Activos (assets)

Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. [ENS:2022]


Información y servicios esenciales

    • Informacion manejada a nivel de la organización. También conocida como 'información de negocio'. 
      Esta información es la que la organización necesita para operar y alcanzar sus objetivos, y se despliega el sistema de información para lmacenarla y procesarla.
    • Servicios prestados por el sistema de información a los usuarios. 
      Estos servicios son la razón de ser del sistema de información.


Activos de soporte

Otros elementos que componen el sistema de información; habitualmente se refiere al equipamiento técnico necesario para su implementación.


Amenazas (threats)

potential source of danger, harm, or other undesirable outcome [ISO 31073]


Controles

Ver medidas de seguridad. se suele decir de las medidas requeridas en un perfil de seguridad. 


Declaración de Aplicabilidad (SOA - Statement of Applicability)

Documento formal en el que, para un conjunto de medidas de seguridad, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido.

Impacto

Consecuencia que sobre un activo tiene la materialización de una amenaza.


Medidas de seguridad (security measures)

conjunto de disposiciones encaminadas a proteger al sistema de información de los riesgos a los que estuviere sometido, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación. [ENS:2022]


Tipo de protección

Forma de actuar de una medida de seguridad: prevención, disuación, eliminacion, recuperación, administarción


Nivel de madurez (maturity level)

El **nivel de madurez** es una métrica que indica el grado de madurez de los procesos de una organización en términos de su capacidad para gestionar y mejorar de manera consistente sus actividades. Mide la capacidad de la organización para gestionar sus procesos de manera eficaz y predecible.

Se definen cinco niveles de madurez, cada uno de los cuales representa un grado progresivo de disciplina, control y mejora en los procesos.


1. **Nivel 1 - Inicial (Initial)**:

   - Los procesos son impredecibles, poco controlados y reactivos.

   - No hay una gestión formal de procesos.

   - El éxito depende de esfuerzos individuales y no de procesos establecidos.


2. **Nivel 2 - Gestionado (Managed)**:

   - Los procesos están gestionados a nivel de proyecto.

   - Se establecen prácticas básicas de planificación, seguimiento y control.

   - Los proyectos pueden repetir éxitos anteriores, pero la mejora no es sistemática.


3. **Nivel 3 - Definido (Defined)**:

   - Los procesos están estandarizados y documentados a nivel organizacional.

   - Existe una visión común de los procesos y se adaptan a las necesidades de cada proyecto.

   - La organización tiene una base sólida para la mejora continua.


4. **Nivel 4 - Gestionado Cuantitativamente (Quantitatively Managed)**:

   - Los procesos se gestionan usando métricas y datos objetivos.

   - Se establecen objetivos cuantitativos para la calidad y el rendimiento.

   - La organización puede predecir el desempeño de los procesos y tomar decisiones basadas en datos.


5. **Nivel 5 - Optimizado (Optimizing)**:

   - La organización se enfoca en la mejora continua de los procesos.

   - Se identifican y corrigen las causas raíz de los problemas.

   - Los procesos se adaptan para aprovechar nuevas tecnologías y prácticas innovadoras.


Nivel de riesgo (risk level)

magnitude of a risk or combination of risks, expressed in terms of the combination of consequences and their likelihood [ISO 31073] 


Perfil de seguridad (EVL)

Conjunto de controles para tratar el riesgo. El conjunto se formaliza en un agregado inspeccionable cuyo cumplimiento puediera ser certificable.


Salvaguardas (safeguards)

Ver medidas de seguridad. En este documento se refiere a las medidas nativas de PILAR:


Sistema de información (information system)

Cualquiera de los elementos siguientes:

  1. Las redes de comunicaciones electrónicas que utilice la entidad del ámbito de aplicación de este real decreto sobre las que posea capacidad de gestión.
  2. Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales.
  3. Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1 y 2 anteriores, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de dichos elementos [ENS:2022]


Tratamiento del riesgo (risk treatment)

process to modify risk. Risk treatment can involve:

— avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk;

— taking or increasing risk in order to pursue an opportunity;

— removing the risk source;

— changing the likelihood;

— changing the consequences;

— sharing the risk with another party or parties [including contracts and risk financing]; and

— retaining the risk by informed decision.