Glosario de seguridad de la identidad

Un archivo Comma Separated Values (valores separados por comas) es un archivo de datos utilizado para el almacenamiento digital de datos estructurados en forma de tabla de listas, en el que cada elemento asociado (miembro) de un grupo está asociado a los demás elementos de su conjunto, también separados por comas.

Instalación destinada a alojar sistemas informáticos y componentes asociados, como servidores (web, aplicaciones, bases de datos), conmutadores, routers, almacenamiento, balanceadores, jaulas o armarios, bóvedas, racks y equipo relacionado.

Véase Certificaciones de acceso

La revisión periódica de los privilegios de acceso de los usuarios para validar que se ajusten a su función laboral y cumplan las directrices de las políticas. Las certificaciones de acceso se utilizan frecuentemente como control interno para garantizar el cumplimiento de la Ley Sarbanes-Oxley y otras normativas.

La revisión periódica de roles para validar que contengan los privilegios de acceso adecuados y que los miembros con ese rol sean los correctos. Las certificaciones de roles se suelen usar como control interno y como forma de impedir la proliferación de roles.

Cualquier acceso no autorizado a sistemas, dispositivos o redes que tenga la intención de alterar, bloquear, controlar, eliminar, destruir, desactivar, interrumpir, exponer, manipular o robar datos, aplicaciones u otros activos digitales.

Surge cuando se compromete la confidencialidad o la integridad de la información o de la tecnología, pudiendo causar pérdidas financieras, impactos operativos y daños a sistemas, organizaciones, gobiernos y personas.

Término que abarca las herramientas, los sistemas, las prácticas, los procesos y los procedimientos que se combinan para proteger los recursos digitales (por ejemplo, hardware, software, redes o datos) contra ciberamenazas y molestias externas, personal interno malintencionado y usuarios descuidados.

Un valor único utilizado (y normalmente generado) por un almacén de identidades para identificar de forma única cada identidad.

Un proceso que compara periódicamente los datos de identidad de una solución de gestión de identidades con los datos presentes en los recursos gestionados. La conciliación correlaciona los datos de la cuenta, destaca las diferencias y puede activar un flujo de trabajo para alertar o realizar cambios en los datos.

Marco de seguridad de TI que exige que todas las identidades (personas, dispositivos o cualquier otra entidad designada como usuario) se autentiquen, autoricen y verifiquen continuamente, tanto si el usuario está dentro de la red de la empresa como si está fuera, antes del acceso a los datos y las aplicaciones y durante dicho acceso.

Una aserción, como tener una identidad concreta o ser miembro de un grupo. Generalmente requiere una prueba mediante una credencial, como un ID de usuario y una contraseña.

Planificación y preparación proactiva para asegurar que la organización mantiene sus operaciones esenciales ante desastres, emergencias u otros eventos inesperados que provoquen interrupciones significativas.

Forma de datos de autenticación secretos que se utiliza para controlar el acceso a los servicios del sistema. Permite al titular de un identificador electrónico confirmar que es la persona para la que se emitió el identificador. Una credencial, algo que solo el usuario sabe y que el autenticador puede confirmar.

Contraseña válida solo para un inicio de sesión o una transacción, generada por un algoritmo cuando un usuario necesita autenticarse. La contraseña de un solo uso se suele enviar al dispositivo móvil o el token de seguridad del usuario.

Un modelo que limita el acceso de los usuarios según su rol en una organización.

Los controles del sistema y los procesos circundantes que otorgan o deniegan a las partes la capacidad y la oportunidad de acceder a los sistemas (es decir, de obtener conocimientos o de modificar información o materiales en los sistemas).

Una metodología de autorización que establece y aplica políticas basadas en características, como departamento, ubicación, gerente y hora del día.

Un procedimiento, que puede estar asistido por automatización, que se utiliza para identificar sucesos (indeseables o deseados), errores y otros acontecimientos que una empresa ha determinado que tienen un efecto importante en su negocio.

Un control interno que se utiliza para impedir sucesos indeseables, errores y otros acontecimientos que una organización ha determinado que podrían tener un efecto negativo importante en su negocio.

Procesos diseñados para ayudar a las organizaciones a impedir y detectar el fraude y a proteger los activos sensibles.Los controles internos suelen ser un medio por el que se revisan, supervisan y miden los procesos y los recursos de TI de una organización.

El acto o el proceso de corregir un problema de cumplimiento normativo, como una infracción de política.

El proceso de combinar datos de identidad de distintas fuentes en un esquema común que representa una identidad.Las identidades se pueden vincular automáticamente a cuentas de aplicaciones y derechos de acceso mediante reglas de correlación o de forma manual con una herramienta para establecer los vínculos correctos.

El proceso de definir roles dentro de un modelo de roles y asignarlos al conjunto adecuado de privilegios de acceso según el proceso empresarial y la función laboral.

Medio para autentificar una identidad declarada; normalmente es la parte privada de un par de identidad (el ID de usuario suele ser la parte pública).Las credenciales pueden cambiar con el tiempo y pueden revocarse.

Mecanismo de informes que agrupa y muestra métricas e indicadores clave (KPIs) para que cualquier usuario los examine de un vistazo, antes de profundizar con herramientas de BI, gestión del rendimiento y analítica.

Vista multidimensional de cada identidad y de sus accesos y atributos asociados.

Un ID de inicio de sesión en un sistema o una aplicación utilizado por más de un humano o una máquina. Los administradores suelen compartir cuentas con privilegios: por ejemplo, cuentas raíz, de servicio o de administrador.

Una cuenta con privilegios es un ID de inicio de sesión en un sistema o una aplicación que concede más derechos de acceso de los que se conceden a un usuario normal. Los administradores de sistemas suelen usar las cuentas con privilegios para gestionar sistemas o para ejecutar servicios en sistemas. También las suelen usar las aplicaciones para conectarse a otras mediante programación.

Un tipo de cuenta compartida que se utiliza para las comunicaciones entre aplicaciones cuando un sistema debe conceder acceso seguro a otro sistema.

Una cuenta que pertenece a un usuario que ha dejado la organización. Las cuentas huérfanas son resultado directo de no eliminar los privilegios de acceso cuando los trabajadores dejan su puesto o se trasladan, y son un objeto de atención frecuente para los auditores de TI que buscan riesgos de seguridad.

Uso de procesos y herramientas para cumplir los requisitos de cumplimiento de manera automatizada, sistemática y previsible en lugar de tratar el cumplimiento normativo como un evento único.

Es el cumplimiento de la Ley Sarbanes-Oxley, una ley federal estadounidense promulgada en 2002 para proteger a los inversores y los clientes frente a prácticas corporativas fraudulentas.

Conformidad con una especificación, una política, un estándar o una ley claramente definidos. Las políticas pueden derivarse de directivas, procedimientos y requisitos internos o de leyes, normativas, estándares y acuerdos externos.Estas leyes pueden conllevar sanciones penales o civiles o pueden ser normativas.

El cumplimiento de una organización de las leyes, las normativas, los estándares, las directrices y las especificaciones que establecen Gobiernos, agencias, grupos comerciales y otros organismos.