ISO 27000.es

El portal de ISO 27001 en Español


Herramientas

Esta sección incluye enlaces a diferentes herramientas y recursos relacionados con sistemas de gestión de seguridad de la información.


Una buena parte son de libre acceso. Algunos recursos están en español y otros en inglés..


Navegue a través del submenú lateral por los distintos apartados.



Normas y buenas prácticas

ISO

Normas ISO de descarga gratuita relativas a tecnologías de la información.


ISO Store

Tienda online de ISO para la compra de normas.


AENOR - Publicaciones

Compra de normas UNE/ISO en España.


BSI Shop

Compra de normas de la "British Standards Institution".


Controles ISO27002-2013.pdf

Lista en español de los controles de ISO 27002:2013.


Controles ISO27002-2005.pdf

Lista en español de los controles de ISO 27002:2005 (a efectos de consulta sólo, puesto que ISO 27002:2005 ha sido reemplazada por ISO 27002:2013).


ONGEI Norma ISO17799-001-V2.pdf

Norma Técnica Peruana NTP-ISO/IEC 17799:2007, traducción al español de ISO/IEC 27002:2005 (a efectos de consulta sólo, puesto que ISO 27002:2005 ha sido reemplazada por ISO 27002:2013).


Praxiom

Resumen y explicación en inglés de los requisitos de ISO 27001:2013.


Transition Guide. BSI

Guía de transición de ISO 27001:2005 a ISO 27001:2013, por BSI.


Mapping Guide. BSI

Mapeo de requisitos entre ISO 27001:2005 e ISO 27001:2013, por BSI.


O-ISM3

Open Information Security Management Maturity Model (O-ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el español Vicente Aceituno.


IT Security Guidelines

Guía en inglés de buenas prácticas de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.


IT-Grundschutz Catalogues

"IT-Grundschutz Catalogues": Manual en inglés, de casi 3.000 páginas, sobre gestión de seguridad de la información editado por el " Bundesamt für Sicherheit in der Informationstechnik" de Alemania.


Bundesamt für Sicherheit in der Informationstechnik - Standards

Diversos estándares y metodologías de gestión de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas.


Australian Signals Directorate - Information Security Manual

Manual de seguridad de la información en inglés del gobierno australiano.


ISF Standard of Good Practice for Information Security

Estándar de seguridad de la información del "Information Security Forum" con herramientas de apoyo adicional.


ISACA - Cobit

CobiT Control Objectives for Information and related Technology. Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido español.


ISECOM

OSSTMM (Open Source Security Testing Methodology Manual). También en español.


CORDIS EU

ITSEC (Information Technology Security Evaluation Criteria; 1991) e ITSEM (Information Technology Security Evaluation Manual; 1993 ). Editados por la Comisión Europea. Como referencia histórica, puesto que son ya muy antiguos.


TISN

Guías de seguridad del Trusted Information Sharing Network de Australia.


The IIA - Standards and Guidance

Estándares y guías del Institute of Internal Auditors.


Publicaciones NIST

Acceso a todas las guías publicadas por NIST (National Institute of Standards and Technology de EEUU).


ISO_27000_implementation_guidance_v1_Spanish.pdf

Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".


FAS

Directiva de EEUU sobre seguridad física de edificios e instalaciones.


NSA information assurance guidance

Guías de seguridad de la información de la National Security Agency de EEUU.


ENISA CSIRT

Guía en español de creación de un equipo de respuesta a incidentes de seguridad informática.


SANS

Diversas propuestas de proceso de gestión de incidentes de seguridad para distintos entornos.


Gestión centralizada de Logs

Guía en español de una metodología para la gestión centralizada de registro de eventos de seguridad en Pymes.


SABSA

Metodología de desarrollo de arquitecturas de seguridad corporativas.


PAS 99:2012

Especificación de los requisitos comunes del sistema de gestión como marco para la integración. Guía de BSI (British Standards Institution) en español de cómo integrar diversos sistemas de gestión.



Análisis de riesgos

ENISA

Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.


ENISA

Publicaciones relacionadas con la evaluación y gestión del riesgo.


MAGERIT

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, promovida por el Ministerio de Administraciones Públicas de España.


EAR/Pilar

Entorno de análisis de riesgos, merramienta en español, basada en Magerit, no gratuita. Existe una versión Basic para Pymes.


KRiO

Herramienta software GRC, que permite evaluar, analizar, tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales, medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización. En español, de la empresa SIGEA.


ISO 27005

Estándar ISO de la serie 27000 dedicado a la gestión de riesgos de seguridad de la información.


UNE-ISO 31000

Estándar ISO dedicado a la gestión de riesgos, en español.


BS 7799-3:2006

Estándar británico de gestión del riesgo de la seguridad de la información de British Standards Institution.


NIST SP 800-30

"Guide for conducting risk assessments". Publicada por NIST (National Institute of Standards and Technology) de EEUU.


EBIOS

Expression des Besoins et Identification des Objectifs de Sécurité, metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.


Bundesamt für Sicherheit in der Informationstechnik

Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.


MEHARI

Méthode Harmonisée d'Analyse de Risques, método de análisis y gestión del riesgo disponible de forma abierta en Open Source (Inglés y Francés).


OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation, metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versión para pequeñas empresas (menos de 100 empleados).


RiskWatch

Software no gratuito de realización de análisis de riesgos.


IRAM 2

Information Risk Analysis Methodologies es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.


Citicus ONE

Software comercial (disponible en varios idiomas, pero no en español) de gestión de riesgos de seguridad de la información.


FAIR

Introducción a la metodología FAIR (Factor Analysis of Information Risk).


The IRM

Guías y publicaciones sobre gestión del riesgo.


@RISK

@RISK, de Palisade, es un software general de análisis de riesgos basado en la simulación de Monte Carlo. Existe versión en español y tiene coste.


COBRA

Consultative, Objective and Bi-functional Risk Analysis es un software -no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".


SANS - Risk Management

Whitepaper de SANS sobre valoración y gestión de riesgos.


ASIS guidelines

Guía de evaluación de riesgos de seguridad de ASIS.


FOSS

Directrices para la gestión del riesgo por uso de aplicaciones de software libre "Free and Open Source Software".


Risk Management Toolkit for the NSW Public Sector

Guías para la gestión de riesgos de la administración de Nueva Gales del Sur.


NIST Risk Management Framework

Marco adaptable para proporcionar una implementación flexible y basada en el riesgo y que se puede utilizar con una amplia gama de procesos de gestión de riesgos de ciberseguridad como ISO 31000: 2009, ISO/IEC 27005:2011, NIST 800-39 y el Proceso de Gestión de Riesgo (RMP) de Ciberseguridad en el sector eléctrico.



Dirección y gerencial

INCIBE

Estas guías y estudios tienen como finalidad aportar tanto valor práctico como teórico para fomentar y mejorar la seguridad digital en todos los ámbitos de la sociedad para empresas a nivel gerencial.


ISO/IEC 27000

ISO/IEC 27000 es la norma de visión general y vocabulario sobre sistemas de gestión de seguridad de la información de la serie 27000. Es gratuita.


Guía GOV.UK

Toolkit básico del ministerio de defensa de Reino Unido para ayudar al desarrollo y mantenimiento de una estrategia de continuidad del negocio.


GOV.UK

Publicaciones relacionadas con la continuidad de negocio publicadas por distintos departamentos del Reino Unido.


TDBSSI

Esquema Orientativo de la Seguridad de los Sistemas de Información, herramienta de síntesis y de visualización para el seguimiento de las acciones vinculadas con la seguridad de la información, desarrollada por la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español.


NIST

Guía de seguridad de la información para gerentes, del NIST (National Institute of Standards and Technology de EEUU).


CERT

Governing for Enterprise Security, iniciativa del CERT de EEUU.



Métricas e indicadores

ISO/IEC 27004

ISO/IEC 27004 es la norma de la serie 27000 dedicada a métricas de gestión de seguridad de la información.


CCN-STIC-815

La norma CCN-STIC-815 está dedicada a métricas e indicadores en el Esquema Nacional de Seguridad español.


ISO_27000_implementation_guidance_v1_Spanish.pdf

Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".


NIST SP 800-55

NIST SP 800-55: Performance Measurement Guide for Information Security.


Pragmatic security metrics

Libro en inglés dedicado a métricas de seguridad.


EDUCAUSE security metrics

Enlaces a distintos recursos relacionados con métricas de seguridad.


Measuring security tutorial

Presentación en inglés sobre cómo medir la seguridad.


Security-Awareness-Benchmarking-and-Metrics.pdf

Recomendaciones relacionadas con métricas sobre concienciación en seguridad.



Implantación de SGSI

Gesconsultor

Plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. GESCONSULTOR es una plataforma gestionada por GESDATOS Software, S.L. y que patrocina el mantenimiento de las actividades y desarrollo de contenidos nuevos y de libre acceso para el portal iso27002.es.


AGGIL

AGGIL es un sistema de información empresarial que mantiene uno o varios sistemas de gestión ISO (27001, 9001, 14001) integrados y que funciona bajo la filosofía del Software como Servicio (SaaS).


ePULPO

ePULPO (Plataforma de Unificación Lógica de los Procesos Organizativos) integra una serie de herramientas Open Source líderes del mercado, para cubrir todo el abanico de necesidades relativas a la gestión de seguridad de la información.


GlobalSuite

GlobalSuite es la herramienta de gestión de SGSIs de la consultora española Audisec. Cubre la evaluación de riesgos y las distintas etapas del ciclo de vida de un SGSI.


Inmuno SGSI

Inmuno SGSI sirve para la automatización del cumplimiento de todos los requisitos de la norma ISO 27001.


SECITOR R1

Aplicación orientada para la gestión sencilla de un SGSI, a través de módulos.


Proteus

Proteus es un software comercial que cubre todas las fases de implantación de un SGSI.


ISO27K Toolkit

Toolkit gratuito con plantillas y ejemplos para la implantación de ISO 27001 del "ISO27k implementers' forum".


CCN-STIC

Las guías y herramientas del Centro Criptológico Nacional son una referencia útil a la hora de implantar un SGSI y controles de seguridad relacionados.


NSW Information Security Guideline

Guía de implantación de un SGSI con consejos y recomendaciones del gobierno de Nueva Gales del Sur.


IS2ME

Metodología en español de implantación de seguridad de la información en PyMEs.


ISO/TC 176

Documento ISO/TC 176/SC 2/N544R2(r) que expone el enfoque por procesos.


ISO_27000_implementation_guidance_v1_Spanish.pdf

Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".


JIP-ISMS114-10E.pdf

Guía de implantación de un SGSI en una organización médica.


Métrica 3

Métrica 3: metodología de planificación, desarrollo y mantenimiento de sistemas de información del Ministerio de Administraciones Públicas español.


NIST SP 800-53

800-53 guía de implantación de controles de seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU.


NIST checklists

NIST Security Configuration Checklists Repository: un conjunto de listas de comprobación relativas a la seguridad en los más diversos sistemas informáticos.


SANS

Este trabajo aborda la implementación de un SGSI - ISO 27001 utilizando la Guía PMBOK publicada por el Proyecto Management Institute, Inc.


NovaSec

Software GRC de la empresa NovaSec S.A.S que permite gestionar el diseño, implementación, operación y mejora de un SGSI.



Implantación de políticas

CCN-STIC

Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.


INCIBE

Guías y manuales de seguridad publicados por el organismo público español INCIBE.


PSSI

La guía PSSI. Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.


PSI_Modelo-v1_200507.pdf

Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).


TBS-SCT

Política de Seguridad del Gobierno de Canadá, en inglés. Disponible también en francés.


UCISA

Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002.


dmoz.org

Conjunto de políticas de seguridad variadas. Desde 17 de Marzo la iniciativa está cerrada manteniendo un espejo con el contenido publicado hasta esa fecha.


Infosecwriters

Creación de políticas de seguridad para Pymes.


SANS Reading Room

Conjunto de recursos del SANS Institute.


NIST SP 800

Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.


BITS

Documentos publicados por BITS, división tecnológica de The Financial Services Roundtable, una asociación de empresas del sector financiero de EEUU.


Notice bored

Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito.


Senado

Normativa de uso de sistemas de información del Senado español.



Concienciación

Criptored

"Concientización en seguridad de la información", una guía en español publicada por la Universidad de los Andes. [El término "concientización" se usa sobre todo en Hispanoamérica.]


INCIBE

Cursos online gratuitos de seguridad del organismo público español INCIBE.


ENISA

Guía de ENISA para la confección de planes de concienciación en seguridad de la información.


ENISA

Guía de ENISA en inglés sobre planes de concienciación en seguridad y la medición de su eficacia.


ENISA

Material de concienciación en seguridad de ENISA.


Notice bored

Conjunto de herramientas y servicios de concienciación. No gratuito.


The security awareness company

Conjunto de herramientas y servicios de concienciación. No gratuito.


US security awareness

Larga lista de enlaces a otras páginas relacionadas con concienciación y seguridad de la información en general.


Educause.edu

Material de concienciación sobre seguridad de la información.


NIST SP 800-50

Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.


NIST SP 800-16

Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU.


Infosecwriters

Aspectos importantes en concienciación en seguridad de la información. Publicado por el NSI (National Security Institute) de EEUU.


Microsoft

Portal de asesoramiento en concienciación gratuitos de Microsoft.


IWAR SA-Tools

Conjunto de documentos de concienciación en seguridad de la información.


IWAR awareness posters

Posters de sensibilización en seguridad de la información.


Arizona awareness

Material de concienciación en seguridad de la información de la Universidad de Arizona.


Notice bored

Material y estrategias para diseñar un plan de sensibilización en seguridad de la información.


Commonwealth Films

Venta de vídeos de concienciación en seguridad de la información en inglés.


Security cartoon

Una viñeta diaria orientada a la concienciación de usuarios en seguridad de la información.


Gartner review

Revisión comparativa de productos software para la concienciación en seguridad.



Auditoría

ISO/IEC 27007

Norma ISO de la serie 27000, que establece directrices para la auditoría de un SGSI.


ISO/IEC TR 27008

Norma ISO de la serie 27000, que establece directrices para la auditoría de controles de seguridad de la información.


ISO27k_Guideline_on_ISMS_audit

Guía de auditoría de SGSIs del "ISO27k implementers' forum".


ISO27k_ISMS_internal_audit_procedure

Ejemplo de procedimiento de auditoría interna del "ISO27k implementers' forum".


The IIA

Guías de aplicación a los auditores internos (International Professional Practices Framework - IPPF) y guías adicionales de auditoría para procesos y sistemas de información.


The IIA

GTAG 11, guía sobre cómo desarrollar un plan de auditoría TI del Institute of Internal Auditors.


FFIEC IT-Booklets

Guías de auditoría de sistemas de información del Federal Financial Institutions Examination Council de EEUU.


ISACA

Normas, directrices y procedimientos de ISACA para auditores de sistemas de información.


TBS-SCT

Guía de auditoría de seguridad TI del Gobierno de Canadá.


IsecT

Preguntas y respuestas acerca de auditoría de sistemas.


SANS

Checklist de auditoría relacionados con los controles del Anexo A de ISO 27001.


ISO 9001 Auditing Practices Group

Guías de auditoría en inglés del ISO 9001 Auditing Practices Group.


PRAXIOM

Checklist sobre seguridad física y del entorno.


PRAXIOM

Checklist sobre gestión de activos de información.


PRAXIOM

Checklist sobre seguridad relativa a los recursos humanos.


PRAXIOM

Checklist sobre gestión de incidentes de seguridad.


PRAXIOM

Checklist del proceso de revisión del SGSI.


PRISMA

Program Review for Information Security Management Assistance (PRISMA) del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan de seguridad de la información.



Continuidad de negocio

ISO 22301

Norma ISO certificable que establece los requisitos para un sistema de gestión de continuidad de negocio. Tiene su origen en la norma BS 25999.


ISO/IEC 27031

Norma ISO de la serie 27000 que establece directrices para los aspectos TIC de continuidad de negocio.


ISO/IEC 24762

Directrices para servicios de recuperación de desastres TIC.


The BCI

Guía de buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute". Disponible también en español.


SS 507:2008

Estándar de Singapur sobre recuperación de desastres TIC.


INCIBE

Espacio dedicado a la continuidad del negocio con distintas guías, plantillas y recursos de utilidad.


NIST SP 800-34

Guía para planes de contingencia de sistemas TI del NIST (National Institute of Standards and Technology) de EEUU.


DRII

Prácticas profesionales de continuidad de negocio del Disaster Recovery Institute International.


CNPIC

Centro Nacional para la Protección de Infraestructuras Críticas de España.


TISN

Guías protección de infraestructuras críticas del gobierno australiano.


ONGEI

Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información  del Gobierno de Perú.


ASIS

Guía de continuidad de negocio de ASIS (American Society for Industrial Security).


The IIA: GTAG 10

GTAG 10, guía de gestión de continuidad de negocio del Institute of Internal Auditors.


FFIEC

Guía de continuidad de negocio en instituciones financieras del FFIEC de EEUU.


Avalution Consulting

Guía de implantación de ISO 22301 publicada por Avalution Consulting.


IBM Redbooks - part I

IBM System Storage Business Continuity: Part 1 Planning Guide.


IBM Redbooks - part II

IBM System Storage Business Continuity: Part 2 Solutions Guide.


Basel Committee on Banking Supervision

Principios de alto nivel de continuidad de negocio del Basel Committee on Banking Supervision.


Continuity Central

Checklist de continuidad de negocio para pequeñas empresas