qwertyuiopasdfghjklzxcvbnmqwertyui opasdfghjklzxcvbnmqwertyuiopasdfgh jklzxcvbnmqwertyuiopasdfghjklzxcvb nmqwertyuiopasdfghjklzxcvbnmqwer Glosario de Seguridad Informática tyuiopasdfghjklzxcvbnmqwertyuiopas dfghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq wertyuiopasdfghjklzxcvbnmqwertyuio pasdfghjklzxcvbnmqwertyuiopasdfghj klzxcvbnmqwertyuiopasdfghjklzxcvbn mqwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasdf ghjklzxcvbnmqwertyuiopasdfghjklzxc vbnmqwertyuiopasdfghjklzxcvbnmrty uiopasdfghjklzxcvbnmqwertyuiopasdf ghjklzxcvbnmqwertyuiopasdfghjklzxc 11 de Agosto del 2009
Anagraciel García Soto, José Luis Sandoval Días, Sergio Eduardo García Hurtado y Carlos Martínez Kobashi Fuentes
# termino
1
2
Termino
Activo Físico
Activo Lógico
3
Amenaza
4
Análisis de Riesgo de Seguridad de Información
5
6
7
8
9
Antispyware
CERT
CIO
Código Malicioso
Comité de Seguridad de Información
Definición
Cualquier cosa física que tiene valor para la organización. Se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. Uso sistemático de la información para identificar fuentes y estimar el riesgo. Tipo de aplicación que se encarga de buscar, detectar y eliminar spywares o espías en el sistema. Computer Emergency Response Team: Equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio. Chief Infomation Officer: Cargo ejecutivo, usualmente en una empresa mediana o grande, a cargo del flujo de información que entra y sale de la empresa. Es la persona que define la tecnología a ser utilizada en los Sistemas de Información.
Referencia
Anónimo (2005). El Portal de ISO 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html. Anónimo (2005). El Portal de ISO 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html. Anónimo (2005). El Portal de ISO 27000 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#A. Anónimo (2005). El Portal de ISO 27000 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#A. Borghello Cristian (2009). Equipos de Respuesta a Incidentes. Consultado en 07, 29,2009 en http://www.seguinfo.com.ar/politicas/incidentes.htm. Anónimo (2008). CCN-CERT. Consultado en Julio, 2009 en https://www.ccncert.cni.es/index.php?option=com_content &view=article&catid=7&id=24:ique-es-uncert&Itemid=34&lang=es.
Meltom Technologies (2009). Ejecutivo de Información. Consultado en Julio, 2009 en http://www.degerencia.com/glosario.php? pid=56.
Es un término genérico que comprende todos los tipos de programas específicamente específicamente desarrollados para ejecutar acciones maliciosas en un ordenador.
Schmitz Oscar Andres (). Malware, códigos códigos maliciosos. Seguridad informática. Consultado en 07, 29,2009 en http://www.informaticahoy.com.ar/software-seguridad-virusantivirus/Malware-Seguridadinformatica.php.
Es un grupo integrado por representantes de todas las áreas sustantivas de la organización, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad.
Anónimo (). Universidad Tecnológica Nacional. Consultado en Julio, 2009 en http://www.utn.edu.ar/comiteseguridad/d efault.utn.
10
Cracker
11
Equipo de Respuesta a Incidentes
12
Estándar
13
Estándar BRITISH STANDAR
14
Estándar COBIT
15
Estándar Common Criteria
16
Estándar de Seguridad de Información
17
Estándar ISACA
Persona que elimina las Anónimo (). Glosario de Seguridad de protecciones lógicas y físicas de los Información y Redes Wireless. Consultado sistemas para acceder a los mismos en Julio, 2009 en sin autorización y generalmente http://www.virusprot.com/Glosarioc.html# con malas intenciones. Cracker. Anónimo (2006). Creación de Equipos de Respuesta a Incidentes. Consultado en Equipo que provee servicios y Julio, 2009 en soporte para prevenir, manejar y http://www.comunidadhosting.com/asunt responder a los incidentes de os-tecnicos-seguridad-yseguridad computacional. configuracion/4962-creacia-n-de-equiposde-respuesta-incidentes-de-seguridad-enca-mputo.html. Especificación que se utiliza como Anónimo (2009). Glosario de Seguridad punto de partida para el desarrollo Informática parte II. Consultado en Julio, de servicios, aplicaciones, 2009 en protocolos, etc.; y que regula la http://www.taringa.net/posts/info/205404 realización de ciertos procesos o la 9/Recopilaci%C3%B3n---Glosario-defabricación de componentes para Seguridad-Informatica-PARTE-II.html. garantizar la interoperabilidad. Es un estándar dedicado a Identificar, evaluar, tratar y (). Estándar BS. Consultado en 072909 en gestionar los riesgos en seguridad http://sgside la información son procesos iso27001.blogspot.com/2006/04/publicada clave si desea garantizar la -la-norma-bs-7799-32006.html. seguridad de los procesos de negocio. Control Objectives for Information and related Technology: ofrece un conjunto de mejores prácticas para Marble (2008). Cobit, Estándar para el la gestión de los Sistemas de Buen Gobierno de los Sistemas de Información de las organizaciones, Información. Consultado en Julio, 2009 en con el objetivo principal de http://www.marblestation.com/?p=645. proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos. Es el resultado final de importantes Sanchez MontenegroHector (2003). ¿QUÉ esfuerzos en el desarrollo de ES LA CERTIFICACIÓN CERTIFICACIÓN COMMON CRITERIA?. criterios de evaluación unificados Consultado en 07,29,2009 en para la seguridad de los productos http://foros.inteco.es/seguridad/posts/list/ IT y ampliamente aceptado por la 305.page. comunidad internacional. Núñez Sandoval Alejandro (2005). Uso de las tecnologías de Estándares de seguridad en la información. información se recomienda Consultado en 07,29,2009 en implementar buenas prácticas de http://www.enterate.unam.mx/Articulos/2 seguridad, 005/febrero/seguridad.htm. Realiza una consulta mundial en el Dytec Servicios del Perú S.A.C (2004). proceso de preparación de los Estándares de seguridad en la información. Estándares, Guías y Consultado en 07,29,2009 en
18
19
20
21
Estándar ISO 27001
Estándar ITIL
Estrategia de Seguridad de Información
Firewall
Procedimientos de Auditoría de Sistemas, previo a la publicación de cualquier documento. Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Es la elaboración de los procesos de cada una de las políticas emanadas del modelo de seguridad informática, según las propias características de la empresa. Software y hardware de seguridad encargado de chequear y bloquear el tráfico de la red. Sistema que se coloca entre una red e Internet para asegurar que todas las comunicaciones se realicen conforme a las políticas de seguridad de la organización que lo instala.
http://www.isaca.org.pe/estandares.htm.
Anónimo (2005). El Portal de ISO 27000 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#I.
Anónimo (). Estándar ITIL. Consultado en 072909 en http://www.galvisda.net/PMP_INFORMACI ON_CAPACITACION_EN_STANDARD_ITIL.ht ml.
Morales, González Ricardo (2009). Estrategias de Seguridad de Información. Consultado en Agosto, 2009 en http://www.cdigital.henogoga.info/mod/re source/view.php?inpopup=true&id=518.
Anónimo (). Glosario de Seguridad Informática y Redes Wireless. Consultado en Julio, 2009 en http://www.virusprot.com/Glosarioc.html# Cortafuegos.
Government TI
Determina el marco para la toma de decisiones y la responsabilidad responsabilidad para fomentar el comportamiento deseado en el uso de la Tecnología de Información
Tello Meryk Johann (2009). Gobierno de Tecnologia de Información. Consultado en 07,29,2009 en http://www.felaban.com/memorias_congr eso_clain_2005/9tello_j_gobierno_de_ti.p df.
23
Gusano
Son programas que se reproducen r eproducen independientemente, independientemente, pero no infectan otros archivos; utilizando todos los medios disponibles de propagación incluyendo redes locales, Internet, correo electrónico, canales de IRC, redes de intercambio de archivos, teléfonos móviles y otros canales de transporte.
Kaspersky Lab (2009). Gusano. Consultado en Julio, 2009 en http://www.viruslist.com/sp/glossary?glos sid=153591743.
24
Hacker
Hacker proviene de “hack”, el
Coraggio, González, Guevara, Sosa. (2005).
22
25
26
27
28
29
30
Hoax
Ingeniería Social
Ley SOX
Modelo de Seguridad de Información
Plan de Continuidad de Negocio
Plan de Recuperación de Desastres
sonido que hacían los técnicos de las empresas telefónicas al golpear los aparatos para que funcionen. En informática se conoce por hacker a aquél que es muy habilidoso en este tema en cualquiera de sus campos. No se trata de virus, sino de falsos mensajes de alarma (bromas o engaños) sobre virus que no existen. Estos se envían por correo electrónico con la intención de extender falsos rumores por Internet. Se le dice ingeniería social a la acción de engañar a un usuario para que sea él el que actúe, ejecutando un archivo o revelando datos secretos como una clave. Se utiliza la astucia para convencer a una persona a dar por si mismo información acerca de su sistema. Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisión independiente para supervisar a los auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad así como investigar y disciplinar a los contables. También obliga a los responsables de las empresas a garantizar la seguridad de la información financiera. Un modelo formal permite probar teoremas, y en particular comprender las propiedades de los objetos del modelo. Plan orientado a permitir la continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro. Es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo
Hackers. Consultado en 07,29,2009 en http://www.slideshare.net/espositosandra /seguridad-informtica-hackers.
Anónimo (). Glosario de Seguridad Informática y Redes Wireless. Consultado en Julio, 2009 en http://www.virusprot.com/Glosarioc.html# Hoax.
Anónimo (2008). Glosario de Términos Usados en Seguridad Informática. Consultado en Julio, 2009 en http://200.3.127.132/Material%20de%20c onsulta/seguridad/glosario_seguridad.pdf.
Anónimo (2005). El Portal de ISO 27000 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#S.
Waissbein Ariel (2004). Modelos de Seguridad en Informática. Consultado en 07,29,2009 en http://www.coresecurity.com/files/attach ments/Waissbein_UNR_2004.pdf. Anónimo (2005). El Portal de ISO 27000 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#P. Anónimo (). Plan de Recuperación a Desastres. Consultado en 072809 en http://es.wikipedia.org/wiki/Plan_de_recu peraci%C3%B3n_ante_desastres_(inform%
31
Política
32
Política de Seguridad de Información
33
34
35
36
Procedimiento
Procedimiento de Seguridad de Información
sus operaciones en caso de un desastre natural o causado por humanos. Es una ciencia social que desarrolla su campo de estudio tanto en la teoría como en la práctica de políticas y la descripción y análisis de sistemas y comportamientos políticos de la sociedad con el Estado. Documento que establece el compromiso de la Dirección y el enfoque de la organización en la gestión de la seguridad de la información. Es el modo de ejecutar determinadas acciones que suelen realizarse de la misma forma, con una serie común de pasos claramente definidos, que permiten realizar una ocupación o trabajo correctamente. Determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad.
C3%A1tica).
(2009). Ciencia Política o Politología. Consultado en 07,29,2009 en http://es.wikipedia.org/wiki/Cien http://es.wikipedia.org/wiki/Ciencia_pol% cia_pol% C3%ADtica.
Anónimo (2005). El Portal de ISO 27000 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#P.
Anónimo (2009). Procedimiento. Consultado en Julio, 2009 en http://es.wikipedia.org/wiki/Procedimient o.
Avellaneda Javier (2008). Sistemas de Gestión Seguridad de la Información. Consultado en Julio, 2009 en http://sgsiiso27001.blogspot.com/2008/07/comoresumen-al-documento-que-yaindiqu.html.
Riesgo
Posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.
Anónimo (2009). Seguridad Informática. Consultado en Julio, 2009 en http://es.wikipedia.org/wiki/Seguridad_inf orm%C3%A1tica#T.C3.A9rminos_relaciona dos_con_la_iseguridad_inform.C3.A1tica.
ROI
El ROI es un valor que mide el rendimiento de una inversión, para evaluar qué tan eficiente es el gasto que estamos haciendo o que planeamos realizar. Existe una fórmula que nos da este valor calculado en función de la inversión realizada y el beneficio obtenido, o que pensamos obtener.
http://www.desarrolloweb.com/articulos/ que-es-roi.html
37
38
39
40
41
42
43
Podemos entender como seguridad una característica de cualquier sistema (informático o Seguridad no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible. Preservación de la confidencialidad, confidencialidad, integridad y disponibilidad de la información; Seguridad de Información además, otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser también consideradas. Consiste en la práctica de enviar indiscriminadamente mensajes de correo electrónico no solicitados que, si bien en muchos casos Spam tienen meramente un fin publicitario, lo que pueden provocar es un aumento de ancho de banda en la red. El spyware es un software que recopila información de un ordenador y después transmite Spyware esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. Estos programas tratan de encontrar la traza de los programas maliciosos mientras el sistema este funcionando. Software Antivirus Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad. Se conoce a los troyanos por crear puertas traseras o backdoors en tu ordenador permitiendo el acceso Troyano de usuarios malévolo a tu sistema, accediendo a tu información confidencial o personal. Es un pequeño programa capaz de reproducirse a sí mismo, infectando cualquier tipo de Virus archivo ejecutable, sin conocimiento del usuario. El virus tiene la misión que le ha
[email protected] [email protected] (2001). WINDOWS 2000 Server. Consultado en 07,29,2009 en http://exa.unne.edu.ar/depar/areas/infor matica/SistemasOperativos/MonogSO/SEG UNIX012.htm.
Anónimo (2005). El Portal de ISO 27000 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#P.
Anónimo (). Glosario de Seguridad Informática y Redes Wireless. Consultado en Julio, 2009 en http://www.virusprot.com/Glosarioc.html# Spam.
(). spyware. Consultado en 072809 en (). spyware. Consultado en 072809 en http://www.masadelante.com/faqs/quees-spyware..
(). antivirus. Consultado en 072809 en http://es.wikipedia.org/wiki/Antivirus#Anti virus_.28activo.29.
Masadelante.com (2009). Troyano Informático. Consultado en 07,29,2009 en http://www.masadelante.com/faqs/quees-un-troyano. Telefónica de España, S.A.U. (2009). Virus, gusanos, troyanos y otros males de la Red. Consultado en 07,29,2009 en http://www.terra.es/tecnologia/articulo/ht ml/tec10569.htm.
44
Vulnerabilidad
encomendado su programador, ésta puede ser desde un simple mensaje, hasta la destrucción total de los datos almacenados en el ordenador. Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo.
Anónimo (2005). El Portal de ISO 27000 27000 en Español. Consultado en Julio, 2009 en http://www.iso27000.es/glosario.html#V.