Glosario
Terminologia de seguridad y cumplimiento utilizada en CyberOrigen.
A
API (Application Programming Interface) Conjunto de protocolos y herramientas para construir aplicaciones de software. CyberOrigen proporciona una API REST para acceso programatico.
ASV (Approved Scanning Vendor) Empresa aprobada por PCI SSC para realizar escaneos de vulnerabilidades externos para cumplimiento PCI-DSS.
Atestacion Declaracion formal de que algo es verdadero. En CyberOrigen, los usuarios atestiguan que tienen autorizacion para escanear objetivos.
Audit Log (Registro de Auditoria) Registro cronologico de eventos relevantes para seguridad para responsabilidad y analisis forense.
Audit Trail (Pista de Auditoria) Documentacion completa de todas las acciones tomadas, proporcionando evidencia para auditorias de cumplimiento.
B
BAA (Business Associate Agreement) Contrato requerido por HIPAA entre entidades cubiertas y sus socios comerciales que manejan PHI.
Backup Codes (Codigos de Respaldo) Codigos de recuperacion de un solo uso para MFA, usados cuando el autenticador principal no esta disponible.
Breach (Brecha) Acceso no autorizado o divulgacion de informacion protegida.
C
CDE (Cardholder Data Environment) Sistemas que almacenan, procesan o transmiten datos de tarjetas de pago. Definicion del alcance PCI-DSS.
CIA Triad (Triada CIA) Principios fundamentales de seguridad: Confidencialidad, Integridad y Disponibilidad.
Compliance (Cumplimiento) Adherencia a leyes, regulaciones, estandares o politicas.
Control Medida disenada para proteger sistemas o informacion. Puede ser tecnico, administrativo o fisico.
CSF (Cybersecurity Framework) Marco de NIST para gestionar riesgos de ciberseguridad a traves de funciones principales: Identificar, Proteger, Detectar, Responder, Recuperar.
CVE (Common Vulnerabilities and Exposures) Identificador estandarizado para vulnerabilidades de seguridad conocidas (ej., CVE-2024-1234).
CVSS (Common Vulnerability Scoring System) Sistema de puntuacion estandarizado para severidad de vulnerabilidades, que va de 0.0 a 10.0.
D
DAST (Dynamic Application Security Testing) Prueba de una aplicacion en ejecucion para vulnerabilidades simulando ataques.
Data Subject (Interesado) Bajo GDPR, una persona natural identificable cuyos datos personales son procesados.
Defense in Depth (Defensa en Profundidad) Estrategia de seguridad usando multiples capas de controles para proteger sistemas.
DORA (Digital Operational Resilience Act) Regulacion de la UE para gestion de riesgos TIC en el sector financiero.
DPA (Data Processing Agreement) Contrato bajo GDPR entre controladores y procesadores de datos.
DPIA (Data Protection Impact Assessment) Evaluacion requerida por GDPR para actividades de procesamiento de datos de alto riesgo.
DPO (Data Protection Officer) Persona responsable del cumplimiento GDPR dentro de una organizacion.
E
Encryption (Cifrado) Proceso de codificar datos para que solo partes autorizadas puedan leerlos.
ePHI (Electronic Protected Health Information) PHI en formato electronico, protegida bajo HIPAA.
EPSS (Exploit Prediction Scoring System) Probabilidad de que una vulnerabilidad sea explotada en circulacion.
Evidence (Evidencia) Documentacion que demuestra implementacion de controles o estado de cumplimiento.
F
False Positive (Falso Positivo) Hallazgo incorrectamente identificado como vulnerabilidad cuando no lo es.
Finding (Hallazgo) Problema de seguridad, vulnerabilidad o brecha de cumplimiento descubierta.
Framework (Marco) Enfoque estructurado para implementar seguridad o cumplimiento (ej., SOC 2, ISO 27001).
G
Gap Analysis (Analisis de Brechas) Evaluacion que identifica diferencias entre estados de seguridad actuales y deseados.
GDPR (General Data Protection Regulation) Regulacion de la UE para proteccion de datos y privacidad.
GRC (Governance, Risk, and Compliance) Enfoque integrado para gestionar gobierno, gestion de riesgos y cumplimiento.
H
HIPAA (Health Insurance Portability and Accountability Act) Ley de EE.UU. que protege la privacidad y seguridad de informacion de salud.
Host Una computadora o dispositivo en una red.
I
ICT (Information and Communication Technology) Todas las tecnologias usadas para manejar telecomunicaciones y redes informaticas.
Incident (Incidente) Evento de seguridad que amenaza la confidencialidad, integridad o disponibilidad de sistemas o datos.
ISMS (Information Security Management System) Marco de politicas y procedimientos para gestionar sistematicamente la seguridad de la informacion (ISO 27001).
IOC (Indicator of Compromise) Evidencia de que ha ocurrido una brecha de seguridad.
K
KRI (Key Risk Indicator) Metrica usada para medir exposicion potencial a riesgos.
L
Least Privilege (Minimo Privilegio) Principio de seguridad que otorga a los usuarios el acceso minimo necesario para su rol.
M
MFA (Multi-Factor Authentication) Autenticacion que requiere multiples metodos de verificacion.
MISP (Malware Information Sharing Platform) Plataforma de inteligencia de amenazas de codigo abierto integrada con CyberOrigen.
N
NIST (National Institute of Standards and Technology) Agencia de EE.UU. que desarrolla estandares y marcos de ciberseguridad.
Nuclei Escaner de vulnerabilidades basado en plantillas usado por CyberOrigen.
O
OWASP (Open Web Application Security Project) Organizacion que produce recursos de seguridad web, incluyendo el OWASP Top 10.
P
PCI-DSS (Payment Card Industry Data Security Standard) Estandar de seguridad para organizaciones que manejan tarjetas de pago.
Penetration Testing (Prueba de Penetracion) Ataque simulado autorizado para evaluar seguridad.
PHI (Protected Health Information) Informacion de salud individualmente identificable protegida por HIPAA.
PII (Personally Identifiable Information) Datos que pueden identificar a un individuo.
Policy (Politica) Declaracion formal de reglas y expectativas para practicas de seguridad.
Procedure (Procedimiento) Instrucciones paso a paso para implementar politicas.
Q
QSA (Qualified Security Assessor) Individuo certificado por PCI SSC para evaluar cumplimiento PCI-DSS.
Quarantine (Cuarentena) Aislamiento de archivos sospechosamente maliciosos para revision.
R
RACI Matrix (Matriz RACI) Matriz de asignacion que muestra quien es Responsable, Aprobador, Consultado e Informado.
RAG (Retrieval-Augmented Generation) Tecnica de IA que usa conocimiento externo para mejorar respuestas.
Remediation (Remediacion) Proceso de corregir vulnerabilidades o brechas de cumplimiento identificadas.
Risk (Riesgo) Potencial de perdida o dano cuando una amenaza explota una vulnerabilidad.
Risk Appetite (Apetito de Riesgo) Cantidad de riesgo que una organizacion esta dispuesta a aceptar.
Risk Register (Registro de Riesgos) Documento que lista riesgos identificados, evaluaciones y planes de tratamiento.
ROC (Report on Compliance) Informe de evaluacion PCI-DSS completado por un QSA.
S
SAQ (Self-Assessment Questionnaire) Herramienta de autoevaluacion PCI-DSS para comerciantes que califican.
SAST (Static Application Security Testing) Analisis de codigo fuente para vulnerabilidades sin ejecutarlo.
SIEM (Security Information and Event Management) Sistema que recopila y analiza logs y eventos de seguridad.
SLA (Service Level Agreement) Contrato que define niveles de servicio esperados.
SOC 2 (Service Organization Control 2) Marco de auditoria para proveedores de servicios, basado en Criterios de Servicios de Confianza.
SSRF (Server-Side Request Forgery) Vulnerabilidad que permite a atacantes hacer solicitudes desde el servidor.
SSL/TLS Protocolos para cifrar comunicaciones de red.
T
Threat (Amenaza) Causa potencial de un incidente no deseado.
Threat Intelligence (Inteligencia de Amenazas) Informacion sobre amenazas y actores de amenazas.
TLPT (Threat-Led Penetration Testing) Metodologia de pruebas avanzadas requerida por DORA.
Trust Services Criteria (Criterios de Servicios de Confianza) Criterios AICPA para SOC 2: Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad, Privacidad.
V
Vulnerability (Vulnerabilidad) Debilidad que podria ser explotada por una amenaza.
Vulnerability Management (Gestion de Vulnerabilidades) Proceso de identificar, evaluar, tratar y reportar vulnerabilidades.
W
WAF (Web Application Firewall) Solucion de seguridad que protege aplicaciones web de ataques.
Webhook Callback HTTP para notificaciones en tiempo real entre sistemas.
Z
Zero Day (Dia Cero) Vulnerabilidad desconocida para los proveedores o sin parches disponibles.