Información y recursos para la implantación de Sistemas de Gestión de Seguridad de la Información certificables en ISO 27001. Abónese a las Noticias vía RSS.

Noticias a pantalla completa y texto regulable en formato Básico o Clásico.

Desde iso27000.es animamos a todos los interesados a enviar enlaces e información de interés relacionada específicamente con la concienciación de la seguridad, además de las habituales con noticias sobre la norma ISO 27001.

Dentro del marco de actividades ENISA y de los dos autores de este portal como colaboradores reconocidos dentro de su Comunidad (más de 300 miembros de 46 países) para la concienciación nuestro objetivo es servir de medio para facilitar las aportaciones de los lectores del portal iso27000.es al organo consultivo de la UE.

Esperamos que las contribuciones ayuden al desarrollo de actividades y documentación relevante y de interés en materias específicas de seguridad relacionadas con países, industrias o áreas de actividad.

Recordamos que tanto nuestras actividades dentro de ENISA, así como, las que realizamos para mantener los contenidos de este portal no tienen ánimo de lucro y con el objetivo permanente del beneficio para la comunicación y desarrollo profesional de la comunidad y profesionales.

Información de contacto en iso27000.es.

El objetivo de la jornada es que los agentes interesados conozcan la líneas de actuación que pueden seguir para desarrollar proyectos de I+D+i en Seguridad TIC, dentro de las oportunidades que ofrece el VII Programa Marco.

Información completa en INTECO.

Debido a la novedad en la combinación de estos dos esquemas destacamos el caso de estudio de una certificación en los dos esquemas en la empresa Audatex del sector de automoción en Reino Unido.

Enlace al documento de Utimate Risk.

"Tackling ISO 27001: A Project to Build an ISMS" es un documento publicado por SANS y que trata de aportar la visión de una implantación de un SGSI en pocas páginas.

Enlace al documento de David Henning.

Nos llega el enlace desde Colombia a la traducción al español de la norma para la gestión de riesgos ISO/IEC 27005.

El título es "NTC-ISO-IEC 27005. TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN." y tiene un coste de COL $68.000.

Enlace en ICONTEC.

CBS News broadcaster Armen Keteyian nos deja este gráfico informe en formato video sobre posibles brechas de seguridad en la retirada de los dispositivos para focopiar documentos, partiendo de información olvidada en las bandejas hasta los sistemas de almacenamiento interno.

Enlace en threatpost.

NASCIO es una publicación semanal gratuita con noticias de interés relacionadas con la seguridad.

Enlace en NASCIO.

Enlace a otros boletines y publicaciones de interés en nuestra sección Boletines.

El centro de análisis y de comunicación de la información multiestatal de los EEUU pone a disposición recursos para asegurar medidas relacionadas con la ciberseguridad en abierto para todos los interesados.

Recursos disponibles para estrategias de concienciación en MS-ISAC.

Presentación por parte de la Oficina Nacional de Gobierno Electrónico e Informáticas con información interesante sobre estrategias en seguridad de la información, la norma ISO 27001 y legislación relevante.

Documento disponible en pdf desde ONGEI.

En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

- 10. 9. 3. Seguridad en información pública.

- 13.2.3. Recogida de pruebas

El alta de usuario está abierta a todos los interesados así como la aportación de propuestas en la zona de comentarios para cada control. Cada usuario puede habilitar su página personal de contacto y recibir via RSS las novedades y actualizaciones en las páginas, entre otras herramientas.

Sucede todos los días: un empleado que está fuera de la oficina quiere acceder en sus elementos del trabajo. En lugar de utilizar un método más seguro, decide enviar algunos archivos a su máquina de casa, o subir un archivo a Facebook, o utilizar una popular herramienta de intercambio de archivos para PC. Y lo siguiente ya lo sabe usted, su organización queda comprometida y expuesta a una pérdida de datos importantes.

Las empresas que estudian el comportamiento señalan que muchos empleados rompen las reglas con el fin de realizar su trabajo a tiempo.

Interesante artículo en DarkReading.

La agencia para la “ciberseguridad" de la UE ENISA- The European Network and Information Security Agency - ha lanzado un nuevo informe en el que se concluye que la UE debería centrar su investigación en seguridad TI en cinco áreas. El informe señala la dirección para las futuras peticiones del Framework Programme de hacer florecer la economía de la UE.

Este informe se centra en el tema de la resistencia, de la disponibilidad, y la investigación en las tecnologías que mejoran la disponibilidad de los servicios en línea, es decir, la resistencia de las redes de datos, que dispone la base para la estrategia EU2020 y la Agenda Digital para Europa.

El director ejecutivo de ENISA, el doctor Udo Helmbrecht, comentó: "Este informe nos da la primera directriz de cuáles deberían ser las prioridades en la investigación de seguridad TI del futuro para la UE en nuestra opinión".

Nota de prensa completa en español - ENISA.

Descarga del documento en inglés - ENISA.

En la mayoría de las empresas existe un gran distanciamiento entre aquellos que evalúan a los proveedores de servicios en la nube y los directores de TI y de seguridad, los cuales deberían, en última instancia, asumir toda la responsabilidad.

Las empresas evalúan los servicios en la nube por referencia verbal del boca a boca (el 65%), por acuerdos contractuales y por garantías por parte del proveedor (el 55 y el 53% respectivamente).

Sólo el 23% solicita pruebas de conformidad con la normativa, el 18% confía en el asesoramiento de seguridad realizado internamente, y tan solo el 6% basa su decisión de acuerdo a evaluaciones de expertos de seguridad o auditores.

Artículo completo en Financial Tech Magazine.

El Curso de Verano sobre Seguridad Informática cumple su tercera edición. Tras realizar las dos ediciones anteriores en la bella ciudad de Salamanca, este año, de la mano de la Universidad Europea de Madrid, y merced a la colaboración con el Máster Oficial en Seguridad de las Tecnologías de la Información y las Comunicaciones, tendrá lugar en Valencia durante los días 6, 7 y 8 de Julio.

Información completa y registro en .

Este trabajo describe las tareas que requiere el establecimiento de este sistema de gestión adoptando como referencia el enfoque propuesto por el estándar ISO/IEC 27001.

Finalmente, se incluye un breve análisis de las diferencias que este enfoque presenta en relación con el Esquema Nacional de Seguridad.

Descarga en pdf desde Technimap 2010.

Inicialmente promovido desde Colombia por profesionales e interesados en la seguridad de la información y técnicas forenses Offl1n3 está abierto a todos los interesados en compartir información y técnicas de protección de interés.

En la sesión del día 13 de abril de 2010 el Congreso de los Diputados ha aprobado por unanimidad la Proposición no de Ley relativa a la difusión y promoción de la iniciativa de estándares internacionales de privacidad.

Enlace con noticia completa y enlace al Boletín Oficial en Audea.

Esta proposición estuvo dentro del foro europeo EURODIG en relación a las necesidades dentro de la EU de un marco de regulación conjunta y de protección de los datos personales..

Se acaba de publicar un libro de interés para entender las claves de implantación de ISO/IEC 27005 (Information Security: Risk Management) de la mano de Edward Humphreys (Chartered Fellow del BCS - FBCS CITP, CISM), Director de XiSEC Consultants Ltd y considerado el "padre" de ISO/IEC 27001.

Este libro se presenta como un manual práctico para la aplicación de ISO/IEC 27005 con consejos para la implantación de los requisitos definidos en ISO/IEC 27001 en relación a los procesos de gestión del riesgo y actividades asociadas.

Los contenidos comprenden:
* Introduction
* Nature of the information security risk landscape
* Risk management framework
* Risk assessment
* Risk treatment
* System of risk controls
* Risk monitoring and reviews
* Risk control improvements
* Documentation system
* Audits and reviews
* Standards
* Definitions
* Examples of legal and regulatory compliance
* Examples of assets, threats, vulnerabilities and risk assessment methods.


Enlace con información adicional y adquisición BSI Shop.
Descarga de un capítulo de muestra (previo registro) en BSI Shop.

Ha sido publicada la traducción española de la norma UNE-EN ISO 27799:2010 "Informática sanitaria. Gestión de la seguridad de la información en sanidad utilizando la norma ISO/IEC 27002". Esta norma contribuirá a asegurar la protección de la información de los pacientes utilizada por las entidades sanitarias.

La UNE-EN ISO 27799 especifica una serie de controles detallados para la gestión de la seguridad de la información y aporta recomendaciones relativas a las buenas prácticas que hay que seguir al respecto para poder garantizar un nivel de seguridad mínimo.

Información recibida por iso27000.es mediante el Boletín 89 de la Asociación Española para la Calidad (AEC).

Organizadas por INTECO y Red.es cada una de las jornadas tendrá una duración de 7 horas en horario de 9h a 17:30h, y con un aforo máximo de 150 asistentes.

Las tres jornadas programadas cubrirán la misma temática y la primera tendrá lugar en Madrid el día 6 de Mayo, la segunda en Barcelona el día 27 de Mayo y la tercera en Sevilla el día 17 de Junio. Las inscripciones se harán por orden de llegada de solicitudes.

Más información en en la página web de inteco.

Organizadas por Grupo Estudios Técnicos y con sede en el Hospital de la Santa Creu i Sant Pau, esta edición tiene como objetivo debatir sobre los procedimientos de la Gestión de Riesgos en los Hospitales, desarrollar la Seguridad Integral e Integrada y promover herramientas y soluciones de seguridad específicas para el ámbito sanitario.

Organizadas por Grupo Estudios Técnicos y con sede en el Hospital de la Santa Creu i Sant Pau, esta edición tiene como objetivo debatir sobre los procedimientos de la Gestión de Riesgos en los Hospitales, desarrollar la Seguridad Integral e Integrada y promover herramientas y soluciones de seguridad específicas para el ámbito sanitario.

Desde ISO27000.es recordamos la publicación del estandar ISO 27799 como adaptación específica de la norma ISO 27002 a este sector sanitario.

Más información en seguridadenhospitales.es.

Publicado en la página web del ISMS Forum ya está disponible el temario de la certificación Certified Data Privacy Professional (CDPP). Puedes descargar el documento completo aquí para prepararte para el examen de la primera certificación española para los profesionales de la Privacidad de Datos y la Protección de Datos.

El primer examen se celebrará el próximo 19 de junio en Madrid, Barcelona y Valencia y la inscripción ya está abierta en la página web de ISMS hasta el 31 de mayo. El precio del examen para los socios de ISMS es de 300 euros.

Más información en dossier CDPP.

El curso de hacking ético proporciona una visión técnica de la seguridad de la información a través del Hawking ético, utilizando técnicas usuales como la recopilación de información y detección de vulnerabilidad tanto dentro como fuera de una red empresarial, de modo que mediante la prevención como herramienta, resulte beneficioso para la seguridad de las compañías.

Los cursos de seguridad de la información y de LOPD introducen el mundo de la seguridad de la información aplicada a las empresas y entidades públicas y profundiza en torno a los Sistemas de Gestión de Seguridad de la Información (Norma ISO 27001) y la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Más información en programas del curso.