alineamiento firme de la Dirección de la organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI.

Confidencialidad: (Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes estén autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados.

Confidenciality: Véase: Confidencialidad.

Contramedida: (Inglés: Countermeasure). Véase: Control.

Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control es también utilizado como sinónimo de salvaguarda o contramedida.

Control correctivo: (Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.

Control detectivo: (Inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.

Control disuasorio: (Inglés: Deterrent control). Control que reduce la posibilidad de materialización de una amenaza, p.ej., por medio de avisos disuasorios.

Control preventivo: (Inglés: Preventive control). Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.

Control selection: Véase: Selección de controles.

Corrective action: Véase: Acción correctiva.

Corrective control: Véase: Control correctivo.

COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Se centra en el control interno, especialmente el financiero. En Colombia este estándar fue utilizado para realizar el estándar de control interno MECI.

Countermeasure: Contramedida. Véase: Control.

CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad Computacional

D

Declaración de aplicabilidad: (Inglés: Statement of Applicability, SOA). Documento que enumera los controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y tratamiento de riesgos- además de la justificación tanto de su selección como de la exclusión de controles incluidos en el anexo A de la norma.

Denial of service: Véase: Negación de Servicios.

Desastre: (Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la misma afectada de manera significativa.

Detective control: Véase: Control detectivo.

Deterrent control: Véase: Control disuasorio.

Directiva: (Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.

Disaster: Véase: Desastre.

Disponibilidad: (Inglés: Availability). Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.

E

Entidad de acreditación: (Inglés: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina)...

Entidad de certificación: (Inglés: Certification body). Una empresa u organismo acreditado por una entidad de acreditación para auditar y certificar según diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a empresas usuarias de sistemas de gestión.

ESF: Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y control en TI.

Evaluación de riesgos: (Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.

Evento: (Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica una posible brecha en la política de seguridad de la información o fallo de las salvaguardias, o una situación anterior desconocida que podría ser relevante para la seguridad.

Evidencia objetiva: (Inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación de un elemento del sistema de seguridad de la información.

F

Fase 1 de la auditoría: Fase en la que, fundamentalmente a través de la revisión de documentación, se analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2.

Fase 2 de la auditoría: Fase en la que se comprueba que la organización se ajusta a sus propias políticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo efectivo.

FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a Incidentes y Seguridad.

First party auditor: Véase: Auditor de primera parte.

G

Gestión de claves: (Inglés: Key management). Controles referidos a la gestión de claves criptográficas.

Gestión de riesgos: (Inglés: Risk management). Proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la valoración de riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

Guideline: Véase: Directiva.



H

Hacking: Es el término que cubre cualquier tentativa de tener acceso desautorizado a un sistema informático.

Humphreys, Ted: Experto en seguridad de la información y gestión del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.

I

I4: Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford.

IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI.

IEC: International Electrotechnical Commission. Organización internacional que publica estándares relacionados con todo tipo de tecnologías eléctricas y electrónicas.

IIA: Instituto de Auditores Internos.

Impacto: (Inglés: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc.

Impact: Véase: Impacto.


  • Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. Algunos ejemplos comunes son:

  • Spam: Envío de correo masivo no solicitado.

  • Tomar el control de la computadora del alguien diferente usando un virus informático, un error del software, un Troyano, etc.

  • Negación del servicio de la computadora o de la red.

  • Infracción de copyright: música, películas, programas de computadora, etc.

  • Phishing: Generalmente enviando correos electrónicos que intentan inducir a brindar datos importantes.

  • Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos de acceso o información confidencial.

Information processing facilities: Véase: Servicios de tratamiento de información.

Information Systems Management System: Véase: SGSI.

Information security: Véase: Seguridad de la información.

INFOSEC: Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea.

Integridad: (Inglés: Integrity). Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Según [ISO/IEC 13335-1:2004]: propiedad/característica de salvaguardar la exactitud y completitud de los activos.

Integrity: Véase: Integridad.

Inventario de activos: (Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.

IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001.

ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones en el ámbito de la seguridad de la información.

ISACF: Fundación de Auditoría y Control de Sistemas de Información.

ISC2: Information Systems Security Certification Consortium, Inc. Organización sin ánimo de lucro que emite diversas acreditaciones en el ámbito de la seguridad de la información.

ISMS: Information Systems Management System. Véase: SGSI.

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar estándares.

ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007.

ISO 19011: “Guidelines for quality and/or environmental management systems auditing”. Guía de utilidad para el desarrollo de las funciones de auditor interno para un SGSI.

ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 2005.

ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007.

ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.

ISO/IEC TR 13335-3: “Information technology. Guidelines for the management of IT Security.Techniques for the management of IT Security.” Guía de utilidad en la aplicación de metodologías de evaluación del riesgo.

ISO/IEC TR 18044: „Information technology. Security techniques. Information security incident management“ Guía de utilidad para la gestión de incidentes de seguridad de la información.

ISSA: Information Systems Security Association.

ISSAP: Information Systems Security Architecture Professional. Una acreditación de ISC2.

ISSEP: Information Systems Security Engineering Professional. Una acreditación de ISC2.

ISSMP: Information Systems Security Management Professional. Una acreditación de ISC2.

ITIL: IT Infrastructure Library. Un marco de gestión de los servicios de tecnologías de la información.

ITSEC: Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo de la Comisión Europea (véase también TCSEC, el equivalente de EEUU).



J

JTC1: Joint Technical Committee. Comité técnico conjunto de ISO e IEC específico para las TI.



K

Key management: Véase: Gestión de claves.



L

Lead auditor: Véase: Auditor jefe.



M

Major nonconformity: Véase: No conformidad grave.

Malware: Véase: Código malicioso.

Management commitment: Véase: Compromiso de la Dirección.



N

NBS: Oficina Nacional de Normas de los EE.UU.

Negación del Servicio (Denial of Service – DoS): Los ataques de negación del servicio se diseñan generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta inundación del tráfico tiene a menudo el efecto de negar el acceso al sistema informático para los usuarios legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos como zombis, que se ha infectado previamente con código malévolo.

NIST: (ex NBS) Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C.

No conformidad: (Inglés: Nonconformity). Situación aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo menor.

No conformidad grave: (Inglés: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo inaceptable.

Nonconformity: Véase: No conformidad.

O

Objective evidence: Véase: Evidencia objetiva.

Objetivo: (Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control en una actividad de TI determinada.

OCDE: Organización de Cooperación y Desarrollo Económico. Tiene publicadas unas guías para la seguridad de la información.



P

PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI).

Plan de continuidad del negocio: (Inglés: Bussines Continuity Plan). Plan orientado a permitir la continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.

Plan de tratamiento de riesgos: (Inglés: Risk treatment plan). Documento de gestión que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.

Política de seguridad: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC 27002:2005]: intención y dirección general expresada formalmente por la Dirección.

Política de escritorio despejado: (Inglés: Clear desk policy). La política de la empresa que indica a los empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el día.

Preventive action: Véase: Acción preventiva.

Preventive control: Véase: Control preventivo.



Q

Qualitative risk analysis: Véase: Análisis de riesgos cualitativo.

Quantitative risk analysis: Véase: Análisis de riesgos cuantitativo.

R

Residual Risk: Véase: Riesgo Residual.

Riesgo: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias.

Riesgo Residual: (Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el tratamiento del riesgo.

Risk: Véase: Riesgo.

Risk acceptance: Véase: Aceptación del riesgo.

Risk analysis: Véase: Análisis de riesgos.

Risk assessment: Véase: Valoración de riesgos.

Risk evaluation: Véase: Evaluación de riesgos.

Risk management: Véase: Gestión de riesgos.

Risk treatment: Véase: Tratamiento de riesgos.

Risk treatment plan: Véase: Plan de tratamiento de riesgos.



S

Safeguard: Salvaguardia. Véase: Control.

Salvaguardia: (Inglés: Safeguard). Véase: Control.

Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la seguridad de la información financiera.

Scope: Véase: Alcance.

Second party auditor: Véase: Auditor de segunda parte.

Security Policy: Véase: Política de seguridad.

Segregación de tareas: (Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.

Segregation of duties: Véase: Segregación de tareas.

Seguridad de la información: Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad, integridad y disponibilidad de la información, además otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser también consideradas.

Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un nivel aceptable.

SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión incluye una estructura de organización, políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos.)

Servicios de tratamiento de información: (Inglés: Information processing facilities). Según [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizados para su alojamiento.

Sistema de Gestión de la Seguridad de la Información: (Inglés: Information Systems Management System). Ver SGSI.

SOA: Statement of Applicability. Véase: Declaración de aplicabilidad.

SSCP: Systems Security Certified Practitioner. Una acreditación de ISC2.

Statement of Applicability: Véase: Declaración de aplicabilidad.

T

TCSEC: Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Véase también ITSEC, el equivalente europeo.

TERENA (Trans-European Research and Education Networking Association): Una organización europea que soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad académica.

TF-CSIRT: Foro internacional para la cooperación en CSIRT a nivel Europeo. Consiste en 2 grupos, uno cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en CSIRT. TF-CSIRT es una de las actividades de la organización internacional TERENA.

Third party auditor: Véase: Auditor de tercera parte.

Threat: Véase: Amenaza.

TickIT: Guía para la Construcción y Certificación del Sistema de Administración de Calidad del Software.

Tratamiento de riesgos: (Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e implementación de medidas para modificar el riesgo.



V

Valoración de riesgos: (Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de análisis y evaluación de riesgos.

Vulnerabilidad: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.

Vulnerability: Véase: Vulnerabilidad.



W

WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estándares relacionados con técnicas de seguridad de la información.




Compartir con tus amigos:
1   ...   19   20   21   22   23   24   25   26   27


La base de datos está protegida por derechos de autor ©composi.info 2017
enviar mensaje

    Página principal