Glosario de Seguridad*

Glosario de Seguridad
A
Acceso: acción de hacer uso de los recursos de un sistema, ver también Control de Acceso y Derechos de Acceso
Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos.
Acreditación:
a) Acreditación voluntaria del prestador de servicios de certificación: resolución que establece los derechos y obligaciones específicos para la prestación de servicios de certificación y que se dicta, a petición del prestador al que le beneficie, por el organismo público encargado de su supervisión.
b) Proceso de reconocimiento de la competencia técnica e imparcial de un laboratorio de evaluación para realizar tareas que le corresponden.
c) Proceso de aceptación de un sistema o producto para su uso en un entorno particular con amenazas específicas
Activos: recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. Se pueden estructurar en cinco categorías: activos del entorno; del sistema de información; de la información; de las funcionalidades de la organización y otros (como por ejemplo la credibilidad de las personas, su intimidad o su imagen).
Afectado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el Tratamiento de Datos. (Ley Orgánica 15/1999).
Algoritmo criptográfico, Algoritmo de cifra o Algoritmo de cifrado: conjunto finito de operaciones matemáticas, reglas o pasos, que permiten obtener un texto cifrado a partir de un texto en claro y de ciertos parámetros iniciales, por ejemplo, la clave criptográfica y el vector de inicialización.
Amenaza:
a) evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
b) acción o acontecimiento que puede atentar contra la seguridad
c) violación potencial de la seguridad del sistema.
Amenaza activa: amenaza de un cambio no autorizado y deliberado del estado del sistema. Las amenazas activas suponen, de materializarse, la intrusión y posterior interacción con un sistema de información.
Amenaza pasiva:
a) amenaza de revelación no autorizada de información sin cambiar el estado del sistema.
b) amenaza de la confidencialidad de la información que, de materializarse, no cambia el estado del sistema, son por ello más difíciles de detectar que las activas y la recuperación del daño frecuentemente es imposible.
Análisis de impacto: estudio y evaluación de las pérdidas por un ataque real simulado.
Análisis de riesgos: estudio de los activos, sus vulnerabilidad y las probabilidades de materialización de amenazas, con el propósito de determinar la exposición al riesgo de cada activo ante cada amenaza.
Antivirus: aplicación informática que busca y eventualmente elimina los virus informáticos que pueden haber infectado un ordenador.
Aplicación: programa o conjunto de programas cuyo objeto es la resolución de un problema mediante el recurso a un sistema de tratamiento de la información.
Archivo:
a) Conjunto orgánico de documentos producidos y/o recibidos en el ejercicio de sus funciones por las personas físicas o jurídicas, públicas o privadas.
b) Institución encargada de la custodia, control y difusión de determinados fondos.
Ataque: acción que puede violar los sistemas y mecanismos de seguridad de un sistema de información. Según el efecto que producen, se pueden dividir en: interrupción; interceptación y modificación, y por su modo de actuación pueden ser pasivos, si no modifican el estado del sistema, y activos, si lo alteran.
Auditoría: proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance al que se cumplen los procedimientos o requisitos contra los que se compara la evidencia.
Autenticación:
a) procedimiento de comprobación de la identidad de un usuario.
b) medida de seguridad destinada a establecer la validez de una transmisión, mensaje, u originador, o medio de verificar una autorización particular para recibir un tipo específico de información.
c) servicio de seguridad que se puede referir al origen de los datos o a una entidad homóloga. Garantiza que el origen de datos, o entidad homóloga, son quienes afirman ser (ISO 7498-2)
Autenticación fuerte: autenticación mediante credenciales obtenidas por técnicas criptográficas simétricas o asimétricas. La autenticación fuerte puede ser de un sentido, de dos o de tres. En la primera, un usuario A, se identifica y autentica, mediante credenciales, ante otro B, sin que éste haga lo mismo frente a A . En la segunda, la autenticación es mutua de A ante B y de éste ante aquel,. Finalmente, en la tercera, el proceso es como el descrito para dos sentidos, con la adición de un último paso en el que A remite a B una credencial más que evita estampillar el tiempo en las credenciales anteriores.
Autenticación simple: autenticación mediante contraseñas.
Autoridad de certificación: autoridad confiable para uno o más usuarios, que crea y asigna certificados, y que también puede crear claves criptográficas de usuario.
Autorización:
a) concesión o posesión de derechos.
b) proceso de concesión a una entidad o sujeto, de los derechos de acceso completos o restringidos, a un recurso u objeto.
 
Base de Datos: grupo de datos estructurado para facilitar su consulta y posterior tratamiento.
Backup: copia de seguridad, se hace para prevenir una posible pérdida de información.
Banner: gráfico que se inserta en la web normalmente con fines publicitarios.
Buffer: área de la memoria que se utiliza para almacenar datos temporalmente durante una sesión de trabajo.
 
Caché: memoria del ordenador donde se almacena temporalmente una página web, cuando se visualiza ésta. La siguiente vez que se desea esa página, en lugar de pedir el fichero al servidor, el navegador accede a ella a partir del caché.
Capacidad:
a) testigo usado como identificador de un recurso, tal que la posesión del mismo por una entidad le confiere derechos de acceso sobre dicho recurso.
b) mecanismo de control de acceso que asocia a cada sujeto los objetos y los derechos de acceso que posee sobre estos últimos.
Certificación: emisión de un informe formal confirmando el resultado de una evaluación, así como que el criterio de evaluación usado ha sido correctamente aplicado. Esta certificación es, o será en el caso de algunos países, emitida por la institución de certificación de cada país, y se pretende tenga validez en todos los de la Unión Europea.
Certificado: es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad.
Certificado reconocido: es el certificado que contiene la información descrita en el artículo 8 y es expedido por un prestador de servicios de certificación que cumple los requisitos enumerados en el artículo 12 de la Ley 14/1999 de Firma Electrónica
Ciclo de Vida: Tiempo estimado que se espera esté un soporte, medio o aplicación en uso operativo. También se utiliza para designar las principales etapas que tienen lugar durante el desarrollo de un sistema.
Cifra o Cifrado:
a) técnica criptográfica que consiste en la transcripción de datos, por medio de una clave, en otros equivalentes pero ininteligibles de forma que sólo quienes conozcan la clave podrán acceder al contenido real de los datos.
b) algoritmo que produce un texto cifrado mediante técnicas criptográficas.
Cifrado asimétrico: algoritmo de cifra basado en una función irreversible con trampa (en inglés trapdoor one-way function). El algoritmo y su inverso dependen de dos claves diferentes, denominadas pública y privada, tales que el conocimiento de una no conduce a la otra. Tanto el algoritmo como su inverso, cada uno con su clave correspondiente, puede ser empleado para cifra, descifrándose con el contrario.
Cifrado simétrico: algoritmo de cifra basado en una función invertible, tal que tanto el algoritmo como su inverso dependen de un parámetro igual para ambos llamado clave secreta.
Claves asimétricas: par de claves criptográficas recíprocas, en la que una de ellas, llamada clave pública, define el algoritmo de cifra (de uso público) y la otra, denominada clave privada, especifica el algoritmo de descifrado (de uso privado).
Clave criptográfica:
a) parámetro usado por un algoritmo para validar, autenticar, cifrar o descifrar un mensaje.
b) sucesión de símbolos que controlan las operaciones de cifrado y descifrado.
c) parámetro usado por un algoritmo criptográfico para cifrar y descifrar datos, obtener la firma digital de unos datos, verificar ésta o calcular un código de autenticación de mensajes o una función resumen.
Clave privada: en un sistema criptográfico asimétrico, clave criptográfica de un usuario sólo conocida por el mismo.
Clave pública: en un sistema criptográfico asimétrico, clave criptográfica de un usuario que se hace de público conocimiento.
Clave secreta: en un sistema criptográfico simétrico, clave criptográfica compartida por dos entidades.
Confidencialidad:
a) condición que asegura que la información no puede estar disponible o ser descubierta por o para personas, entidades o procesos. La confidencialidad a menudo se relaciona con la intimidad cuando se refiere a personas físicas.
b) propiedad de la información que impide que ésta esté disponible o sea revelada a individuos, entidades o procesios no autorizados. Según la norma ISO 7498-2 la confidencialidad es un servicio de seguridad.
c) prevención de la revelación no autorizada de información.
Conservación: conjunto de procedimientos y medidas destinadas a asegurar, por una parte, la prevención de posibles alteraciones físicas en los documentos, y, por otra, la restauración de los documentos cuando la alteración se ha producido.
Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario.
Control de acceso:
a) mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.
b) servicio de seguridad que previene el uso de un recurso salvo en casos y de manera autorizada.
Controlador: programa que contiene las instrucciones de control que permiten el funcionamiento de elementos, componentes o periféricos de un ordenador por ejemplo: tarjeta de sonido, o de vídeo, ratón, modem, grabadora, CD-ROM, impresora y escaner.
Cookie: fichero de texto codificado que la mayoría de los servidores web de Internet envían y registran en un archivo del disco duro de cada usuario que visita el web, se utiliza para registrar el paso del usuario y controlar sus preferencias y establecer un perfil personalizado del los usuarios.
Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
Cortafuegos: sistema de seguridad, encargado de proteger una red de área local de accesos no autorizados desde una red de área amplia a la que esté conectada, en inglés Firewall.
Credencial: conjunto de datos transferidos entre entidades para comprobar la identidad alegada por una de ellas.
Criptografía:
a) diseño de procedimientos para cifrar los mensajes, de forma que si son interceptados no se pueda saber su contenido.
b) disciplina que estudia los principios, métodos y medios de transformar los datos con objeto de ocultar la información contenida en los mismos, detectar su modificación no autorizada y prevenir su uso no permitido.
Criptograma: texto cifrado y listo para su transmisión (término en desuso).
Criptosistema: conjunto de transformaciones que convierten un texto en claro en un texto cifrado y viceversa, seleccionándose un, o unos, algoritmo particular mediante una clave. Las transformaciones están normalmente definidas por un algoritmo matemático.
 
Dato: representación de una información elemental en un formato que permite su proceso.
Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
Datos de creación de firma: son los datos únicos, tales como códigos o claves criptográficas privadas, que el signatario utiliza para crear la firma electrónica.
Datos de verificación de firma: son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.
Derechos de acceso: privilegios de acceso de un sujeto u objeto, por ejemplo derechos de acceso para escritura, lectura, ejecución o borrado.
Dirección IP o Número IP: dirección con la que se identifica una máquina conectada a Internet.
Directorio: grupo de archivos relacionados entre sí que se guardan bajo un nombre.
Disponibilidad:
a) Grado en el que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado. Situación que se produce cuando se puede acceder a un sistema de información en un periodo de tiempo considerado aceptable. La disponibilidad está asociada a la fiabilidad técnica de los componentes del sistema de información.
b) propiedad que requiere que los recursos de un sistema abierto sean accesibles y utilizables a petición de una entidad autorizada. Según la norma ISO 7498- 2 la disponibilidad es un servicio de seguiridad.
c) prevención de una negación ilícita de acceso a la información o a los recursos.
Dispositivo de creación de firma: es un programa o un aparato informático que sirve para aplicar los datos de creación de firma.
Dispositivo seguro de creación de firma: es un dispositivo de creación de firma que cumple los requisitos establecidos en el artículo 19 de la Ley 14/1999 de Firma Electrónica.
Dispositivo de verificación de firma: es un programa o un aparato informático que sirve para aplicar los datos de verificación de firma.
Documento: entidad identificada y estructurada que contiene texto, gráficos, sonidos, imágenes o cualquier otra clase de información que puede ser almacenada, editada, extraída e intercambiada entre sistemas de tratamiento de la información o usuarios como una unidad diferenciada.
Documento electrónico: documento cuya información está registrada en un formato adecuado para la consulta, tratamiento y transmisión por un equipo informático.
Driver: ver Controlador
 
Eliminación: destrucción física de unidades o series documentales.
Encriptar: forma de codificar la información transmitida a través de la red para no ser leída por un tercero en caso de ser interceptada.
Ergonomía: consideración del elemento humano en el diseño de ingeniería. Estudio del diseño de dispositivos (por ejemplo, teclados), con el objetivo de que las personas los usen de manera saludable, cómoda y eficiente.
Estándares de facto: producto firmemente establecido en el mercado que marca la pauta de compatibilidad de otros soportes, medios o aplicaciones.
Especificaciones disponibles públicamente (PAS): producidas cuando, por ejemplo, varias empresas se unen en un consorcio para definir una interfaz estándar, al objeto de poder desarrollar productos mutuamente compatibles.
Estándares de jure: diversos organismos oficiales garantizan un consenso en relación con una determinada especificación que se convierte en una norma oficial.
Etiqueta de seguridad: marca asociada con datos, procesos y otros recursos protegidos, que puede ser usada para poner en práctica una política de seguridad.
Evaluación: valoración de un sistema o producto de tecnologías de la información respecto de un criterio de evaluación definido.
Evaluación de riesgos: etapa posterior al análisis de riesgos, que partiendo de la exposición a un riesgo y del riesgo aceptable, establece recomendaciones acerca de los controles de seguridad existentes y propuesta de otros nuevos.
Extensión: en sistemas operativos como MsDos y Windows, es frecuente que el nombre de un fichero esté formado por dos partes, separadas por un punto. La primera parte es el nombre del dicho; la segunda parte (hasta 3 letras, en DOS) es la extensión, que suele indicar el tipo de archivo y de la información que guarda ese fichero.
 
Fichero: todo conjunto organizado de datos.
Firewall: mecanismo de seguridad que impide el acceso a una red, ver Cortafuegos.
Firma electrónica: es el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.
Firma electrónica avanzada: es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al signatario y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.
Formato: es la representación de los datos, su finalidad es proporcionar a los sistemas de tratamiento, la información necesaria para que las aplicaciones o programas puedan ejecutar o visualizar los datos codificados.
Freeware: programas que se pueden emplear gratuitamente. Creados por programadores que no buscan lucrase con ellos.
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
Función irreversible: función matemática que es fácil de calcular por ordenador, pero cuya inversa es intratable por ordenador, en inglés One-way function.
Función irreversible con trampa: función fácil de calcular, pero cuya inversa es inviable de obtener salvo conociendo una información privilegiada. Estas funciones son la base de las técnicas criptográficas asimétricas, en las que la información privilegiada es la clave privada, en inglés Trapdoor one-way function.
Función resumen o Función de verificación criptográfica: función matemática que transforma valores de un conjunto grande en otro conjunto de valores más pequeño. Es una función resistente a colisiones que transforma una cadena arbitraria de bits en una cadena de longitud fija, en inglés Hash function.
 
G
Gateway: dispositivo que permite el acceso desde una red de ordenadores a otra de características diferentes.
 
Habilitación: atributo de los sujetos que indica el nivel de autoridad que tiene otorgado. Este nivel se usa para controlar el acceso a los objetos clasificados con cierto nivel de confidencialidad, o, en ocasiones integridad.
Hipertexto: ruptura de la estructura lineal de un texto mediante "enlaces", también llamados "Vínculos" o "Hipervínculos", que permiten saltar a otros temas relacionados, donde encontrar información ampliada. Las páginas Web de Internet son un ejemplo claro de Hipertexto.
Hardware: todos los componentes físicos de la computadora y sus periféricos.
Hosting: servicio de alojamiento ofrecido por algunos proveedores, que brindan a sus clientes un espacio en su servidor para alojar un sitio web.
Housing: servicio que consiste en contratar un servidor para que la empresa pueda alojar los sitios web que necesite.
Huella digital: característica de un conjunto de datos, como el valor obtenido al aplicar una función resumen, específica de los mismos, tal que es inviable encontrar otro conjunto de datos que posea la misma característica.
 
I
Identificación: procedimiento de reconocimiento de la identidad de un usuario.
Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
Impacto: daño producido a la organización por un posible incidente, y resultado de la agresión sobre un activo, visto como diferencia en las estimaciones de los estados de seguridad obtenidas antes y después del evento.
Información: indicación o evento llevado al conocimiento de una persona o de un grupo. Es posible crearla, mantenerla, conservarla y transmitirla. Está en la base de la organización de todo proceso de trabajo.
Información almacenada en soporte electrónico: cualquier dato conservado con un formato que permite su tratamiento automático y que no es posible leerlo y recuperarlo sin la ayuda de una herramienta específica.
Integridad:
a) condición de seguridad que garantiza que la información es modificada, incluyendo su creación y borrado, sólo por el personal autorizado. La integridad está ligada a la fiabilidad funcional del sistema de información, a su eficacia para cumplir las funciones del sistema.
b) seguridad que la información, o los datos, están protegidos contra modificación o destrucción no autorizada, y certidumbre de que los datos no han cambiado de la creación a la recepción.
c) prevención de la modificación no autorizada de información.
d) propiedad de los datos que garantiza que éstos no han sido alterados o destruidos de modo no autorizado.
Internet: red de ordenadores a nivel mundial. Ofrece distintos servicios, como el envío y recepción de correo electrónico (e-mail), la posibilidad de ver información en las páginas Web, de participar en foros de discusión (News), de enviar y recibir ficheros mediante FTP, de charlar en tiempo real mediante IRC.
Interoperabilidad: es la capacidad de dos o más sistemas o componentes de intercambiar información y utilizar la información que ha sido intercambiada.
Intranet: red privada de una empresa de tipo Internet. Su aspecto es similar al de las páginas de Internet.
IP Address: dirección de un ordenador dentro de una red con protocolo TCP/IP (4 números de 0 a 255, separados por puntos, ej: 194.179.5.205).
 
Java: lenguaje de programación orientado a objetos creado por Sun Microsystems, Inc. que permite ejecutar programas en plataformas multiples.
 
Linux: sistema operativo gratuito para ordenadores personales derivado de Unix.
Log: fichero de texto en el que queda recogida toda la actividad que tiene lugar en un determinado ordenador, permitiendo que su propietario o administrador detecte actividades ilícitas e identifique, por medio de su dirección IP, al usuario correspondiente
 
Metadatos: en relación con el contexto de un documento electrónico o base de datos, conjunto de datos con la descripción de la aplicación y equipo informático necesario para reproducirlo, número de versión, estructura del fichero, descripción de los datos y relación con otros documentos.
Multimedia: información digitalizada de varios tipos como texto, gráficos, imagen fija, imagen en movimiento y sonido.
 
News: Uno de los servicios que ofrece Internet. Se trata de un foro de discusión abierta, formado por distintos grupos de noticias temáticos, en los que cualquiera puede escribir mensajes públicos y leer los existentes.
Número IP o Dirección IP: dirección numérica con la que se identifica una máquina conectada a Internet, consta de varios grupos de dos o tres números separados por puntos.
Nombre de dominio: identificador único o dirección de un sitio, un servidor o una máquina, conectada a Internet, consta de dos o más partes separadas por puntos, la parte izquierda es más específica y la derecha es más general, normalmente todas las máquinas de una misma red tienen en común la parte derecha de su nombre de dominio.
Normas: acuerdos documentados que contienen especificaciones técnicas o criterios precisos para ser usados consistentemente como reglas, guías, o definiciones de características, asegurando de esta forma que los materiales, productos, procesos y servicios son apropiados para lograr el fin para el que se concibieron.
No repudio:
a) seguridad de que el emisor tiene confirmación de la entrega y que a su vez el receptor tiene comprobante de la identidad del remitente, de forma que ninguno de los dos pueda después negar haber tratado los datos del otro. El no repudio técnico hace referencia a la certidumbre que tiene una parte de que si un clave pública se emplea para validar una firma digital, la otra parte ha realizado la firma utilizando su correspondiente clave privada. El no repudio legal hace referencia a lo adecuado que puede estar implantado el control o posesión de la clave privada utilizada en la firma.
b) servicio de seguridad que previene que un emisor niegue haber remitido un mensaje, cuando realmente lo ha emitido, y que un receptor niegue su recepción, cuando realmente lo ha recibido. En el primer caso se denomina no repudio en origen y el segundo no repudio en destino.
Número de identificación personal (PIN): sucesión de dígitos decimales, entre 4 y 12, que el usuario de una tarjeta bancaria, de débito o de crédito, posee para su autenticación.
Número primario de cuenta (PAN): número asignado que identifica una tarjeta bancaria emitida y a su titular. Está compuesto por los números de identificación del emisor y de identificación individual de la cuenta, y por un dígito de verificación, según se define en la norma ISO 7812.
 

Palabra de paso: clave de acceso o contraseña necesaria para acceder a un determinado sistema, en inglés Password.
Página web: documento creado en formato HTM, en inglés Hypertext Markup Language.
Plan de contingencia: definición de acciones a realizar, recursos a utilizar y personal a emplear caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos informáticos o de transmisión de datos de una organización.
Política de seguridad:
a) conjunto de reglas para el establecimiento de servicios de seguridad.
b) conjunto de reglas establecidas por la Autoridad de seguridad que gobiernan el uso y suministro de servicios de seguridad y las instalaciones seguras.
Portal: sitio web cuyo objetivo es ofrecer al usuario el acceso a gran variedad de recursos y servicios como buscadores, foros, compra electrónica y noticias.
Pregunta – respuesta: procedimiento de autenticación en el que un ordenador lanza a un supuesto usuario un mensaje que debe ser operado por éste según una transformación específica, y solo conocida por ambos, y devuelta al ordenador. Usuarios y ordenador comparten un único algoritmo de cifra y una clave criptográfica, distinta para cada usuario.
Prestador de servicios de certificación: es la persona física o jurídica que expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica.
Privacidad:
a) restricción de acceso al abonado o a la información confiada a otra parte de acuerdo con la legislación.
b) derecho de los individuos a controlar e influir en la recogida y almacenamiento de datos relativos a ellos mismos, así como por quien y a quien pueden ser dados a conocer estos datos.
Procedimiento: forma especificada para llevar a cabo una actividad o un conjunto de actividades mutuamente relacionadas, que utilizan recursos para transformar entradas en salidas.
Producto de firma electrónica: es un programa o un aparato informático o sus componentes específicos, destinados a ser utilizados para la prestación de servicios de firma electrónica por el prestador de servicios de certificación o para la creación o verificación de firma electrónica.
Protocolo: normas a seguir en una cierta comunicación: formato de los datos que debe enviar el emisor, cómo debe ser cada una de las respuestas del receptor, etc.
Proveedor de Acceso a Internet: empresa con conexión permanente a Internet que ofrece servicios de acceso a Internet a otras empresas o particulares.
Proveedor de servicios de certificación: entidad o persona física o jurídica que expide certificados o presta otros servicios en relación con la firma electrónica.
Proxy: software que permite a varios ordenadores acceder a Internet a través de una única conexión física y puede permitir acceder a páginas Web, FTP, correo electrónico, etc., y también, servidor de comunicaciones, responsable de canalizar el tráfico entre una red privada e Internet, que contiene un cortafuegos.
 
Recurso: cualquier parte componente de un sistema de información.
Registro:
a) En bases de datos, cada una de las filas que componen una tabla
b) En procedimientos, documento que proporciona resultados conseguidos o es evidencia de actividades efectuadas.
Repudio: denegación, por una de las entidades implicadas en una comunicación, de haber participado en la totalidad o en parte de una comunicación.
Responsabilidad: propiedad de una entidad que garantiza que las acciones de ésta, como violación o intento de violación de la seguridad, queden asociadas inequívocamente a ella.
Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
Revocación: ver Repudio
Riesgo: posibilidad de que se produzca un impacto dado en la organización.
Riesgo aceptable: exposición a un riesgo asumido por una institución, normalmente por razones presupuestarias. Dado que la seguridad absoluta no existe, tras implantar los controles de seguridad pertinentes, queda un riesgo, o una exposición a un riesgo, que se denomina residual sin compensar.
Riesgo calculado: soporte de toma de decisiones para cumplir el objetivo de seguridad de la organización.
Riesgo residual: riesgo calculado inferior al nivel determinado por la política de seguridad de la organización o umbral, que se considera asumible.
 
Salvaguarda: mecanismo físico o lógico capaz de reducir el riesgo y, también, acción fruto de una decisión para reducir un riesgo.
Salvaguarda preventiva: acción sobre la vulnerabilidad que neutralizando otra acción, materializada por la amenaza, antes de que actúe ésta.
Salvaguarda curativa: acción sobre el impacto, modificando el estado de seguridad del activo agredido y reduciendo el resultado de la agresión, después de que actúe ésta.
Salvaguardia: del inglés Backup, proceso de realización de una copia preventiva o de reservao la propia copia resultante.
Seguridad de la información:
a) combinación de confidencialidad. Integridad y disponibilidad.
b) disciplina cuyo objetivo es el estudio de los métodos y medios de protección frente a revelaciones, modificaciones o destrucciones de la información, o ante fallos de proceso, almacenamiento o transmisión de dicha información.
Seguridad física:
a) conjunto de medidas usadas para proporcionar protección física a los recursos de información contra amenazas intencionadas o accidentales.
b) conjunto de controles externos a los medios, instalaciones, equipos o sistemas de tratamiento de la información que tratan de protegerlos a ellos y a su entorno de las amenazas de naturaleza física como es el caso de incendios, inundaciones y atentados.
Seguridad legal: disposiciones legales que protegen la información, equipos y sistemas de tratamiento de ésta no como unos bienes más, sino a tendiendo a su singularidad, tal es el caso de la Ley 15/1999 de Protección de Datos de Carácter Personal.
Servicio de seguridad: servicio suministrado por uno o más niveles de un sistema abierto de comunicación, que garantiza la seguridad del sistemna y de las transferencias de datos, tales como confidencialidad, autenticación, integridad, no repudio, control de acceso y disponibilidad.
Shareware: programas que se pueden emplear gratuitamente durante un tiempo de prueba y que, una vez transcurrido el plazo, el usuario debe pagar una cantidad para seguir utilizándolos.
Signatario: persona que cuenta con un dispositivo de creación de firma y que actúa en su propio nombre o en el de la entidad o persona física o jurídica a la que representa.
Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.
Sistema operativo: programa que controla un ordenador y que hace posible ejecutar otros programas o aplicaciones. También administra las funciones internas del ordenador y que reconozca las instrucciones que el usuario introduce a través del teclado o del ratón.
Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos.
Streamer: lector/grabador de cintas magnéticas especiales para ordenador. Permiten una capacidad elevada a un bajo precio, pero son más lentos que otros dispositivos como los diskettes, CD-Rom, o disco duro.
 
Texto cifrado:
a) datos ininteligibles producidos mediante cifrado.
b) datos que no pueden ser interpretados como la expresión de un lenguaje natural o artificial sin el uso de la criptografía, como resultado de cifrar.
Texto en claro:
a) datos inteligibles que pueden ser leídos o procesados sin la aplicación de ningún descifrador.
b) datos interpretables como expresión del lenguaje natural o artificial. Se aplica a la información de cualquier naturaleza que no ha sido cifrada, o si lo ha sido se ha descifrado posteriormente. En inglés cleartext, plaintext.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Trazabilidad: capacidad para seguir la historia, aplicación o localización de todo aquello que está en consideración. La trazabilidad puede estar relacionada con el grado de cumplimiento, el origen de los materiales y las partes, el historial de procesado, la distribución y localización del producto.
 
Unidad de cifra: conjunto de caracteres, o bloques de estos, que es tratado como un todo en un proceso de cifrado.
Usuario: sujeto o proceso automatizado para acceder a datos o recursos.
Unix: sistema operativo multitarea y multiusuario. Existen distintas versiones realizadas por distintas casas, como Linux.
 
Validación: proceso de verificación de la integridad de un mensaje o partes seleccionadas del mismo.
Vulnerabilidad: ocurrencia real de materialización de una amenaza sobre un activo.
Virus: programa que "infecta" un ordenador, capaz de propagarse de un fichero a otro del ordenador, y que causa efectos indeseables y daños irreparables.