Glosario ‘Seguro’


Término Definición
Activo de información Es cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización, pueden ser procesos de negocio, datos, aplicaciones, equipos informáticos, personal, soportes de información, redes, equipamiento auxiliar o instalaciones. Es susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización.
Actualización de seguridad
Sinónimo de Parche de Seguridad.
Acuerdo de licencia Es una cesión de derechos entre un titular de derechos de propiedad intelectual y otra persona que recibe la autorización de utilizar dichos derechos a cambio de un pago convenido de antemano (tasa o regalía) o de unas condiciones determinadas. Existen distintos tipos de acuerdos de licencias que pueden clasificarse en las siguientes categorías:
• acuerdos de licencia tecnológica;
• acuerdos de licencia y acuerdos de franquicia sobre marcas, y
• acuerdos de licencia sobre derecho de autor
Acuerdo de Nivel de Servicio
Léase SLA.
Administración Electrónica (e-Administración) Actividad consistente en la prestación de servicios a ciudadanos y empresas mediante la utilización de medios telemáticos. Esta actividad compete a las Administraciones Públicas con el objeto de simplificar los procedimientos con la Administración, manteniendo al mismo tiempo, los niveles adecuados de seguridad jurídica y procurando la mejora de calidad de los servicios.
Entre las principales finalidades que persigue la Administración Electrónica se encuentran:
• el impulso en la utilización de las nuevas tecnologías de la información y las comunicaciones;
• la búsqueda de transparencia y confianza por parte de ciudadanos y empresas;
• la simplificación en los procedimientos y trámites administrativos, y
• el impulso en el crecimiento y desarrollo de la Sociedad de la Información
Adware Es cualquier programa que automáticamente va mostrando publicidad al usuario durante su instalación o durante su uso y con ello genera beneficios a sus creadores.
Agujero de seguridad Léase Vulnerabilidad.
Algoritmos de cifrado Operación o función matemática utilizada en combinación con una clave que se aplica a un texto en claro y permite obtener un texto cifrado (o descifrarlo) garantizando la confidencialidad e integridad de la información contenida. Existen dos tipos de cifrado atendiendo a las características de las claves de cifrado, estos son el cifrado simétrico y cifrado asimétrico.
• El cifrado simétrico, también conocido como cifrado de clave secreta, es la técnica más antigua y en ella se utiliza la misma clave para cifrar y descifrar la información.
• El cifrado asimétrico, o cifrado de clave pública, es una técnica de codificación que utiliza un par de claves diferentes para el cifrado y descifrado de información y garantiza el no repudio, aparte de la confidencialidad y la integridad.
Amenaza
Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando que no se encuentre disponible, funcionamiento incorrecto o pérdida de valor. Una amenaza puede tener causas naturales, ser accidental o intencionada. Si esta circunstancia desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas o aprovechando su existencia, puede derivar en un incidente de seguridad.
Análisis forense digital
Sinónimo de Informática forense.
Antimalware Sinónimo de Antivirus.
Antivirus Es un programa informático específicamente diseñado para detectar, bloquear y eliminar código malicioso (virus, troyanos, gusanos, etc.), así como proteger los equipos de otros programas peligrosos conocidos genéricamente como malware.
Ataque de Denegación de Servicio
Sinónimo de Denegación de servicio.
Ataque de fuerza bruta Procedimiento para averiguar una contraseña que consiste en probar todas las combinaciones posibles hasta encontrar la combinación correcta.
Utilizan el método de prueba y error, tardan mucho tiempo en encontrar la combinación correcta (en ocasiones de miles años), por esta razón, la fuerza bruta suele combinarse con un ataque de diccionario.
Análisis de riesgos Es un proceso que comprende la identificación de activos de información, sus vulnerabilidades y las amenazas a los que se encuentran expuestos, así como la probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para tratar el riesgo.
Ataque de diccionario Sinónimo de Ataque de fuerza bruta.
Ataque combinado Es uno de los ataques más agresivos ya que se vale de métodos y técnicas muy sofisticadas que combinan distintos virus informáticos, gusanos, troyanos y códigos maliciosos, entre otros.
Esta amenaza se caracteriza por utilizar el servidor y vulnerabilidades de Internet para iniciar, transmitir y difundir el ataque extendiéndose rápidamente y ocasionando graves daños, en su mayor parte, sin requerir intervención humana para su propagación.
Las principales características que presenta este ataque son:
• Los daños producidos van desde ataques de denegación de servicio (DoS), pasando por ataques en la dirección IP o daños en un sistema local; entre otros.
• Tiene múltiples métodos de propagación.
• El ataque puede ser múltiple, es decir, puede modificar varios archivos y causar daños en varias áreas a la vez, dentro de la misma red.
• Toma ventaja de vulnerabilidades ya conocidas en la infraestructura tecnológica.
• Obtiene las contraseñas por defecto para tener accesos no autorizados.
• Se propaga sin intervención humana.
Ataque de repetición Es un tipo de ataque en el cual el atacante captura la información que viaja por la red, por ejemplo un comando de autenticación que se envía a un sistema informático, para, posteriormente, enviarla de nuevo a su destinatario, sin que este note que ha sido capturada. Si el sistema informático o aplicación es vulnerable a este tipo de ataques, el sistema ejecutará el comando, como
si fuera legítimo, enviando la respuesta al atacante que puede así obtener acceso al sistema.
Para protegerse de este tipo de ataques el sistema informático puede tomar medidas como usar un control de identificación de comandos, de sellado de tiempos (timestamp), etc. junto con el cifrado y la firma de los comandos con el fin de evitar que sean reutilizados.
Auditoría de seguridad Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales en tecnologías de la información (TI) con el objetivo de identificar, enumerar y describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o aplicaciones.
Autenticación Procedimiento para comprobar que alguien es quién dice ser cuando accede a una computadora o a un servicio online. Este proceso constituye una funcionalidad característica para una comunicación segura.
Autenticidad El no repudio en el envío de información a través de las redes es capacidad de demostrar la identidad del emisor de esa información. El objetivo que se pretende es certificar que los datos, o la información, provienen realmente de la fuente que dice ser.
El problema del control de autenticidad dentro de los sistemas de información a través de la Red, en relación tanto de la identidad del sujeto como del contenido de los datos, puede ser resuelto mediante la utilización de la firma electrónica (o digital).
Autoridad de certificación La Autoridad de Certificación (AC o CA, por sus siglas en inglés, Certification Authority) es una entidad de confianza cuyo objeto es garantizar la identidad de los titulares de certificados digitales y su correcta asociación a las claves de firma electrónica.
Autoridad de registro Es la entidad encargada de identificar de manera inequívoca a los usuarios para que, posteriormente, éstos puedan obtener certificados digitales.
Autoridad de validación Entidad que informa de la vigencia y validez de los certificados electrónicos creados y registrados por una Autoridad de Registro y por una Autoridad de Certificación. Asimismo, las autoridades de validación almacenan la información sobre los certificados electrónicos anulados en las listas de revocación de certificados (CRL).
Cuando un cliente consulta el estado en que se encuentra un certificado electrónico a una autoridad de validación, ésta comprueba en su CRL el estado del mismo, contestando mediante el protocolo de transferencia de hipertexto HTTP.
Autoridad Local de Registro Sinónimo de Autoridad de registro.
Aviso Legal Un aviso legal es un documento, en una página web, donde se recogen las cuestiones legales que son exigidas por la normativa de aplicación. El aviso legal puede incluir:
1. Términos y condiciones de uso
2. Política de privacidad y protección de datos si recogen datos de carácter personal (formularios, registro de usuarios,…)
3. Información relativa al uso de cookies, contratación, etc.
4. Los elementos que están sujetos a los derechos de propiedad intelectual e industrial, entre otros:
– la propia información de la web;
– el diseño gráfico;
– las imágenes;
– el código fuente;
– las marcas;
– los nombres comerciales, y
– el diseño del sitio web.