Descarga el resumen en una sola página de los 114 controles relacionados de la versión ISO/IEC 27002:2013.
Modelo de declaración de aplicabilidad (SoA) en 5 idiomas distintos
Lista de verificación de estado de cada control y posibles carencias
Mapeo de los requisitos de seguridad en operadores de servicios esenciales con controles de ISO 27001,ANSI ISA/IEC 62443 y NIST Framework
Proporcionar orientación y apoyo según los requisitos
del negocio, las leyes y normas pertinentes
Marco de gestión para la implementación y operación de la seguridad de la
información en la organización
Asegurar que empleados y contratistas conozcan y cumplan sus responsabilidades
Identificar los activos de la organización y soportes, definiendo responsabilidades y clasificación adecuadas
Limitar el acceso a los recursos de tratamiento de información y a la información al personal autorizado
Garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o
integridad de la información
Prevenir el acceso físico relacionado con el compromiso de los activos y la interrupción de las operaciones
Asegurar las actividades para el funcionamiento correcto y seguro de los sistemas de tratamiento de la información
Asegurar la protección de la información en las redes y los recursos internos y externos
Integrar la seguridad por defecto y a través de todo el ciclo de vida de los sistemas
Asegurar la protección de los activos de la organización que sean accesibles a los proveedores
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información
Asegurar la disponibilidad de los recursos de tratamiento de la información para la continuidad operativa
Evitar incumplimientos de las obligaciones legales, estatutarias, reglamentarias o contractuales
Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.
Publicaciones relacionadas con la evaluación y gestión del riesgo.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, promovida por el Ministerio de Administraciones Públicas de España.
Entorno de análisis de riesgos, herramienta en español, basada en Magerit, no gratuita. Existe una versión Basic para Pymes.
Herramienta software GRC, que permite evaluar, analizar, tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales, medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización. En español, de la empresa SIGEA.
Estándar ISO de la serie 27000 dedicado a la gestión de riesgos de seguridad de la información.
Estándar ISO dedicado a la gestión de riesgos, en español.
Estándar británico de gestión del riesgo de la seguridad de la información de British Standards Institution.
"Guide for conducting risk assessments". Publicada por NIST (National Institute of Standards and Technology) de EEUU.
Expression des Besoins et Identification des Objectifs de Sécurité, metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.
Bundesamt für Sicherheit in der Informationstechnik
Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.
Méthode Harmonisée d'Analyse de Risques, método de análisis y gestión del riesgo disponible de forma abierta en Open Source (Inglés y Francés).
Operationally Critical Threat, Asset, and Vulnerability Evaluation, metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versión para pequeñas empresas (menos de 100 empleados).
Software no gratuito de realización de análisis de riesgos.
Information Risk Analysis Methodologies es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.
Software comercial (disponible en varios idiomas, pero no en español) de gestión de riesgos de seguridad de la información.
Introducción a la metodología FAIR (Factor Analysis of Information Risk).
Guías y publicaciones sobre gestión del riesgo.
@RISK, de Palisade, es un software general de análisis de riesgos basado en la simulación de Monte Carlo. Existe versión en español y tiene coste.
Consultative, Objective and Bi-functional Risk Analysis es un software -no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".
Whitepaper de SANS sobre valoración y gestión de riesgos.
Guía de evaluación de riesgos de seguridad de ASIS.
Directrices para la gestión del riesgo por uso de aplicaciones de software libre "Free and Open Source Software".
Risk Management Toolkit for the NSW Public Sector
Guías para la gestión de riesgos de la administración de Nueva Gales del Sur.
NIST Risk Management Framework
Marco adaptable para proporcionar una implementación flexible y basada en el riesgo y que se puede utilizar con una amplia gama de procesos de gestión de riesgos de ciberseguridad como ISO 31000: 2009, ISO/IEC 27005:2011, NIST 800-39 y el Proceso de Gestión de Riesgo (RMP) de Ciberseguridad en el sector eléctrico.
SCF - Secure Controls Framework
El SCF tiene el ambicioso objetivo de proporcionar una guía abierta de control de privacidad y seguridad cibernética para cubrir las necesidades estratégicas, operativas y tácticas de las organizaciones, independientemente de su tamaño, industria o país de origen. El SCF está compuesto por treinta y dos (32) dominios que cubren los temas de alto nivel que se espera sean abordados por las obligaciones legales, reglamentarias y contractuales relacionadas con la seguridad cibernética y la privacidad.
Norma ISO de la serie 27000, que establece directrices para la auditoría de un SGSI.
Norma ISO de la serie 27000, que establece directrices para la auditoría de controles de seguridad de la información.
Guía de auditoría de SGSIs del "ISO27k implementers' forum".
Ejemplo de procedimiento de auditoría interna del "ISO27k implementers' forum".
Guías de aplicación a los auditores internos (International Professional Practices Framework - IPPF) y guías adicionales de auditoría para procesos y sistemas de información.
GTAG 11, guía sobre cómo desarrollar un plan de auditoría TI del Institute of Internal Auditors.
Guías de auditoría de sistemas de información del Federal Financial Institutions Examination Council de EEUU.
Normas, directrices y procedimientos de ISACA para auditores de sistemas de información.
Guía de auditoría de seguridad TI del Gobierno de Canadá.
Checklist de auditoría relacionados con los controles del Anexo A de ISO 27001.
Checklist sobre seguridad física y del entorno.
Checklist sobre gestión de activos de información.
Checklist sobre seguridad relativa a los recursos humanos.
Checklist sobre gestión de incidentes de seguridad.
Checklist del proceso de revisión del SGSI.
Program Review for Information Security Management Assistance (PRISMA) del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan de seguridad de la información.
"Concientización en seguridad de la información", una guía en español publicada por la Universidad de los Andes. [El término "concientización" se usa sobre todo en Hispanoamérica.]
Cursos online gratuitos de seguridad del organismo público español INCIBE.
Guía de ENISA para la confección de planes de concienciación en seguridad de la información.
Recursos para la concienciación en seguridad en diversos idiomas de la UE.
Material de concienciación en seguridad de ENISA.
Conjunto de herramientas y servicios de concienciación. No gratuito.
The security awareness company
Conjunto de herramientas y servicios de concienciación. No gratuito.
Larga lista de enlaces a otras páginas relacionadas con concienciación y seguridad de la información en general.
Material de concienciación sobre seguridad de la información.
Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.
Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU.
Aspectos importantes en concienciación en seguridad de la información. Publicado por el NSI (National Security Institute) de EEUU.
Portal de asesoramiento en concienciación gratuitos de Microsoft.
Conjunto de documentos de concienciación en seguridad de la información.
Posters de sensibilización en seguridad de la información.
Material y estrategias para diseñar un plan de sensibilización en seguridad de la información.
Venta de vídeos de concienciación en seguridad de la información en inglés.
Una viñeta diaria orientada a la concienciación de usuarios en seguridad de la información.
Revisión comparativa de productos software para la concienciación en seguridad.
Norma ISO certificable que establece los requisitos para un sistema de gestión de continuidad de negocio. Tiene su origen en la norma BS 25999.
Norma ISO de la serie 27000 que establece directrices para los aspectos TIC de continuidad de negocio.
Directrices para servicios de recuperación de desastres TIC.
Guía de buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute". Disponible también en español.
Estándar de Singapur sobre recuperación de desastres TIC.
Espacio dedicado a la continuidad del negocio con distintas guías, plantillas y recursos de utilidad.
Guía para planes de contingencia de sistemas TI del NIST (National Institute of Standards and Technology) de EEUU.
Prácticas profesionales de continuidad de negocio del Disaster Recovery Institute International.
Centro Nacional para la Protección de Infraestructuras Críticas de España.
Guías protección de infraestructuras críticas del gobierno australiano.
Guía de continuidad de negocio de ASIS (American Society for Industrial Security).
GTAG 10, guía de gestión de continuidad de negocio del Institute of Internal Auditors.
Guía de continuidad de negocio en instituciones financieras del FFIEC de EEUU.
Guía de implantación de ISO 22301 publicada por Avalution Consulting.
IBM System Storage Business Continuity: Part 1 Planning Guide.
IBM System Storage Business Continuity: Part 2 Solutions Guide.
Basel Committee on Banking Supervision
Principios de alto nivel de continuidad de negocio del Basel Committee on Banking Supervision.
Checklist de continuidad de negocio para pequeñas empresas
Estas guías y estudios tienen como finalidad aportar tanto valor práctico como teórico para fomentar y mejorar la seguridad digital en todos los ámbitos de la sociedad para empresas a nivel gerencial.
ISO/IEC 27000 es la norma de visión general y vocabulario sobre sistemas de gestión de seguridad de la información de la serie 27000. Es gratuita.
Toolkit básico del ministerio de defensa de Reino Unido para ayudar al desarrollo y mantenimiento de una estrategia de continuidad del negocio.
Publicaciones relacionadas con la continuidad de negocio publicadas por distintos departamentos del Reino Unido.
National Cybersecurity Agency of France (ANSSI)
La agencia nacional francesa para la seguridad de los sistemas de información ofrece diversas publicaciones y noticias sobre aspectos de gestión en francés e inglés.
Guía de seguridad de la información para gerentes, del NIST (National Institute of Standards and Technology de EEUU).
Governing for Enterprise Security, iniciativa del CERT de EEUU.
ISACA - Implementation Guideline ISO/IEC 27001:2013
Una guía práctica para implementar un SGSI de acuerdo con la norma internacional ISO/IEC 27001: 2013.
AGGIL es un sistema de información empresarial que mantiene uno o varios sistemas de gestión ISO (27001, 9001, 14001) integrados y que funciona bajo la filosofía del Software como Servicio (SaaS).
ePULPO (Plataforma de Unificación Lógica de los Procesos Organizativos) integra una serie de herramientas Open Source líderes del mercado, para cubrir todo el abanico de necesidades relativas a la gestión de seguridad de la información.
GlobalSuite es la herramienta de gestión de la consultora española Audisec. Solución GRC para optimizar sus procesos de riesgos, seguridad, continuidad, privacidad y compliance.
Aplicación orientada para la gestión sencilla de un SGSI, a través de módulos.
Proteus es un software comercial que cubre todas las fases de implantación de un SGSI.
Toolkit gratuito con plantillas y ejemplos para la implantación de ISO 27001 del "ISO27k implementers' forum".
Las guías y herramientas del Centro Criptológico Nacional son una referencia útil a la hora de implantar un SGSI y controles de seguridad relacionados.
NSW Information Security Guideline
Guía de implantación de un SGSI con consejos y recomendaciones del gobierno de Nueva Gales del Sur.
Metodología en español de implantación de seguridad de la información en PyMEs.
Documento ISO/TC 176/SC 2/N544R2(r) que expone el enfoque por procesos.
Guía de implantación de un SGSI en una organización médica.
Métrica 3: metodología de planificación, desarrollo y mantenimiento de sistemas de información del Ministerio de Administraciones Públicas español.
800-53 guía de implantación de controles de seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU.
NIST Security Configuration Checklists Repository: un conjunto de listas de comprobación relativas a la seguridad en los más diversos sistemas informáticos.
Este trabajo aborda la implementación de un SGSI - ISO 27001 utilizando la Guía PMBOK publicada por el Proyecto Management Institute, Inc.
Software GRC de la empresa NovaSec S.A.S que permite gestionar el diseño, implementación, operación y mejora de un SGSI.
Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.
Guías y manuales de seguridad publicados por el organismo público español INCIBE.
La guía PSSI. Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.
Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002.
Conjunto de políticas de seguridad variadas. Desde 17 de Marzo la iniciativa está cerrada manteniendo un espejo con el contenido publicado hasta esa fecha.
Creación de políticas de seguridad para Pymes.
Conjunto de recursos del SANS Institute.
Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.
Documentos publicados por BITS, división tecnológica de The Financial Services Roundtable, una asociación de empresas del sector financiero de EEUU.
Plantillas de seguridad de la información basado en ISO 27002. No son todas gratuitas.
Normativa de uso de sistemas de información del Senado español.
ISO/IEC 27004 es la norma de la serie 27000 dedicada a métricas de gestión de seguridad de la información.
La norma CCN-STIC-815 está dedicada a métricas e indicadores en el Esquema Nacional de Seguridad español.
NIST SP 800-55: Performance Measurement Guide for Information Security.
Libro en inglés dedicado a métricas de seguridad.
Enlaces a distintos recursos relacionados con métricas de seguridad.
Presentación en inglés sobre cómo medir la seguridad.
Security-Awareness-Benchmarking-and-Metrics.pdf
Recomendaciones relacionadas con métricas sobre concienciación en seguridad.
Normas ISO de descarga gratuita relativas a tecnologías de la información.
Tienda online de ISO para la compra de normas.
Compra de normas UNE/ISO en España.
Compra de normas de la "British Standards Institution".
Resumen y explicación en inglés de los requisitos de ISO 27001:2013.
Mapeo de requisitos entre ISO 27001:2005 e ISO 27001:2013, por BSI.
Open Information Security Management Maturity Model (O-ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el español Vicente Aceituno.
"IT-Grundschutz Catalogues": Manual en inglés, de más de 4.200 páginas, sobre gestión de seguridad de la información editado por el " Bundesamt für Sicherheit in der Informationstechnik" de Alemania.
Bundesamt für Sicherheit in der Informationstechnik - Standards
Diversos estándares y metodologías de gestión de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas.
Australian Signals Directorate - Information Security Manual
Manual de seguridad de la información en inglés del gobierno australiano.
ISF Standard of Good Practice for Information Security
Estándar de seguridad de la información del "Information Security Forum" con herramientas de apoyo adicional.
CobiT Control Objectives for Information and related Technology. Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido español.
OSSTMM (Open Source Security Testing Methodology Manual). También en español.
ITSEC (Information Technology Security Evaluation Criteria; 1991) e ITSEM (Information Technology Security Evaluation Manual; 1993 ). Editados por la Comisión Europea. Como referencia histórica, puesto que son ya muy antiguos.
Guías de seguridad del Trusted Information Sharing Network de Australia.
The IIA - Standards and Guidance
Estándares y guías del Institute of Internal Auditors.
Acceso a todas las guías publicadas por NIST (National Institute of Standards and Technology de EEUU).
Directiva de EEUU sobre seguridad física de edificios e instalaciones.
Guía en español de creación de un equipo de respuesta a incidentes de seguridad informática.
Diversas propuestas de proceso de gestión de incidentes de seguridad para distintos entornos.
Metodología de desarrollo de arquitecturas de seguridad corporativas.
En este apartado se referencian enlaces a diferentes herramientas y recursos relacionados con sistemas de gestión de seguridad de la información. Cualquier referencia adicional no registrada puede ser igualmente válida y puede ser comunicada para su inclusión en estos listados.
En este apartado se incluyen referencias a otras páginas web relacionadas con los sistemas de gestión de seguridad de la información o con diferentes aspectos tratados en nuestra web.
www.alancalderitgovernanceblog.com
Alan Calder. IT Governance, information security and ISO 27001.
Andrew Jaquith. Security Metrics.
Antonio Valle. Gobierno de las TIC.
Bruce Schneier. Schneier on Security.
Cristian Borghello. Segu Info News.
Dancho Danchev. Mind Streams of Information Security Knowledge.
David Pérez, José Pico, Mónica Salas, Raúl Siles. Security in depth.
Enrique G. Dutra. Seguridad Informática.
Gary Hinson. Information security news and hot links.
seguridad-de-la-informacion.blogspot.com
Javier Cao. Apuntes de seguridad de la información.
Javier Cao. ISO 27001 - Sistemas de Gestión de Seguridad de la Información.
Joseba Enjuto. Seguridad y Gestión.
Julián Inza. Todo es electrónico.
www.ranum.com/security/computer_security/index.html
Marcus Ranum. Computer Security.
sociedaddelainformacion.wordpress.com/
Martín Pérez. Sociedad de la Información.
Paloma Llaneza. Mucho más que derecho de las TIC.
Samuel Linares. InfoSecMan
Sergio Hernando. Seguridad de la Información y Auditoría de Sistemas.
Xavier Ribas. Aspectos jurídicos de las tecnologías de la información.
seguridad-informacion.blogspot.com
CRYPTEX - Seguridad de la Información
Empleo para Europa y resto del mundo en el área de auditoría.
Motor de búsqueda de empleo en España.
Motor de búsqueda que permite encontrar ofertas publicadas en miles de páginas de empresas y bolsas de empleo.
Portal de empleo generalista en España.
Portal de empleo español.
Portal de empleo para buscar trabajo y para toda empresa que quiere publicar ofertas de empleo y contratar personal.
Buscador de ofertas de empleo publicadas en otros portales y agencias de empleo.
Portal de empleo para España.
Buscador de ofertas de empleo en diversos países de todo el mundo.
Monster España forma parte de Monster, compañía líder mundial en reclutamiento y búsqueda de empleo en Internet.
Neuvoo ayuda a las personas que buscan trabajo a través de la plataforma y permite realizar búsquedas avanzadas de manera muy simple (filtrar por ubicación, puestos y requisitos por ejemplo). Dispone de ofertas ne distintos países.
Motor de búsqueda de empleos a nivel internacional, tanto en empresas como en webs de empleo.
Buscador de ofertas de empleo publicadas en otros portales y agencias de empleo.
Recurso gratuito diseñado para ayudar en la búsqueda de empleo. Aplicación #1 más descargada en Estados Unidos.
Entidades, entre otras, que ofrecen certificación a nivel internacional de Auditor Jefe ISO 27001.
CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of Enterprise IT) y CRISC (Certified in Risk and Information Systems Control).
CISSP (Certified Information Systems Security Professional), SSCP (Systems Security Certified Practitioner), CAP (Certified Authorization Professional), CCFPSM (Certified Cyber Forensics Professional), CSSLP (Certified Secure Software Lifecycle Professional) y HCISPP (HealthCare Information Security and Privacy Practitioner).
Global Information Assurance Certification (GIAC) mantiene un esquema con una larga lista de certificaciones personales relacionadas con la seguridad: GSEC (Security Essentials), GCIH (Certified Incident Handler), GCIA (Certified Intrusion Analyst), GPEN (Penetration Tester), GCFW (Certified Firewall Analyst), GWAPT (Web Application Penetration Tester), GCWN (Certified Windows Security Administrator), GAWN (Assessing and Auditing Wireless Networks), GCUX (Certified UNIX Security Administrator), GISF (Information Security Fundamentals), GCED (Certified Enterprise Defender), GXPN (Exploit Researcher and Advanced Penetration Tester), GCFA (Certified Forensic Analyst), GREM (Reverse Engineering Malware), GCFE (Certified Forensic Examiner), GSLC (Security Leadership), GISP (Information Security Professional), G2700 (Certified ISO-27000 Specialist), GCPM (Certified Project Manager), GSNA (Systems and Network Auditor), GSSP-JAVA (Secure Software Programmer-Java), GWEB (Certified Web Application Defender), GSSP-.NET (Secure Software Programmer .NET) y GLEG (Legal Issues in Information Technology and Security).
DCProfessional Development - Datacenter Dynamics
Data Center Specialist, Certificate in Foundations of Mission Critical Infrastructure.
Certified Data Privacy Professional (CDPP).
CCSK (Certificate of Cloud Security Knowledge).
CASP (Advanced Security Practitioner), SMSP (Social Media Security Professional), Comptia Security+.
DRII - Disaster Recovery Institute International
CFCP (Certified Functional Continuity Professional), CBCA/CBCLA (Certified Business Continuity Auditor), ABCP (Associate Business Continuity Professional), CBCP (Certified Business Continuity Professional), MBCP (Master Business Continuity Professional), CPSCP (Certified Public Sector Continuity Professional), CHPCP (Certified Healthcare Provider Continuity Professional).
CBCI (Certified by the Business Continuity Institute).
CEH (Certified Ethical Hacker), CHFI (Computer Hacking Forensic Investigator), CNDA (Certified Network Defense Architect), ECSA (EC-Council Certified Security Analyst), ECSS (EC-Council Certified Security Specialist), LPT (Licensed Penetration Tester), MSS (Master of Security Science), CEI (Certified EC-Council Instructor), ENSA (EC-Council Network Security Administrator), ECSP (EC-Council Certified Secure Programmer), CSAD (Certified Secure Application Developer), ECVP (EC-Council Certified Voice over IP Professional), CEP (Certified e-Business Professional).
OPST (Professional Security Tester), OPSA (Professional Security Analyst), OWSE (Wireless Security Expert), CTA (Certifed Trust Analyst), OPSE (Professional Security Expert), SAI (Security Awareness Instructor).
CSFA (CyberSecurity Forensic Analyst).
Distintos fabricantes ofrecen certificaciones específicas de sus productos, con relación con la seguridad, como por ejemplo, CCNA (Cisco Certified Network Associate), RHCE (Red Hat Certified Engineer), MCSE (Microsoft Certified Solutions Engineer) o CCSA (Checkpoint Firewall Certified Security Administrator).
Algunos sitios que referencian a ISO27000.es o con los que se mantiene algún tipo de relación a nivel de difusión.
Áudea Seguridad de la Información: Consultora tecnológica que presta servicios profesionales relacionados con la gestión de la seguridad de la información y nuevas tecnologías, frente a las normas nacionales e internacionales en tres áreas: legal, gestión y técnico.
ISO27000.es es el primer colaborador de DRII en España para la difusión de actividades relacionadas con la formación y certificación de profesionales en Continuidad de Negocio en base a los esquemas internacionalmente reconocidos del DRI y del que forman parte más de 8.000 afiliados a nivel mundial.
Web de la empresa peruana Eficiencia Gerencial, dirigida por Alberto G. Alexander.
Gammassl es un miembro activo de BSI (British Standards Institution) y colaborador en sus comités para la seguridad de la información.
Ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. GESCONSULTOR es una plataforma gestionada por GESDATOS Software, S.L. y que patrocina el mantenimiento de las actividades y desarrollo de contenidos nuevos y de libre acceso para el portal iso27002.es.
Goldney Electronics es un distribuidor líder de componentes electrónicos, especializado en el suministro de componentes obsoletos, descatalogados o de difícil localización.
ISACA publica algunos de los artículos traducidos por ISO27000.es a partir de sus originales.
Website con información sobre el estándar y normas relacionadas con ISO 27001 en inglés, promovido por Gary Hinson (IsecT). Gestiona el ISO27K Forum. ISO27000.es participa en el foro y ha traducido material útil para la implantación y mantenimiento de un SGSI para su libre difusión en el idioma español
Compañía independiente dedicada a la consultoría y soporte de soluciones en relación a los SGSIs.
Newsletter de IsecT Ltd. en inglés.
iso27000.es ha colaborado con CALS (representante para España, Portugal y Latinoamérica del Information Security Forum (ISF)), para dar a conocer el capítulo español y LatAm de la asociación de empresas a nivel mundial con más de 300 socios, más del 50% formando parte del Fortune 500. Con los fondos aportados por los socios, desarrolla proyectos relacionados con seguridad de la información para sus miembros, buscando sinergias.
ISM cubo es un modelo de madurez de gestión de seguridad de la información promovido por The Open Group, liderado por Vicente Aceituno.
ISO27000.ES es socio número 1 y colaborador de ISMS Forum Spain.
Empresa española dedicada al derecho de las TIC y los SGSI.
Web personal de Oncoming Way, autor de la música de introducción y despedida de los podcasts de ISO27000.es.
Empresa española dedicada a la implantación de SGSIs.
Prestador de servicios relacionados con seguridad de la información y protección de datos.
Centro Criptológico Nacional de España
Equipo de Respuesta ante Incidentes de Seguridad Informática del CCN (Centro Criptológico Nacional de España).
CERT público de RedIRIS, red académica y de investigación nacional.
Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas de la Universidad Politécnica de Cataluña.
CERT de la Software Engineering Institute (SEI) de la prestigiosa Carnegie Mellon.
Base de datos de vulnerabilidades mantenida por el National Institute of Standards and Technology de EEUU.
Base de datos de vulnerabilidades de código libre.
CERT del Hong Kong Productivity Council.
Forum for Incident Response and Security Teams. Es el principal foro internacional de coordinación de CERTs.
Internet Storm Center de SANS.
Centro de coordinación de CSIRTs europeos.
Lista de los CERT europeos.
Centro Nacional para la Protección de las Infraestructuras Críticas de España.
Centre for the Protection of National Infrastructure del Reino Unido.
Microsoft Windows Defender Security Intelligence.
Las entidades de normalización son las que elaboran y publican normas.
Las entidades de acreditación son las que acreditan, entre otras, a las entidades de certificación (que son las que, a su vez, certifican los sistemas de gestión de las organizaciones).
En general, las actividades de normalización y acreditación son gestionadas a nivel estatal en cada país, mientras que las actividades de certificación se llevan a cabo en el sector privado (algunas entidades de normalización actúan en el mercado también como entidades de certificación).
International Standards Organization
ISO es una red de las entidades de normalización nacionales de 160 países, sobre la base de un miembro por país, con una Secretaría Central en Ginebra (Suiza). Elabora normas internacionales en los más diversos sectores.
Asociación Española de Normalización y Certificación. Entidad de normalización de España.
Entidad Nacional de Acreditación de España.
Instituto Argentino de Normalización y Certificación.
Organismo Argentino de Acreditación.
Instituto Boliviano de Normalización y Calidad.
Dirección Técnica de Acreditación – DTA del IBMETRO de Bolivia.
Instituto Nacional de Normalización de Chile. También es la entidad nacional de acreditación de Chile.
Instituto Colombiano de Normas Técnicas y Certificación.
Superintendencia de Industria y Comercio. Organismo de Acreditación de Colombia.
Instituto de Normas Técnicas de Costa Rica.
Ente Costarricense de Acreditación.
Oficina Nacional de Normalización de Cuba.
Órgano Nacional de Acreditación de la República de Cuba.
Instituto Ecuatoriano de Normalización.
Organismo de Acreditación Ecuatoriano.
Organismo Salvadoreño de Normalización.
Organismo Salvadoreño de Acreditación.
Comisión Guatemalteca de Normas.
Oficina Guatemalteca de Acreditación.
Organismo Hondureño de Normalización.
Oficina Hondureña de Acreditación.
Dirección General de Normas de México.
Entidad Mexicana de Acreditación.
Dirección Genermici.gob al de Normas y Tecnología Industrial de Panamá.
Consejo Nacional de Acreditación de Panamá.
Instituto Nacional de Tecnología y Normalización de Paraguay.
Organismo Nacional de Acreditación de Paraguay.
Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual de Perú. Es la entidad tanto de normalización como de acreditación de Perú.
Dirección General de Normas de la República Dominicana. Normalización y Acreditación.
Instituto Uruguayo de Normas Técnicas.
Organismo Uruguayo de Acreditación.
Fondo para la Normalización y Certificación de la Calidad de Venezuela.
Comité Europeo de Normalización. Agrupa a las entidades nacionales de normalización europeas.
National Institute of Standards and Technology. Entidad de normalización de EEUU.
ANSI-ASQ National Accreditation Board. Entidad de acreditación de EEUU.
European Cooperation for Accreditation
Asociación que agrupa a las entidades nacionales de acreditación europeas.
International Accreditation Forum
Asociación mundial de entidades de acreditación y de otros organismos interesados en la evaluación de conformidad en los campos de sistemas de gestión, productos, servicios, personal y otros programas similares de evaluación de conformidad.
Cooperación Interamericana de Acreditación
Asociación de organismos de acreditación de América y de otras organizaciones interesadas en la evaluación de la conformidad.
Comisión Panamericana de Normas Técnicas
COPANT es una asociación de los Organismos Nacionales de Normalización (ONN) de las Américas.
Organismo oficial de normalización del Reino Unido. Es el editor, entre otras muchas, de las normas BS 7799, precursoras de la serie ISO 27000.
Organismo de Acreditación del Reino Unido.
Standards Australia es el organismo de normalización de Australia.
European Telecommunications Standards Institute.
Institute of Electrical and Electronics Engineers Standards Association.
Internet Engineering Task Force.
International Telecommunications Union.
Telecommunications Standardizations Sector of the ITU.
Tienda online de ISO (International Organization for Standardization) donde pueden adquirirse todo tipo de normas. Véase también el enlace de descarga gratuita de normas ISO de tecnologías de la información. Véase también AENOR para compra de normas ISO, así como el resto de entidades de normalización en Hispanoamérica.
ISO Publicly Available Standards
Descarga gratuita de normas ISO relacionadas con las tecnologías de la información. No se encuentra entre ellas ninguna de la serie ISO 27000 -salvo la propia ISO 27000, de visión general-, que son de pago y disponibles en la Tienda Online de ISO.
Web gubernamental de EEUU dirigida a ayudar a los desarrolladores de software a incluir aspectos de seguridad en sus diseños.
Dirección Nacional de Ciberseguridad
Estrategias y mecanismos para la protección de la información y los servicios del Estado Nacional y sus ciudadanos en Argentina.
Instituto Nacional de Ciberseguridad de España.
Bundesamt für Sicherheit in der Informationstechnik
La oficina federal alemana para la seguridad de la información (BSI). Recomendaciones, manuales, guías, estudios y boletines en alemán, con una selección disponible también en inglés. Ofrecen un modelo de certificación propio y un modelo extendido al alcance de ISO 27001. No confundir con British Standards Institution.
UK DTI Informatiob security pages
El Departamento de Comercio e Industria del Reino Unido ayuda a las empresas en la gestión eficaz de la seguridad de la información mediante diversas guías y material de concienciación. Esta web es un archivo de lo que se creó hasta 2007.
Centro Criptológico Nacional (España).
Organismo de Certificación. CNI
Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI).
Federación de Asociaciones Europeas de Gestión del Riesgo.
BCS - The Chartered Institute for IT
Establecida en 1957 como British Computer Society, BCS desarrolla e implanta estándares TI con la innovación de productos y servicios.
SANS Software Security Institute.
Colaboración de ITU, ENISA y NISSG en una base de datos de estándares de seguridad.
Communications Security Establishment de Canadá.
Portal sobre continuidad de negocio.
Agencia Española de Protección de Datos.
Foro latinoamericano de derecho y nuevas tecnologías.
Asociación Española para el Fomento de la Seguridad de la Información.
Information Security Forum (ISF)
Asociación de empresas a nivel mundial con más de 300 socios (más de la mitad de ellos dentro del Fortune 500). Con los fondos aportados por los socios, desarrolla proyectos relacionados con seguridad de la información para sus miembros, buscando sinergias. Existe un capítulo español. El representante para España, Portugal y Latinoamérica es la empresa CALS.
International Register of Certificated Auditors
IRCA es uno de los registros internacionales de auditores certificados.
Organización centrada en el buen gobierno de las tecnologías de la información, desde la que se comparte información y guías útiles entre sus asociados (auditores, consultores, profesionales de la seguridad, profesores, reguladores, etc.). Tiene capítulos en España y en varios países hispanoamericanos.
The Institute of Internal Auditors
IIA es una asociación profesional internacional con más de 170.000 miembros, con base en EEUU, que cubre todos los campos relacionados con la auditoría interna.
The Institute of Risk Management
Asociación profesional establecida en EEUU orientada a los profesionales y la disciplina de la gestión del riesgo.
Instituto de Auditores Internos de España
El Instituto de Auditores Internos (IAI) es una asociación profesional sin ánimo de lucro cuyo objetivo fundamental es el desarrollo de la auditoría interna y la profesión de auditor interno en España.
International Information Systems Security Certification Consortium
(ISC)2 es una institución que certifica a nivel mundial a profesionales de la seguridad de la información con programas como, por ejemplo, CISSP.
Information Systems Security Association
ISSA es una asociación internacional de profesionales de la seguridad de la información. Tiene capítulos en España y varios países hispanoamericanos.
DRI International (Disaster Recovery Institute) es una organización para la formación y certificación de profesionales en continuidad de negocio.
The Business Continuity Institute
Organización dedicada a la gestión de continuidad de negocio.
ASIS International (antigua American Society for Industrial Security), asociación de profesionales de la seguridad.
Asociación Latinoamericana de Profesionales en Seguridad Informática.