Una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible
violación de la política de seguridad de la información o falla en las salvaguardas, o una
situación previamente desconocida que puede ser relevante para la seguridad. (ISO/IEC TR
18044, 2004)
Asimismo se deben conocer los motivos para implantar una política de seguridad de la
información, ya que forma la base de todo programa o plan director de seguridad, así como
la importancia de desarrollo de una política robusta y efectiva. Además las TIC (tecnologías
de la información y las comunicaciones) están en constante evolución y traen consigo
nuevas y cambiantes amenazas que deben tenerse en cuenta.
Para desarrollar una política de seguridad, se deben seguir cinco fases interrelacionadas:
(Bertolín, 2008)
2.2.1.5 …
2.3.1 Activo
Cualquier cosa que tenga valor para la organización. (ISO/IEC 13335-1, 2004)
2.3.2 Información
Es un activo esencial para el negocio de una organización. Puede existir de muchas formas.
Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o
utilizando medios electrónicos, mostrada en películas o hablada en una conversación. (ISO/IEC
27002, 2005)
2.3.4 Amenaza
2.3.5 Vulnerabilidad
Debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas.
(ISO/IEC 13335-1, 2004)
2.3.6 Riesgo
2.3.7 Impacto
2.3.8 Control
2.3.9 Política
Intención y dirección general expresada formalmente por la gerencia. (ISO/IEC 27002, 2005)
Las políticas de Seguridad de Información son estándares aplicables a todo nivel de la
organización, desde la Alta Gerencia, pasando por los usuarios hasta el personal técnicos que
velan por el salvaguarda de los activos de información pero buscando mantener un balance
adecuado entre el proceso de controlar (costo y esfuerzo para establecer y monitorear
controles) y la productividad (los controles no deben complicar la labor de los usuarios de TI).
Son documentos de alto nivel que revelan la filosofía corporativa y el pensamiento estratégico
de la organización. (Espinoza Aguinaga, 2013)
2.3.10 …