Enlaces y herramientas

Esta sección incluye enlaces a diferentes fuentes de referencia, herramientas y recursos relacionados con los sistemas de gestión de seguridad de la información.

Una buena parte son de libre acceso (parcial o permanente según el caso). Aunque se procura recopilar preferentemente recursos en español, se incluyen también referencias en otros idiomas (inglés habitualmente).


Enlaces

En este apartado se incluyen referencias a otras páginas web relacionadas con los sistemas de gestión de seguridad de la información o con diferentes aspectos tratados en nuestra web.

www.alancalderitgovernanceblog.com

Alan Calder. IT Governance, information security and ISO 27001.

www.securitymetrics.org

Andrew Jaquith. Security Metrics.

gobiernotic.blogspot.com

Antonio Valle. Gobierno de las TIC.

www.schneier.com/blog

Bruce Schneier. Schneier on Security.

blog.segu-info.com.ar

Cristian Borghello. Segu Info News.

ddanchev.blogspot.com

Dancho Danchev. Mind Streams of Information Security Knowledge.

blog.taddong.com

David Pérez, José Pico, Mónica Salas, Raúl Siles. Security in depth.

seguridadit.blogspot.com

Enrique G. Dutra. Seguridad Informática.

blog.noticebored.com

Gary Hinson. Information security news and hot links.

seguridad-de-la-informacion.blogspot.com

Javier Cao. Apuntes de seguridad de la información.

sgsi-iso27001.blogspot.com

Javier Cao. ISO 27001 - Sistemas de Gestión de Seguridad de la Información.

secugest.blogspot.com

Joseba Enjuto. Seguridad y Gestión.

linza.wordpress.com

Julián Inza. Todo es electrónico.

www.ranum.com/security/computer_security/index.html

Marcus Ranum. Computer Security.

sociedaddelainformacion.wordpress.com/

Martín Pérez. Sociedad de la Información.

The Llaneza Firm

Paloma Llaneza. Mucho más que derecho de las TIC.

blog.infosecman.com

Samuel Linares. InfoSecMan

www.sahw.com/wp

Sergio Hernando. Seguridad de la Información y Auditoría de Sistemas.

xribas.typepad.com

Xavier Ribas. Aspectos jurídicos de las tecnologías de la información.

seguridad-informacion.blogspot.com

CRYPTEX - Seguridad de la Información

Careers in Audit

Empleo para Europa y resto del mundo en el área de auditoría.

Divendo

Motor de búsqueda de empleo en España.

Indeed

Motor de búsqueda que permite encontrar ofertas publicadas en miles de páginas de empresas y bolsas de empleo.

Infoempleo

Portal de empleo generalista en España.

Infojobs

Portal de empleo español.

Jobatus

Portal de empleo para buscar trabajo y para toda empresa que quiere publicar ofertas de empleo y contratar personal.

Job Rapido

Buscador de ofertas de empleo publicadas en otros portales y agencias de empleo.

Jobbydoo

Portal de empleo para España.

Jooble

Buscador de ofertas de empleo en diversos países de todo el mundo.

Monster España

Monster España forma parte de Monster, compañía líder mundial en reclutamiento y búsqueda de empleo en Internet.

Neuvoo

Neuvoo ayuda a las personas que buscan trabajo a través de la plataforma y permite realizar búsquedas avanzadas de manera muy simple (filtrar por ubicación, puestos y requisitos por ejemplo). Dispone de ofertas ne distintos países.

Opcionempleo

Motor de búsqueda de empleos a nivel internacional, tanto en empresas como en webs de empleo.

Trovit

Buscador de ofertas de empleo publicadas en otros portales y agencias de empleo.

ZipRecruiter

Recurso gratuito diseñado para ayudar en la búsqueda de empleo. Aplicación #1 más descargada en Estados Unidos.

BSI, SGS o Aenor

Entidades, entre otras, que ofrecen certificación a nivel internacional de Auditor Jefe ISO 27001.

ISACA

CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of Enterprise IT) y CRISC (Certified in Risk and Information Systems Control).

ISC2

CISSP (Certified Information Systems Security Professional), SSCP (Systems Security Certified Practitioner), CAP (Certified Authorization Professional), CCFPSM (Certified Cyber Forensics Professional), CSSLP (Certified Secure Software Lifecycle Professional) y HCISPP (HealthCare Information Security and Privacy Practitioner).

GIAC

Global Information Assurance Certification (GIAC) mantiene un esquema con una larga lista de certificaciones personales relacionadas con la seguridad: GSEC (Security Essentials), GCIH (Certified Incident Handler), GCIA (Certified Intrusion Analyst), GPEN (Penetration Tester), GCFW (Certified Firewall Analyst), GWAPT (Web Application Penetration Tester), GCWN (Certified Windows Security Administrator), GAWN (Assessing and Auditing Wireless Networks), GCUX (Certified UNIX Security Administrator), GISF (Information Security Fundamentals), GCED (Certified Enterprise Defender), GXPN (Exploit Researcher and Advanced Penetration Tester), GCFA (Certified Forensic Analyst), GREM (Reverse Engineering Malware), GCFE (Certified Forensic Examiner), GSLC (Security Leadership), GISP (Information Security Professional), G2700 (Certified ISO-27000 Specialist), GCPM (Certified Project Manager), GSNA (Systems and Network Auditor), GSSP-JAVA (Secure Software Programmer-Java), GWEB (Certified Web Application Defender), GSSP-.NET (Secure Software Programmer .NET) y GLEG (Legal Issues in Information Technology and Security).

DCProfessional Development - Datacenter Dynamics

Data Center Specialist, Certificate in Foundations of Mission Critical Infrastructure.

Data Privacy Institute

Certified Data Privacy Professional (CDPP).

Cloud Security Alliance

CCSK (Certificate of Cloud Security Knowledge).

CompTIA

CASP (Advanced Security Practitioner), SMSP (Social Media Security Professional), Comptia Security+.

DRII - Disaster Recovery Institute International

CFCP (Certified Functional Continuity Professional), CBCA/CBCLA (Certified Business Continuity Auditor), ABCP (Associate Business Continuity Professional), CBCP (Certified Business Continuity Professional), MBCP (Master Business Continuity Professional), CPSCP (Certified Public Sector Continuity Professional), CHPCP (Certified Healthcare Provider Continuity Professional).

Business Continuity Institute

CBCI (Certified by the Business Continuity Institute).

EC-Council

CEH (Certified Ethical Hacker), CHFI (Computer Hacking Forensic Investigator), CNDA (Certified Network Defense Architect), ECSA (EC-Council Certified Security Analyst), ECSS (EC-Council Certified Security Specialist), LPT (Licensed Penetration Tester), MSS (Master of Security Science), CEI (Certified EC-Council Instructor), ENSA (EC-Council Network Security Administrator), ECSP (EC-Council Certified Secure Programmer), CSAD (Certified Secure Application Developer), ECVP (EC-Council Certified Voice over IP Professional), CEP (Certified e-Business Professional).

ISECOM

OPST (Professional Security Tester), OPSA (Professional Security Analyst), OWSE (Wireless Security Expert), CTA (Certifed Trust Analyst), OPSE (Professional Security Expert), SAI (Security Awareness Instructor).

Cibersecurity Institute

CSFA (CyberSecurity Forensic Analyst).

Distintos fabricantes ofrecen certificaciones específicas de sus productos, con relación con la seguridad, como por ejemplo, CCNA (Cisco Certified Network Associate), RHCE (Red Hat Certified Engineer), MCSE (Microsoft Certified Solutions Engineer) o CCSA (Checkpoint Firewall Certified Security Administrator).

Algunos sitios que referencian a ISO27000.es o con los que se mantiene algún tipo de relación a nivel de difusión.

Audea

Áudea Seguridad de la Información: Consultora tecnológica que presta servicios profesionales relacionados con la gestión de la seguridad de la información y nuevas tecnologías, frente a las normas nacionales e internacionales en tres áreas: legal, gestión y técnico.

DRI International

ISO27000.es es el primer colaborador de DRII en España para la difusión de actividades relacionadas con la formación y certificación de profesionales en Continuidad de Negocio en base a los esquemas internacionalmente reconocidos del DRI y del que forman parte más de 8.000 afiliados a nivel mundial.

Eficiencia Gerencial

Web de la empresa peruana Eficiencia Gerencial, dirigida por Alberto G. Alexander.

Gammassl

Gammassl es un miembro activo de BSI (British Standards Institution) y colaborador en sus comités para la seguridad de la información.

Gesconsultor

Ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. GESCONSULTOR es una plataforma gestionada por GESDATOS Software, S.L. y que patrocina el mantenimiento de las actividades y desarrollo de contenidos nuevos y de libre acceso para el portal iso27002.es.

Goldney

Goldney Electronics es un distribuidor líder de componentes electrónicos, especializado en el suministro de componentes obsoletos, descatalogados o de difícil localización.

ISACA

ISACA publica algunos de los artículos traducidos por ISO27000.es a partir de sus originales.

iso27001security.com

Website con información sobre el estándar y normas relacionadas con ISO 27001 en inglés, promovido por Gary Hinson (IsecT). Gestiona el ISO27K Forum. ISO27000.es participa en el foro y ha traducido material útil para la implantación y mantenimiento de un SGSI para su libre difusión en el idioma español

ISECT

Compañía independiente dedicada a la consultoría y soporte de soluciones en relación a los SGSIs.

IsecT News (Noticebored)

Newsletter de IsecT Ltd. en inglés.

Information Security Forum

iso27000.es ha colaborado con CALS (representante para España, Portugal y Latinoamérica del Information Security Forum (ISF)), para dar a conocer el capítulo español y LatAm de la asociación de empresas a nivel mundial con más de 300 socios, más del 50% formando parte del Fortune 500. Con los fondos aportados por los socios, desarrolla proyectos relacionados con seguridad de la información para sus miembros, buscando sinergias.

O-ISM3

ISM cubo es un modelo de madurez de gestión de seguridad de la información promovido por The Open Group, liderado por Vicente Aceituno.

ISMS Forum Spain

ISO27000.ES es socio número 1 y colaborador de ISMS Forum Spain.

Legal-protect

Empresa española dedicada al derecho de las TIC y los SGSI.

Oncoming Way

Web personal de Oncoming Way, autor de la música de introducción y despedida de los podcasts de ISO27000.es.

SIGEA

Empresa española dedicada a la implantación de SGSIs.

Symbiosis Consultores

Prestador de servicios relacionados con seguridad de la información y protección de datos.

Centro Criptológico Nacional de España

Equipo de Respuesta ante Incidentes de Seguridad Informática del CCN (Centro Criptológico Nacional de España).

RedIRIS

CERT público de RedIRIS, red académica y de investigación nacional.

esCERT

Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas de la Universidad Politécnica de Cataluña.

CERT.org

CERT de la Software Engineering Institute (SEI) de la prestigiosa Carnegie Mellon.

NIST

Base de datos de vulnerabilidades mantenida por el National Institute of Standards and Technology de EEUU.

OSVDB

Base de datos de vulnerabilidades de código libre.

Hong Kong Cert

CERT del Hong Kong Productivity Council.

FIRST

Forum for Incident Response and Security Teams. Es el principal foro internacional de coordinación de CERTs.

SANS

Internet Storm Center de SANS.

TF-CSIRT

Centro de coordinación de CSIRTs europeos.

ENISA

Lista de los CERT europeos.

CNPIC

Centro Nacional para la Protección de las Infraestructuras Críticas de España.

CPNI

Centre for the Protection of National Infrastructure del Reino Unido.

Microsoft

Microsoft Windows Defender Security Intelligence.

Las entidades de normalización son las que elaboran y publican normas.

Las entidades de acreditación son las que acreditan, entre otras, a las entidades de certificación (que son las que, a su vez, certifican los sistemas de gestión de las organizaciones).

En general, las actividades de normalización y acreditación son gestionadas a nivel estatal en cada país, mientras que las actividades de certificación se llevan a cabo en el sector privado (algunas entidades de normalización actúan en el mercado también como entidades de certificación).

International Standards Organization

ISO es una red de las entidades de normalización nacionales de 160 países, sobre la base de un miembro por país, con una Secretaría Central en Ginebra (Suiza). Elabora normas internacionales en los más diversos sectores.

AENOR

Asociación Española de Normalización y Certificación. Entidad de normalización de España.

ENAC

Entidad Nacional de Acreditación de España.

IRAM

Instituto Argentino de Normalización y Certificación.

OAA

Organismo Argentino de Acreditación.

IBNORCA

Instituto Boliviano de Normalización y Calidad.

DTA del IBMETRO

Dirección Técnica de Acreditación – DTA del IBMETRO de Bolivia.

INN

Instituto Nacional de Normalización de Chile. También es la entidad nacional de acreditación de Chile.

ICONTEC

Instituto Colombiano de Normas Técnicas y Certificación.

SIC

Superintendencia de Industria y Comercio. Organismo de Acreditación de Colombia.

INTECO

Instituto de Normas Técnicas de Costa Rica.

ECA

Ente Costarricense de Acreditación.

ONN

Oficina Nacional de Normalización de Cuba.

ONARC

Órgano Nacional de Acreditación de la República de Cuba.

INEN

Instituto Ecuatoriano de Normalización.

SAE

Organismo de Acreditación Ecuatoriano.

OSN

Organismo Salvadoreño de Normalización.

OSA

Organismo Salvadoreño de Acreditación.

COGUANOR

Comisión Guatemalteca de Normas.

OGA

Oficina Guatemalteca de Acreditación.

OHN

Organismo Hondureño de Normalización.

OHA

Oficina Hondureña de Acreditación.

DGN

Dirección General de Normas de México.

EMA

Entidad Mexicana de Acreditación.

DGNTI

Dirección Genermici.gob al de Normas y Tecnología Industrial de Panamá.

CNA

Consejo Nacional de Acreditación de Panamá.

INTN

Instituto Nacional de Tecnología y Normalización de Paraguay.

ONA

Organismo Nacional de Acreditación de Paraguay.

INDECOPI

Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual de Perú. Es la entidad tanto de normalización como de acreditación de Perú.

INDOCAL

Dirección General de Normas de la República Dominicana. Normalización y Acreditación.

UNIT

Instituto Uruguayo de Normas Técnicas.

OUA

Organismo Uruguayo de Acreditación.

Fondonorma

Fondo para la Normalización y Certificación de la Calidad de Venezuela.

CEN

Comité Europeo de Normalización. Agrupa a las entidades nacionales de normalización europeas.

NIST

National Institute of Standards and Technology. Entidad de normalización de EEUU.

ANAB

ANSI-ASQ National Accreditation Board. Entidad de acreditación de EEUU.

European Cooperation for Accreditation

Asociación que agrupa a las entidades nacionales de acreditación europeas.

International Accreditation Forum

Asociación mundial de entidades de acreditación y de otros organismos interesados en la evaluación de conformidad en los campos de sistemas de gestión, productos, servicios, personal y otros programas similares de evaluación de conformidad.

Cooperación Interamericana de Acreditación

Asociación de organismos de acreditación de América y de otras organizaciones interesadas en la evaluación de la conformidad.

Comisión Panamericana de Normas Técnicas

COPANT es una asociación de los Organismos Nacionales de Normalización (ONN) de las Américas.

British Standards Institute

Organismo oficial de normalización del Reino Unido. Es el editor, entre otras muchas, de las normas BS 7799, precursoras de la serie ISO 27000.

UK Accreditation Service

Organismo de Acreditación del Reino Unido.

Standards Australia

Standards Australia es el organismo de normalización de Australia.

ETSI

European Telecommunications Standards Institute.

IEEE

Institute of Electrical and Electronics Engineers Standards Association.

IETF

Internet Engineering Task Force.

ITU

International Telecommunications Union.

ITU-T

Telecommunications Standardizations Sector of the ITU.

ISO store

Tienda online de ISO (International Organization for Standardization) donde pueden adquirirse todo tipo de normas. Véase también el enlace de descarga gratuita de normas ISO de tecnologías de la información. Véase también AENOR para compra de normas ISO, así como el resto de entidades de normalización en Hispanoamérica.

ISO Publicly Available Standards

Descarga gratuita de normas ISO relacionadas con las tecnologías de la información. No se encuentra entre ellas ninguna de la serie ISO 27000 -salvo la propia ISO 27000, de visión general-, que son de pago y disponibles en la Tienda Online de ISO.

Build Security In

Web gubernamental de EEUU dirigida a ayudar a los desarrolladores de software a incluir aspectos de seguridad en sus diseños.

Dirección Nacional de Ciberseguridad

Estrategias y mecanismos para la protección de la información y los servicios del Estado Nacional y sus ciudadanos en Argentina.

INCIBE

Instituto Nacional de Ciberseguridad de España.

Bundesamt für Sicherheit in der Informationstechnik

La oficina federal alemana para la seguridad de la información (BSI). Recomendaciones, manuales, guías, estudios y boletines en alemán, con una selección disponible también en inglés. Ofrecen un modelo de certificación propio y un modelo extendido al alcance de ISO 27001. No confundir con British Standards Institution.

UK DTI Informatiob security pages

El Departamento de Comercio e Industria del Reino Unido ayuda a las empresas en la gestión eficaz de la seguridad de la información mediante diversas guías y material de concienciación. Esta web es un archivo de lo que se creó hasta 2007.

CCN

Centro Criptológico Nacional (España).

Organismo de Certificación. CNI

Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI).

FERMA

Federación de Asociaciones Europeas de Gestión del Riesgo.

BCS - The Chartered Institute for IT

Establecida en 1957 como British Computer Society, BCS desarrolla e implanta estándares TI con la innovación de productos y servicios.

SANS

SANS Software Security Institute.

ITU-T

Colaboración de ITU, ENISA y NISSG en una base de datos de estándares de seguridad.

CSEC

Communications Security Establishment de Canadá.

Continuity Central

Portal sobre continuidad de negocio.

AGPD

Agencia Española de Protección de Datos.

Alfa-Redi

Foro latinoamericano de derecho y nuevas tecnologías.

ISMS Forum Spain

Asociación Española para el Fomento de la Seguridad de la Información.

Information Security Forum (ISF)

Asociación de empresas a nivel mundial con más de 300 socios (más de la mitad de ellos dentro del Fortune 500). Con los fondos aportados por los socios, desarrolla proyectos relacionados con seguridad de la información para sus miembros, buscando sinergias. Existe un capítulo español. El representante para España, Portugal y Latinoamérica es la empresa CALS.

International Register of Certificated Auditors

IRCA es uno de los registros internacionales de auditores certificados.

ISACA

Organización centrada en el buen gobierno de las tecnologías de la información, desde la que se comparte información y guías útiles entre sus asociados (auditores, consultores, profesionales de la seguridad, profesores, reguladores, etc.). Tiene capítulos en España y en varios países hispanoamericanos.

The Institute of Internal Auditors

IIA es una asociación profesional internacional con más de 170.000 miembros, con base en EEUU, que cubre todos los campos relacionados con la auditoría interna.

The Institute of Risk Management

Asociación profesional establecida en EEUU orientada a los profesionales y la disciplina de la gestión del riesgo.

Instituto de Auditores Internos de España

El Instituto de Auditores Internos (IAI) es una asociación profesional sin ánimo de lucro cuyo objetivo fundamental es el desarrollo de la auditoría interna y la profesión de auditor interno en España.

International Information Systems Security Certification Consortium

(ISC)2 es una institución que certifica a nivel mundial a profesionales de la seguridad de la información con programas como, por ejemplo, CISSP.

Information Systems Security Association

ISSA es una asociación internacional de profesionales de la seguridad de la información. Tiene capítulos en España y varios países hispanoamericanos.

DRI International

DRI International (Disaster Recovery Institute) es una organización para la formación y certificación de profesionales en continuidad de negocio.

The Business Continuity Institute

Organización dedicada a la gestión de continuidad de negocio.

ASIS

ASIS International (antigua American Society for Industrial Security), asociación de profesionales de la seguridad.

ALAPSI

Asociación Latinoamericana de Profesionales en Seguridad Informática.


Herramientas y utilidades

En este apartado se referencian enlaces a diferentes herramientas y recursos relacionados con sistemas de gestión de seguridad de la información. Cualquier referencia adicional no registrada puede ser igualmente válida y puede ser comunicada para su inclusión en estos listados.

ENISA

Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.

ENISA

Publicaciones relacionadas con la evaluación y gestión del riesgo.

MAGERIT

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, promovida por el Ministerio de Administraciones Públicas de España.

EAR/Pilar

Entorno de análisis de riesgos, herramienta en español, basada en Magerit, no gratuita. Existe una versión Basic para Pymes.

KRiO

Herramienta software GRC, que permite evaluar, analizar, tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales, medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización. En español, de la empresa SIGEA.

ISO 27005

Estándar ISO de la serie 27000 dedicado a la gestión de riesgos de seguridad de la información.

UNE-ISO 31000

Estándar ISO dedicado a la gestión de riesgos, en español.

BS 7799-3:2006

Estándar británico de gestión del riesgo de la seguridad de la información de British Standards Institution.

NIST SP 800-30

"Guide for conducting risk assessments". Publicada por NIST (National Institute of Standards and Technology) de EEUU.

EBIOS

Expression des Besoins et Identification des Objectifs de Sécurité, metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.

Bundesamt für Sicherheit in der Informationstechnik

Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.

MEHARI

Méthode Harmonisée d'Analyse de Risques, método de análisis y gestión del riesgo disponible de forma abierta en Open Source (Inglés y Francés).

OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation, metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versión para pequeñas empresas (menos de 100 empleados).

RiskWatch

Software no gratuito de realización de análisis de riesgos.

IRAM 2

Information Risk Analysis Methodologies es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.

Citicus ONE

Software comercial (disponible en varios idiomas, pero no en español) de gestión de riesgos de seguridad de la información.

FAIR

Introducción a la metodología FAIR (Factor Analysis of Information Risk).

The IRM

Guías y publicaciones sobre gestión del riesgo.

@RISK

@RISK, de Palisade, es un software general de análisis de riesgos basado en la simulación de Monte Carlo. Existe versión en español y tiene coste.

COBRA

Consultative, Objective and Bi-functional Risk Analysis es un software -no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".

SANS - Risk Management

Whitepaper de SANS sobre valoración y gestión de riesgos.

ASIS guidelines

Guía de evaluación de riesgos de seguridad de ASIS.

FOSS

Directrices para la gestión del riesgo por uso de aplicaciones de software libre "Free and Open Source Software".

Risk Management Toolkit for the NSW Public Sector

Guías para la gestión de riesgos de la administración de Nueva Gales del Sur.

NIST Risk Management Framework

Marco adaptable para proporcionar una implementación flexible y basada en el riesgo y que se puede utilizar con una amplia gama de procesos de gestión de riesgos de ciberseguridad como ISO 31000: 2009, ISO/IEC 27005:2011, NIST 800-39 y el Proceso de Gestión de Riesgo (RMP) de Ciberseguridad en el sector eléctrico.

ISO/IEC 27007

Norma ISO de la serie 27000, que establece directrices para la auditoría de un SGSI.

ISO/IEC TR 27008

Norma ISO de la serie 27000, que establece directrices para la auditoría de controles de seguridad de la información.

ISMS auditing guideline

Guía de auditoría de SGSIs del "ISO27k implementers' forum".

ISMS internal audit procedure

Ejemplo de procedimiento de auditoría interna del "ISO27k implementers' forum".

The IIA

Guías de aplicación a los auditores internos (International Professional Practices Framework - IPPF) y guías adicionales de auditoría para procesos y sistemas de información.

The IIA

GTAG 11, guía sobre cómo desarrollar un plan de auditoría TI del Institute of Internal Auditors.

FFIEC IT-Booklets

Guías de auditoría de sistemas de información del Federal Financial Institutions Examination Council de EEUU.

ISACA

Normas, directrices y procedimientos de ISACA para auditores de sistemas de información.

TBS-SCT

Guía de auditoría de seguridad TI del Gobierno de Canadá.

SANS

Checklist de auditoría relacionados con los controles del Anexo A de ISO 27001.

PRAXIOM

Checklist sobre seguridad física y del entorno.

PRAXIOM

Checklist sobre gestión de activos de información.

PRAXIOM

Checklist sobre seguridad relativa a los recursos humanos.

PRAXIOM

Checklist sobre gestión de incidentes de seguridad.

PRAXIOM

Checklist del proceso de revisión del SGSI.

PRISMA

Program Review for Information Security Management Assistance (PRISMA) del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan de seguridad de la información.

Criptored

"Concientización en seguridad de la información", una guía en español publicada por la Universidad de los Andes. [El término "concientización" se usa sobre todo en Hispanoamérica.]

INCIBE

Cursos online gratuitos de seguridad del organismo público español INCIBE.

ENISA

Guía de ENISA para la confección de planes de concienciación en seguridad de la información.

ENISA

Recursos para la concienciación en seguridad en diversos idiomas de la UE.

ENISA

Material de concienciación en seguridad de ENISA.

Notice bored

Conjunto de herramientas y servicios de concienciación. No gratuito.

The security awareness company

Conjunto de herramientas y servicios de concienciación. No gratuito.

US security awareness

Larga lista de enlaces a otras páginas relacionadas con concienciación y seguridad de la información en general.

Educause.edu

Material de concienciación sobre seguridad de la información.

NIST SP 800-50

Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.

NIST SP 800-16

Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU.

Infosecwriters

Aspectos importantes en concienciación en seguridad de la información. Publicado por el NSI (National Security Institute) de EEUU.

Microsoft

Portal de asesoramiento en concienciación gratuitos de Microsoft.

IWAR SA-Tools

Conjunto de documentos de concienciación en seguridad de la información.

IWAR awareness posters

Posters de sensibilización en seguridad de la información.

Notice bored

Material y estrategias para diseñar un plan de sensibilización en seguridad de la información.

Commonwealth Films

Venta de vídeos de concienciación en seguridad de la información en inglés.

Security cartoon

Una viñeta diaria orientada a la concienciación de usuarios en seguridad de la información.

Gartner review

Revisión comparativa de productos software para la concienciación en seguridad.

ISO 22301

Norma ISO certificable que establece los requisitos para un sistema de gestión de continuidad de negocio. Tiene su origen en la norma BS 25999.

ISO/IEC 27031

Norma ISO de la serie 27000 que establece directrices para los aspectos TIC de continuidad de negocio.

ISO/IEC 24762

Directrices para servicios de recuperación de desastres TIC.

The BCI

Guía de buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute". Disponible también en español.

SS 507:2015

Estándar de Singapur sobre recuperación de desastres TIC.

INCIBE

Espacio dedicado a la continuidad del negocio con distintas guías, plantillas y recursos de utilidad.

NIST SP 800-34

Guía para planes de contingencia de sistemas TI del NIST (National Institute of Standards and Technology) de EEUU.

DRII

Prácticas profesionales de continuidad de negocio del Disaster Recovery Institute International.

CNPIC

Centro Nacional para la Protección de Infraestructuras Críticas de España.

TISN

Guías protección de infraestructuras críticas del gobierno australiano.

ASIS

Guía de continuidad de negocio de ASIS (American Society for Industrial Security).

The IIA: GTAG 10

GTAG 10, guía de gestión de continuidad de negocio del Institute of Internal Auditors.

FFIEC

Guía de continuidad de negocio en instituciones financieras del FFIEC de EEUU.

Avalution Consulting

Guía de implantación de ISO 22301 publicada por Avalution Consulting.

IBM Redbooks - part I

IBM System Storage Business Continuity: Part 1 Planning Guide.

IBM Redbooks - part II

IBM System Storage Business Continuity: Part 2 Solutions Guide.

Basel Committee on Banking Supervision

Principios de alto nivel de continuidad de negocio del Basel Committee on Banking Supervision.

Continuity Central

Checklist de continuidad de negocio para pequeñas empresas

INCIBE

Estas guías y estudios tienen como finalidad aportar tanto valor práctico como teórico para fomentar y mejorar la seguridad digital en todos los ámbitos de la sociedad para empresas a nivel gerencial.

ISO/IEC 27000

ISO/IEC 27000 es la norma de visión general y vocabulario sobre sistemas de gestión de seguridad de la información de la serie 27000. Es gratuita.

Guía GOV.UK

Toolkit básico del ministerio de defensa de Reino Unido para ayudar al desarrollo y mantenimiento de una estrategia de continuidad del negocio.

GOV.UK

Publicaciones relacionadas con la continuidad de negocio publicadas por distintos departamentos del Reino Unido.

National Cybersecurity Agency of France (ANSSI)

La agencia nacional francesa para la seguridad de los sistemas de información ofrece diversas publicaciones y noticias sobre aspectos de gestión en francés e inglés.

NIST

Guía de seguridad de la información para gerentes, del NIST (National Institute of Standards and Technology de EEUU).

CERT

Governing for Enterprise Security, iniciativa del CERT de EEUU.

ISACA - Implementation Guideline ISO/IEC 27001:2013

Una guía práctica para implementar un SGSI de acuerdo con la norma internacional ISO/IEC 27001: 2013.

AGGIL

AGGIL es un sistema de información empresarial que mantiene uno o varios sistemas de gestión ISO (27001, 9001, 14001) integrados y que funciona bajo la filosofía del Software como Servicio (SaaS).

ePULPO

ePULPO (Plataforma de Unificación Lógica de los Procesos Organizativos) integra una serie de herramientas Open Source líderes del mercado, para cubrir todo el abanico de necesidades relativas a la gestión de seguridad de la información.

GlobalSuite

GlobalSuite es la herramienta de gestión de la consultora española Audisec. Solución GRC para optimizar sus procesos de riesgos, seguridad, continuidad, privacidad y compliance.

SECITOR R1

Aplicación orientada para la gestión sencilla de un SGSI, a través de módulos.

Proteus

Proteus es un software comercial que cubre todas las fases de implantación de un SGSI.

ISO27K Toolkit

Toolkit gratuito con plantillas y ejemplos para la implantación de ISO 27001 del "ISO27k implementers' forum".

CCN-STIC

Las guías y herramientas del Centro Criptológico Nacional son una referencia útil a la hora de implantar un SGSI y controles de seguridad relacionados.

NSW Information Security Guideline

Guía de implantación de un SGSI con consejos y recomendaciones del gobierno de Nueva Gales del Sur.

IS2ME

Metodología en español de implantación de seguridad de la información en PyMEs.

ISO/TC 176

Documento ISO/TC 176/SC 2/N544R2(r) que expone el enfoque por procesos.

JIP-ISMS114-10E.pdf

Guía de implantación de un SGSI en una organización médica.

Métrica 3

Métrica 3: metodología de planificación, desarrollo y mantenimiento de sistemas de información del Ministerio de Administraciones Públicas español.

NIST SP 800-53

800-53 guía de implantación de controles de seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU.

NIST checklists

NIST Security Configuration Checklists Repository: un conjunto de listas de comprobación relativas a la seguridad en los más diversos sistemas informáticos.

SANS

Este trabajo aborda la implementación de un SGSI - ISO 27001 utilizando la Guía PMBOK publicada por el Proyecto Management Institute, Inc.

NovaSec

Software GRC de la empresa NovaSec S.A.S que permite gestionar el diseño, implementación, operación y mejora de un SGSI.

CCN-STIC

Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.

INCIBE

Guías y manuales de seguridad publicados por el organismo público español INCIBE.

PSSI

La guía PSSI. Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.

UCISA

Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002.

dmoz.org

Conjunto de políticas de seguridad variadas. Desde 17 de Marzo la iniciativa está cerrada manteniendo un espejo con el contenido publicado hasta esa fecha.

Infosecwriters

Creación de políticas de seguridad para Pymes.

SANS Reading Room

Conjunto de recursos del SANS Institute.

NIST SP 800

Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.

BITS

Documentos publicados por BITS, división tecnológica de The Financial Services Roundtable, una asociación de empresas del sector financiero de EEUU.

Notice bored

Plantillas de seguridad de la información basado en ISO 27002. No son todas gratuitas.

Senado

Normativa de uso de sistemas de información del Senado español.

ISO/IEC 27004

ISO/IEC 27004 es la norma de la serie 27000 dedicada a métricas de gestión de seguridad de la información.

CCN-STIC-815

La norma CCN-STIC-815 está dedicada a métricas e indicadores en el Esquema Nacional de Seguridad español.

NIST SP 800-55

NIST SP 800-55: Performance Measurement Guide for Information Security.

Pragmatic security metrics

Libro en inglés dedicado a métricas de seguridad.

EDUCAUSE security metrics

Enlaces a distintos recursos relacionados con métricas de seguridad.

Measuring security tutorial

Presentación en inglés sobre cómo medir la seguridad.

Security-Awareness-Benchmarking-and-Metrics.pdf

Recomendaciones relacionadas con métricas sobre concienciación en seguridad.

ISO

Normas ISO de descarga gratuita relativas a tecnologías de la información.

ISO Store

Tienda online de ISO para la compra de normas.

AENOR - Publicaciones

Compra de normas UNE/ISO en España.

BSI Shop

Compra de normas de la "British Standards Institution".

Praxiom

Resumen y explicación en inglés de los requisitos de ISO 27001:2013.

Mapping Guide. BSI

Mapeo de requisitos entre ISO 27001:2005 e ISO 27001:2013, por BSI.

O-ISM3

Open Information Security Management Maturity Model (O-ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el español Vicente Aceituno.

IT-Grundschutz Catalogues

"IT-Grundschutz Catalogues": Manual en inglés, de más de 4.200 páginas, sobre gestión de seguridad de la información editado por el " Bundesamt für Sicherheit in der Informationstechnik" de Alemania.

Bundesamt für Sicherheit in der Informationstechnik - Standards

Diversos estándares y metodologías de gestión de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas.

Australian Signals Directorate - Information Security Manual

Manual de seguridad de la información en inglés del gobierno australiano.

ISF Standard of Good Practice for Information Security

Estándar de seguridad de la información del "Information Security Forum" con herramientas de apoyo adicional.

ISACA - Cobit

CobiT Control Objectives for Information and related Technology. Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido español.

ISECOM

OSSTMM (Open Source Security Testing Methodology Manual). También en español.

CORDIS EU

ITSEC (Information Technology Security Evaluation Criteria; 1991) e ITSEM (Information Technology Security Evaluation Manual; 1993 ). Editados por la Comisión Europea. Como referencia histórica, puesto que son ya muy antiguos.

TISN

Guías de seguridad del Trusted Information Sharing Network de Australia.

The IIA - Standards and Guidance

Estándares y guías del Institute of Internal Auditors.

Publicaciones NIST

Acceso a todas las guías publicadas por NIST (National Institute of Standards and Technology de EEUU).

FAS

Directiva de EEUU sobre seguridad física de edificios e instalaciones.

ENISA CSIRT

Guía en español de creación de un equipo de respuesta a incidentes de seguridad informática.

SANS

Diversas propuestas de proceso de gestión de incidentes de seguridad para distintos entornos.

SABSA

Metodología de desarrollo de arquitecturas de seguridad corporativas.

© 2005 Aviso Legal - Términos de uso información iso27000.es