Se presentan algunas definiciones importantes relacionadas con el estndar ISO

27001 y a los sistemas de control en el rea de automatizacin que se busca

disear.

Acceso Lgico: Proteger el sistema operativo, los software, la red, la informacin,

contra accesos no autorizados, cdigos maliciosos y/o virus informticos con el fin
de garantizar la integridad, disponibilidad, confidencialidad de la informacin y los
equipos informticos.

Accesos a red: Las instalaciones por defecto casi siempre incluyen extraos
servicios con sus correspondientes puertos abiertos. Los atacantes se introducen
en estos sistemas por medio de dichos puertos... Una de las vulnerabilidades ms
serias en los servidores Web son los scripts debido a que los atacantes usan estos
scripts para comprometer el sistema u obtener informacin acerca de ste sin
darse cuenta de lo sucedido. Dos grandes problemas lo constituyen las
contraseas fciles de adivinar y las contraseas por defecto, pero aun as, uno
mucho mayor son las cuentas sin contrasea. En la prctica, todas las cuentas
con contraseas dbiles, contraseas por defecto o contraseas en blanco deben
de ser eliminadas de su sistema.

Activos: Los activos a nivel tecnolgico, son todos los relacionados con los
sistemas de informacin, las redes y comunicaciones y la informacin en s
misma. Como los son datos, hardware, software, servicios que se prestan,
instalaciones, entre otros.

Actuador: es un dispositivo capaz de transformar energa hidrulica, neumtica o

elctrica en la activacin de un proceso con la finalidad de generar un efecto sobre
un proceso automatizado. Este recibe la orden de un regulador o controlador y en
funcin a ella genera la orden para activar un elemento final de control como, por
ejemplo, una vlvula.
Administracin de riesgos: Se llama as al proceso de identificacin, anlisis y
evaluacin de riesgos.

Amenaza: es la probabilidad de ocurrencia de un suceso potencialmente

desastroso durante cierto periodo de tiempo, en un sitio dado. En general el
concepto de amenaza se refiere a un peligro latente o factor de riesgo externo, de
un sistema o de un sujeto expuesto.

Autenticacin: El sistema debe poseer los mecanismos necesarios para

asegurarse que un usuario es quien dice ser y tiene suficientes privilegios para
llevar a cabo todas las operaciones que desee realizar. Debe ser capaz de
noticar al administrador acerca de cualquier anomala.

Cambio De Contrasea: Dentro de las polticas de control de usuarios del

sistema en una compaa, se deben contemplar el cambio de contraseas de
forma peridica, de tal forma que se pueda asegurar que el usuario renueve sus
credenciales y as evitar plagios o suplantaciones de identidad dentro del sistema.

Ciclo De Vida: La compaa debe contar con sistema de gestin para el ciclo de
vida de sus equipos y software con los que cuenta en sus instalaciones. Se debe
plasmar en un documento recopilando el inventario de los equipos y del software
en donde se encuentre la informacin bsica como seriales, versiones, licencias,
vigencias, soporte, fabricante, ubicacin, usuario, lo anterior con el fin de
identificar de una forma temprana las actualizaciones o migraciones de software
que se debern realizar antes de ser vulnerables.

Compatibilidad de controladores: Siempre ser de especial cuidado obtener el

controlador adecuado para el dispositivo adecuado, pues si se hace una
instalacin de un controlador no compatible podramos generar un dao a nuestro
equipo de cmputo, al dispositivo o a ambos, por lo que hay que tener muy
presente de donde obtenemos los controladores que instalamos en el Sistema
Operativo. La recomendacin siempre es ir a la fuente, como por ejemplo a la
pgina web del fabricante del dispositivo, teniendo muy en cuenta para que
Sistema Operativo y bajo qu arquitectura lo necesitamos sin olvidar la referencia
exacta del dispositivo que queremos instalar.

Confidencialidad: Para garantizar la Confidencialidad de la Informacin se debe

tener el propsito que solo la persona correcta acceda a la Informacin que
estemos dispuestos a distribuir en nuestra red, esto quiere decir que la
informacin debe ser conocida por un grupo de personas, y quien define las
personas que integran los grupos l es Administrador. Por este motivo se puede
decir que la Informacin tiene un grado de confidencialidad para que no sea vista
por usuarios que no pertenezca al grupo.

Control de accesos: El objetivo de esta seccin es bsicamente controlar el

acceso a la informacin, as como el acceso no autorizado a los sistemas de
informacin y computadoras. De igual forma, detecta actividades no autorizadas.

Control: El control es un proceso por el cual la administracin verifica si lo que

ocurre concuerda con lo que supuestamente debe ocurrir. Permite que se realicen
los ajustes o correcciones necesarias en caso se detecten eventos que escapan a
la naturaleza del proceso. Es una etapa primordial en la administracin, pues, por
ms que una empresa cuente con magnficos planes, una estructura
organizacional adecuada y una direccin eficiente, no se podr verificar la
situacin real de la organizacin si no existe un mecanismo que verifique e informe
si los hechos van de acuerdo con los objetivos.

Copias de Seguridad: Una de las mayores deficiencia de las Empresas es la

Seguridad de la Informacin y la poca importancia que se le da a este Activo, es
por eso que se debe establecer dentro de las Polticas de Seguridad de la
Informacin, una copia programada regularmente en los Sistemas Operativos para
resguardar la Informacin, para que sirva como apoyo en caso de prdida o daos
imprevistos con el Hardware.
Cumplimiento: Busca que la empresa cumpla estrictamente con las bases
legales del pas, evitando cualquier incumplimiento de alguna ley civil o penal,
alguna obligacin reguladora o requerimiento de seguridad. A su vez, asegura la
conformidad de los sistemas con polticas de seguridad y estndares de la
organizacin.

DCS: (Distributed Control System) o sistema de control distribuido, es un sistema

de control aplicado a procesos industriales complejos en las grandes industrias
como petroqumicas, papeleras, metalrgicas, centrales de generacin, plantas de
tratamiento de aguas, incineradoras o la industria farmacutica.

Declaracin de aplicabilidad: La declaracin de aplicabilidad o SOA, del ingls

Statement of Applicability, Es un documento que se referencia en la clusula 4.2.1j
del estndar ISO/IEC 27001 y describe los objetivos de control y controles
relevantes y aplicables al alcance del SGSI de la empresa, en funcin de la
poltica y conclusiones del proceso de evaluacin y tratamiento del riesgo. En el
documento bsicamente van 2 campos: uno donde va el control especfico y una
columna donde va la aplicabilidad, donde se justifica la decisin tomada sobre si el
control es aplicable o no.

Derechos de Acceso: Es importante establecer los permisos que se otorgan a un

usuario o a un sistema para que se pueda acceder a un recurso, todos estar
determinado por un Administrador quien ser el veedor y quien tendr el control de
los usuarios o del sistema para asignar o revocar estos derechos de Acceso. El
manejo de estos derechos de Acceso estar definido por el Sistema y se
implementan segn sea su Versin.

Disponibilidad: acceso y utilizacin de la informacin y los sistemas de

tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
Dispositivos de Entrada y Salida: Estas estructuras solidas hacen parte del
hardware en el que se encuentra un sistema operativo, tener control sobre ellos es
muy importante teniendo en cuenta que son diseados para el uso especfico de
ingresar o extraer informacin, es por eso que siempre debe cumplir unas reglas
de configuracin para evitar el ingreso de cdigo malicioso o en caso contrario la
salida del Activo ms importante de las Empresas que es la Informacin.

Elementos del Riesgo: son la poblacin, los edificios y obras civiles, las
actividades econmicas, los servicios pblicos, las utilidades y la infraestructura
expuesta en un rea determinada.

ERP: (enterprise resource planning) o sistemas de planificacin de recursos

empresariales, son sistemas de informacin gerenciales que integran y manejan
muchos de los negocios asociados con las operaciones de produccin y de los
aspectos de distribucin de una compaa en la produccin de bienes o servicios.

Estndar: Publicacin que recoge el trabajo en comn de los comits de

fabricantes, usuarios, organizaciones, departamentos de gobierno y
consumidores, que contiene las especificaciones tcnicas y mejores prcticas en
la experiencia profesional con el objeto de ser utilizada como regulacin, gua o
definicin para las necesidades demandadas por la sociedad y tecnologa.

Firewall: Como parte de la seguridad informtica y en especial de los sistemas

operativos se hace necesario el uso de software del tipo cortafuegos firewalls o
detectores de Intrusiones, que monitorizan los intentos de introducirse a un
sistema sin la debida autorizacin, como ataques a la Intranet, el acceso no
autorizado de usuarios, virus y ataques ms sofisticados, por lo que los sistemas,
las redes de comunicacin y la informacin de una compaa debe implementar
donde exista el riesgo de materializarse algn ataque.
Gestin de activos: Busca proteger los activos de informacin, controlando el
acceso solo a las personas que tienen permiso de acceder a los mismos. Trata
que cuenten con un nivel adecuado de seguridad.

Gestin De Cambios: Este captulo comprende y define el procedimiento

mediante el cual se evalan, priorizan, aprueban los cambios en el sistema o
equipo, en este se describen detalladamente cada uno de los pasos que se deben
seguir para realizar modificaciones en los sistemas de tecnologa informtica,
alineados con las polticas establecidas de la compaa y se debe dejar evidencia
de los cambios mediante registros.

Gestin de comunicaciones y operaciones: Esta seccin busca asegurar la

operacin correcta de los equipos, as como la seguridad cuando la informacin se
transfiere a travs de las redes, previniendo la prdida, modificacin o el uso
errneo de la informacin.

Gestin de continuidad del negocio: Lo que considera este control es que la

seguridad de la informacin se encuentre incluida en la administracin de la
continuidad de negocio. Busca a su vez, contrarrestar interrupciones de las
actividades y proteger los procesos crticos como consecuencias de fallas o
desastres.

Gestin de incidentes de seguridad de la informacin: Tiene que ver con todo

lo relativo a incidentes de seguridad. Busca que se disponga de una metodologa
de administracin de incidentes, que es bsicamente definir de forma clara pasos,
acciones, responsabilidades,

Gestin De Incidentes: Debe existir una poltica y procedimiento para la gestin y

control de incidentes, donde se establezcan los lineamientos para el reporte,
seguimiento y cierre de incidentes relacionados con los sistemas informticos y de
la informacin, mediante la cual se pueda realizar trazabilidad y control de los
mismos.
Icontec, como Organismo Nacional de Normalizacin (ONN) representa a
Colombia ante organismos de normalizacin internacionales y regionales como la
Organizacin Internacional de Normalizacin (ISO), la Comisin Electrotcnica
Internacional (IEC), y la Comisin Panamericana de Normas de la Cuenca del
Pacfico (COPANT).

Icontec2: El Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC),

es un organismo de carcter privado, sin nimo de lucro, que trabaja para
fomentar la normalizacin, la certificacin, la metrologa y la gestin de la calidad
en Colombia. Est conformado por la vinculacin voluntaria de representantes del
Gobierno Nacional, de los sectores privados de la produccin, distribucin y
consumo, el sector tecnolgico en sus diferentes ramas y por todas aquellas
personas jurdicas y naturales que tengan inters en pertenecer a l.

Identidad: Se refiere a la informacin sobre el usuario que lo distingue como un

individuo y que verifica su estatus dentro de la organizacin.

Impactos: Son las consecuencias de la ocurrencia de las distintas amenazas y los

daos por prdidas que stas puedan causar. Las prdidas generadas pueden ser
financieras, econmicas, tecnolgicas, fsicas, entre otras.

Informacin: Conjunto organizado de datos procesados que constituyen un

mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe
dicho mensaje. La informacin, ya sea impresa, almacenada digitalmente o
hablada. Actualmente es considerada como un activo dentro de las compaas y
que se debe proteger, ya que es de gran importancia.

Integridad: Si bien es cierto que todos los componentes de un sistema informtico

estn expuestos a un ataque (hardware, software y datos), son los datos y la
informacin los sujetos principales de proteccin de las tcnicas de seguridad,
contra cambios no autorizados, daos o contingencias.
Interfaz: En este punto es en donde los usuarios se identifican ms, por ser el
punto de interaccin con el software, o Sistema operativo en este caso, y es quien
busca hacer ms fcil la experiencia de interactuar con una mquina.

Licencias: Es evidente que como usuarios de equipos de cmputo se acostumbra

por muchos usuarios en los pases latinoamericanos, obtener sistemas operativos
y todo tipo de software de forma No legal. Esta prctica ha contagiado en muchos
casos a los administrativos de las empresas de nuestro pas, desconociendo en
muchos casos las duras sanciones a que se exponen por esta prctica. Es as
como tener Licencias del software incluyendo los Sistemas operativos que se usan
se convierte en un punto crtico de seguridad.

Manipulacin de datos: Las amenazas de manipulacin de datos estn

relacionadas con la modificacin malintencionada de los datos. Los ejemplos
incluyen la realizacin de cambios de datos persistentes sin autorizacin,
informacin contenida en una base de datos o la alteracin de datos mientras
circulan de un equipo a otro en una red abierta.

Mantenimiento: El mantenimiento forma parte esencial para asegurar la

confiabilidad y disponibilidad de los equipos y sistemas, en donde se deben definir
las polticas, procedimientos y asignacin de recursos necesarios para mantener
los componentes informticos, las redes de comunicaciones y los sistemas de
informacin de tal forma que se garantice la mayor disponibilidad posible.

MES: (Manufacturing Execution Systems) o sistemas de ejecucin de

manufactura, monitorea y evalan los procesos productivos relacionados
especficamente con la calidad, programacin, planeacin y rastreo.

MIS: (Manufacturing Information Systems) o sistemas de informacin de

manufactura, proveen informacin para soportar las funciones operacionales,
administrativas y toma de decisiones en una organizacin.
Nivel de Actualizacin: cuando entendemos la importancia de tener un software
legal, vemos la ventaja de tener derecho a las actualizaciones del software que
permiten en muchos casos cubrir o protegerse de fallas de seguridad que trae el
Software, esto se le conoce como parche, que procura corregir errores o fallas de
seguridad detectadas luego de liberar el software.

Oficial de Seguridad: Persona encargada de administrar, implementar, actualizar

y monitorear el SGSI.

Organizacin de la seguridad de la informacin: Busca administrar la seguridad

dentro de la compaa, as como mantener la seguridad de la infraestructura de
procesamiento de la informacin y de los activos que son accedidos por terceros.

PLC: (Programmable Logic Controller) o controlador lgico programable, es una

computadora utilizada en la ingeniera automtica o automatizacin industrial, para
automatizar procesos electromecnicos, tales como el control de la maquinaria de
la fbrica en lneas de montaje o atracciones mecnicas.

Polticas de Seguridad: Busca establecer reglas para proporcionar la direccin

gerencial y el soporte para la seguridad de la informacin. Es la base del SGSI.

Privilegio: En los sistemas operativos es importante asignar privilegios segn los

roles de los usuarios, con el fin de asegurar las funciones segn el rol y que los
procesos o actividades tengan asignados un usuario especfico, tambin ayuda a
evaluar incidentes de seguridad y construir funciones especficas de configuracin.

Probabilidad: La probabilidad de ocurrencia puede ser cualitativa o cuantitativa,

considerando lgicamente, que la medida no debe contemplar la existencia de
ninguna accin de control, o sea, que debe considerarse en cada caso que las
posibilidades existen, que la amenaza se presenta independientemente del hecho
que sea.
Proteccin: la seguridad de la Informacin es un Activo que se debe proteger, es
lo ms valioso para la Empresa o Entidad, y como consecuencia de ello necesita
recibir una Proteccin adecuada para que la entidad no se vea perjudicada.

Riesgo especfico: es el grado de prdidas esperadas, debido a la ocurrencia de

un suceso particular y como una funcin de la amenaza y la vulnerabilidad.

Riesgo Total: Corresponde al potencial de prdidas que pueden ocurrirle al sujeto

o sistema expuesto, resultado de la relacin entre amenaza y vulnerabilidad.

Riesgo: Se define como cualquier impedimento, obstculo, amenaza o problema

que pueda impedirle a la empresa que alcance un objetivo. Se puede ver tambin
como la posibilidad de sufrir un dao o prdida. Se mide en trminos de impacto y
probabilidad de ocurrencia.

SCADA: (Supervisory Control And Data Acquisition) o Supervisin, Control y

Adquisicin de Datos, es un software para ordenadores que permite controlar y
supervisar procesos industriales a distancia. Facilita retroalimentacin en tiempo
real con los dispositivos de campo (sensores y actuadores), y controla el proceso
automticamente.

Seguridad de la Informacin: Es la preservacin de la confidencialidad,

integridad y disponibilidad de la informacin; adems, otras propiedades como
autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin
consideradas.

Seguridad de los recursos humanos: Orientado a reducir el error humano, ya

que en temas de seguridad, el usuario es considerado como el eslabn ms
vulnerable y por el cual se dan los principales casos relacionados con seguridad
de la informacin. Busca capacitar al personal para que puedan seguir la poltica
de seguridad definida, y reducir al mnimo el dao por incidentes y mal
funcionamiento de la seguridad.
Seguridad de Protocolos: Es importante tener en cuenta como un tem la
seguridad de Protocolos; las reglas de filtrado ayudan a proteger los equipos con
sus respectivos sistemas operativos.

Seguridad fsica: Trata principalmente de prevenir el acceso no autorizado a las

instalaciones para prevenir daos o prdidas de activos o hurto de informacin.

Sensor: es un dispositivo capaz de detectar magnitudes fsicas o qumicas,

llamadas variables de instrumentacin, y transformarlas en variables elctricas.
Las variables de instrumentacin pueden ser por ejemplo: temperatura, intensidad
lumnica, distancia, aceleracin, inclinacin, desplazamiento, presin, fuerza,
torsin, humedad, movimiento, pH, etc

Servicios del Sistema Operativo: Aqu se definen funciones avanzadas del

sistema operativo y que pueden brindar un entorno ms seguro utilizando
funciones como Firewalls que permite proteger el acceso desde redes externas
haciendo que los equipos no estn disponibles a todos los accesos, de igual forma
aplicaciones como Remote Desktop, administracin de colas de impresin, entre
otras que deben ser controladas de la mejor manera para evitar fallas en la
seguridad de la informacin.

Sistema de Archivos: Los sistemas de archivos definen el enmallado que tendr

una unidad de almacenamiento para guardar los datos o archivos, tambin, como
en caso del sistema NTFS para sistemas operativos Windows, se pueden definir
propiedades de seguridad a carpetas y archivos.

Sistema de Gestin de Seguridad de la Informacin (SGSI): Un SGSI o ISMS,

de sus siglas en ingls (Information Security Management System), es la parte de
un sistema global de gestin que, basado en el anlisis de riesgos, establece,
implementa, opera, monitorea, revisa, mantiene y mejora la seguridad de la
informacin.
Sistemas de informacin, adquisicin, desarrollo y mantenimiento:
Bsicamente busca garantizar la seguridad de los sistemas operativos, garantizar
que los proyectos de TI y el soporte se den de manera segura y mantener la
seguridad de las aplicaciones y la informacin que se maneja en ellas.

Soporte: El soporte es una Variable muy importante dentro de las variables de

seguridad critica en Sistemas Operativos, contribuyendo as al buen uso de las
herramientas instaladas en estos, mitigando la vulnerabilidad ya que un usuario
que no conozca sobre la herramienta tenga a mano toda la ayuda necesaria para
poder realizar los procesos sin afectar la seguridad de la Informacin.

Tolerancia A Fallos: La tolerancia a fallos es la capacidad de un sistema a

responder a un suceso inesperado, como puede ser un fallo de suministro
elctrico o un fallo de hardware de forma que no se pierdan datos. Cabe sealar
que la redundancia no protege contra el borrado accidental, la operacin
negligente, etc.

Usuarios y permisos: Sabemos que este punto es muy crtico para la seguridad
del acceso al sistema, pues es aqu donde el sistema puede identificar quien est
accediendo al sistema y adems aqu tambin estn definidos privilegios que
dictan hasta donde puede entrar el usuario y a hacer qu actividad.

Virus: existen una gran variedad de virus cuyos efectos van desde los
simplemente molestos hasta destruir informacin especfica o destruir toda la
informacin contenida en el disco duro; los mecanismos ms conocidos hasta el
momento son los archivos ejecutables, una vez instalados en el ordenador pasan
largo tiempo sin provocar ningn efecto, hasta que infecten todos los dems
programas que se van ejecutando.

Vulnerabilidad: En el campo de la informtica, la vulnerabilidad es el punto o

aspecto del sistema que es susceptible de ser atacado o de daar la seguridad del
mismo. Representan las debilidades o aspectos falibles o atacables en el sistema
informtico.