-
Herramientas
Esta sección incluye enlaces a diferentes herramientas y recursos relacionados con sistemas de gestión de seguridad de la información. Unas están en español y otras en inglés. Una buena parte son gratuitas.
Navegue a través del submenú lateral por los distintos apartados.
>> -
Normas y buenas prácticas
Base de datos con todas las empresas certificadas en ISO 27001. El registro es voluntario así que no recoge todas los certificados acreditados a nivel internacional pero es una buena ayuda para consultar alcances de certificación, el rápido crecimiento del interés y adopción del estándar a nivel internacional, entre otros.
Normas ISO de descarga gratuita relativas a tecnologías de la información.
Compra de normas UNE/ISO.
Lista en español de los controles de ISO 27002:2005.
ONGEI Norma ISO17799-001-V2.pdf
Norma Técnica Peruana NTP-ISO/IEC 17799:2007, traducción al español de ISO/IEC 27002:2005.
Resumen en inglés de los objetivos de control de ISO 27002:2005.
Compra de normas de la "British Standards Institution".
Directrices de la OCDE para la seguridad de sistemas y redes de información: hacia una cultura de seguridad. En español.
ISM3 (ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el español Vicente Aceituno.
Bundesamt für Sicherheit in der Informationstechnik- Guía
Guía en inglés de buenas prácticas de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.
Bundesamt für Sicherheit in der Informationstechnik - Manual
"IT-Grundschutz" Manual de más de 2.300 páginas sobre gestión de seguridad de la información editado por el " Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas.
Bundesamt für Sicherheit in der Informationstechnik - Publications
Estándar de requerimientos generales de un SGSI según el "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas.
Bundesamt für Sicherheit in der Informationstechnik - Methodologies
Metodología de gestión de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas.
Manual de seguridad TIC en inglés del gobierno australiano (ACSI 33).
Estándar de seguridad de la información del "Information Security Forum".
CobiT Control Objectives for Information and related Technology. Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido español.
Alineamiento de CobiT con múltiples estándares.
OSSTMM (Open Source Security Testing Methodology Manual). También en español.
ITSEC (Information Technology Security Evaluation Criteria; 1991) e ITSEM (Information Technology Security Evaluation Manual; 1993 ). Editados por la Comisión Europea.
Manual de gestión de ataques DoS y DDoS del Trusted Information Sharing Network de Australia.
Turnbull Guidance del Financial Reporting Council.
Guide to the Assessment of IT Risk (GAIT) del Institute of Internal Auditors. Metodología de evaluación de controles de tecnologías de la información. Sirve de apoyo para la implantación de Sarbanes-Oxley.
Resumen de todas las guías publicadas por NIST (National Institute of Standards and Technology de EEUU).
Guía de métricas de seguridad. Publicada por NIST (National Institute of Standards and Technology de EEUU).
ISO27000.ES - Implantación de métricas en controles
Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".
IT Control Objectives for Sarbanes-Oxley. Publicada por IT Governance Institute.
Directiva de EEUU sobre seguridad física de edificios e instalaciones.
Guías de configuración de seguridad de la National Security Agency de EEUU.
Guía de prácticas y soluciones de seguridad TI en base al estándar ISO/IEC 27002 (inglés).
Guía en español de creación de un equipo de respuesta a incidentes de seguridad informática.
Propuesta de proceso de gestión de incidentes de seguridad para Pymes.
Guía en español de una metodología para la gestión centralizada de registro de eventos de seguridad en Pymes.
Guía básica en español de seguridad para Pymes y autónomos (Gobierno de Aragón).
Guía en español de gestión de la seguridad de la información para Pymes (Gobierno Región de Murcia).
Guía de seguridad informática de SEDISI.
Metodología de desarrollo de arquitecturas de seguridad corporativas.
Especificación de los requisitos comunes del sistema de gestión como marco para la integración. Guía de BSI (British Standards Institution) en español de cómo integrar diversos sistemas de gestión.
Mapa de procesos TIC con procedimientos documentados del gobierno de Nueva Gales del Sur.
Biblioteca de procedimientos documentados de procesos TIC del gobierno de Nueva Gales del Sur.
<< >> -
Análisis de riesgos
Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.
Guía de evaluación y gestión del riesgo para Pymes.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, promovida por el Ministerio de Administraciones Públicas de España.
Entorno de análisis de riesgos, merramienta en español, basada en Magerit, no gratuita. Existe una versión Basic para Pymes.
Software de análisis de riesgos, en español, de la empresa SIGEA.
Estándar ISO de la serie 27000 dedicado a la gestión de riesgos de seguridad de la información.
Estándar británico de gestión del riesgo de la seguridad de la información de British Standards Institution.
"Risk management guide for information technology systems". Publicada por NIST (National Institute of Standards and Technology) de EEUU.
Estándar australiano de gestión de riesgos de la seguridad de la información.
Expression des Besoins et Identification des Objectifs de Sécurité, metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español. Está acompañada por un software multilingüe -francés, inglés, alemán, español- gratuito para varias plataformas -Windows, Linux, Solaris-.
Bundesamt für Sicherheit in der Informationstechnik
Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. GSTOOL es la correspondiente herramienta.
Méthode Harmonisée d'Analyse de Risques, método de análisis y gestión del riesgo desarrollado por el Clusif ( Club de la Sécurité des Systèmes d’Information Français).
Operationally Critical Threat, Asset, and Vulnerability Evaluation, metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versión para pequeñas empresas (menos de 100 empleados).
CCTA Risk Analysis and Management Method, metodología y herramienta de análisis y gestión de riesgos desarrollada por la "Central Computer and Telecommunications Agency" del Reino Unido y gestionada por "Insight Consulting Limited" (Grupo Siemens). Existe en versión Expert y Express, incluye software y no es gratuita.
Software no gratuito de realización de análisis de riesgos.
Information Risk Analysis Methodologies es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.
Fundamental Information Risk Management es una metodología de gestión de riesgos del Information Security Forum.
Software comercial (disponible en varios idiomas, pero no en español) de gestión de riesgos de seguridad de la información, basado en la metodología FIRM.
Guía en inglés de evaluación de riesgos de la Policía de Canadá. También versión en francés.
Introducción a la metodología FAIR (Factor Analysis of Information Risk).
Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (en español).
Security Risk Management Guide de Microsoft.
@RISK, de Palisade, es un software general de análisis de riesgos basado en la simulación de Monte Carlo. Existe versión en español y tiene coste.
Consultative, Objective and Bi-functional Risk Analysis es un software -no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".
Art of Risk es un software de análisis de riesgos y soporte de SGSI. No es gratuito.
Ejemplo de análisis de impacto en el negocio realizado por Gartner.
Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3.
Whitepaper de SANS sobre gestión del riesgo.
Introducción al análisis y modelado de amenazas.
Guía de evaluación de riesgos de seguridad de ASIS.
Directrices para la gestión del riesgo por uso de aplicaciones de software libre "Free and Open Source Software".
CERO es una aplicación web que le permite tener una visión global de los riesgos a los que se expone su compañía, Operativos y de LA/FT.
<< >> -
Dirección y gerencial
Manual de gestión estratégica de seguridad en la empresa, publicado por GMV y ANETCOM.
Guía del aseguramiento del negocio del "Department of Trade and Industry" del Reino Unido.
Guía de seguridad de la información para directivos del "Department of Trade and Industry" del Reino Unido.
Introducción a la seguridad de la información para directivos del "Department of Trade and Industry" del Reino Unido.
Introducción a las principales amenazas de seguridad de la información para directivos de Pymes del "Department of Trade and Industry" del Reino Unido.
Introducción a la gestión del riesgo de "The International Underwriting Association" del Reino Unido.
Esquema Orientativo de la Seguridad de los Sistemas de Información, herramienta de síntesis y de visualización para el seguimiento de las acciones vinculadas con la seguridad de la información, desarrollada por la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español.
Guía de seguridad de la información para gerentes, del NIST (National Institute of Standards and Technology de EEUU).
Governing for Enterprise Security, iniciativa del CERT de EEUU.
<< >> -
Auto-evaluación
Auto-evaluación online del estado de la seguridad de la información en una organización, por el "Department of Trade and Industry" del Reino Unido.
Cuestionario de auto-evaluación para la verificación del estado de los controles de ISO 27002:2005 del SANS Institute.
Auto-evaluación de seguridad de la información para Universidades.
Herramienta de BITs para la evaluación del riesgo operacional de la seguridad de la información.
Program Review for Information Security Management Assistance (PRISMA) del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan de seguridad de la información.
Auto-evaluación online que ayuda a evaluar el cumplimiento de escritorio despejado en una organización.
Checklist sobre seguridad física y del entorno.
Checklist sobre gestión de activos de información.
Checklist sobre seguridad relativa a los recursos humanos.
Checklist sobre gestión de incidentes de seguridad.
Checklist del proceso de revisión del SGSI.
Checklist sobre seguridad de la información de la INTERPOL.
<< >> -
Implantación de SGSI
AGGIL es un sistema de información empresarial que mantiene uno o varios sistemas de gestión ISO (27001, 9001, 14001) integrados y que funciona bajo la filosofía del Software como Servicio (SaaS).
Guía de implantación de un SGSI con consejos y ejemplos.
AWICMSM (Advanced Web-based Internal Control Management System Methodology), junto con la metodología "Fast Track ISMS", es la herramienta comercial de implantación de ISO 27001 de la consultora inglesa "Gamma Secure Systems Limited".
"Callio Secura" es una herramienta software comercial para gestionar un SGSI. Disponible en español.
e-PULPO (Plataforma de Unificación Lógica de los Procesos Organizativos) integra una serie de herramientas Open Source líderes del mercado, para cubrir todo el abanico de necesidades relativas a la gestión de seguridad de la información.
Écija SGSI es la herramienta de gestión de SGSIs de la consultora española Écija. Cubre la evaluación de riesgos y las distintas etapas del ciclo de vida de un SGSI.
Guía de implantación de un SGSI con consejos y recomendaciones del gobierno de Nueva Gales del Sur.
Plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. GESCONSULTOR es una plataforma gestionada por GESDATOS Software, S.L. y que patrocina el mantenimiento de las actividades y desarrollo de contenidos nuevos y de libre acceso para el portal iso27002.es.
Global SGSI es la herramienta de gestión de SGSIs de la consultora española Audisec. Cubre la evaluación de riesgos y las distintas etapas del ciclo de vida de un SGSI.
Metodología en español de implantación de seguridad de la información en PyMEs.
Guía de implantación de SGSIs en español del ISMS Forum Spain.
Documento ISO/TC 176/SC 2/N544R2(r) que expone el enfoque por procesos.
Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".
Guía de implantación de un SGSI en una organización médica.
Métrica 3: metodología de planificación, desarrollo y mantenimiento de sistemas de información del Ministerio de Administraciones Públicas español.
Conjunto de métricas para cada uno de los objetivos de control de ISO 27002, así como para otros estándares (PCI, NIST SP800-53, etc.).
800-53 (borrador) guía de implantación de controles de seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU.
NIST Security Configuration Checklists Repository: un conjunto de listas de comprobación relativas a la seguridad en los más diversos sistemas informáticos.
Proteus es un software comercial que cubre todas las fases de implantación de un SGSI.
Este trabajo aborda la implementación de un SGSI - ISO 27001 utilizando la Guía PMBOK publicada por el Proyecto Management Institute, Inc.
La aplicación SecuriaSGSI cubre de forma automática el proceso de implantación, puesta en funcionamiento, control y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI).
<< >> -
Implantación de políticas
Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.
La guía PSSI. Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español.
Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).
Política de Seguridad del Gobierno de Canadá, en inglés. Disponible también en francés.
Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002.
Conjunto de políticas de seguridad variadas.
Creación de políticas de seguridad para Pymes.
Conjunto de plantillas de políticas de seguridad del SANS Institute.
Guía de desarrollo de una política de seguridad de la información.
Guía de protección de activos de información del "Department of Trade and Industry" del Reino Unido.
Guía de tipos de políticas de seguridad de la información del "Department of Trade and Industry " del Reino Unido.
Guía de creación de una política de seguridad.
Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.
Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.
Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito.
Normativa de uso de sistemas de información del Senado español.
<< >> -
Concienciación
"Concientización en seguridad de la información", una guía en español publicada por la Universidad de los Andes. [El término "concientización" se usa sobre todo en Hispanoamérica.]
Guía de ENISA (versión 2008) en inglés para la confección de planes de concienciación en seguridad de la información. La versión de 2006 está traducida al español.
Guía de ENISA en inglés sobre planes de concienciación en seguridad y la medición de su eficacia.
Software de formación y concienciación en seguridad de la información. No gratuito.
Conjunto de herramientas y servicios de concienciación. No gratuito.
The security awareness company
Conjunto de herramientas y servicios de concienciación. No gratuito.
Larga lista de enlaces a otras páginas relacionadas con concienciación y seguridad de la información en general.
Videos de concienciación sobre seguridad informática.
Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.
Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompañado de 2 anexos: AppendixA-D y Appendix_E.
Aspectos importantes en concienciación en seguridad de la información. Publicado por el NSI (National Security Institute) de EEUU.
Material y guías de concienciación gratuitos de Microsoft (120 MB).
Conjunto de documentos de concienciación en seguridad de la información.
Posters de sensibilización en seguridad de la información.
Material de concienciación en seguridad de la información de la Universidad de Arizona.
7 pasos para diseñar un plan de sensibilización en seguridad de la información.
BITs, consorcio sin ánimo de lucro formado por CEOs, cuyos miembros pertenecen a 100 de las mayores instituciones de EEUU. Consideraciones clave para la seguridad de los datos en su almacenamiento y transporte.
Guía de Microsoft de protección de la empresa frente a la ingeniería social.
Venta de vídeos de concienciación en seguridad de la información en inglés.
Una viñeta diaria orientada a la concienciación de usuarios en seguridad de la información.
Material de concienciación recopilado por (ISC) 2.
<< >> -
Auditoría
Guía de auditoría de SGSIs del "ISO27k implementers' forum".
Global Technology Audit Guide (GTAG) del Institute of Internal Auditors. Una serie de guías para auditores de sistemas de información.
GTAG 11, guía sobre cómo desarrollar un plan de auditoría TI del Institute of Internal Auditors.
Guías de auditoría de sistemas de información del Federal Financial Institutions Examination Council de EEUU.
Normas, directrices y procedimientos de ISACA para auditores de sistemas de información.
Guía de auditoría de seguridad TI del Gobierno de Canadá.
Preguntas y respuestas acerca de auditoría de sistemas.
Checklist de auditoría de los controles del Anexo A de ISO 27001.
Checklists de seguridad de sistemas del Information Assurance Support Environment.
Guías de auditoría en inglés del ISO 9001 Auditing Practices Group.
<< >> -
Continuidad de negocio
Estándar británico de buenas prácticas de gestión de continuidad de negocio. Disponible también en español.
Estándar británico certificable que indica los requisitos para un sistema de gestión de continuidad de negocio. Disponible también en español.
Procedente del estándar británico BS 25777 y que ha sido aprobado como estándar internacional para las buenas prácticas de gestión de continuidad en el sector TIC.
Directrices para servicios de recuperación de desastres TIC.
Guía de buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute". La versión de 2007 de esta guía, ya obsoleta, está traducida al español.
Competencias profesionales que debería tener un experto en continuidad de negocio, según "The Business Continuity Institute".
Estándar de Singapur sobre recuperación de desastres TIC.
Guía para planes de contingencia de sistemas TI del NIST (National Institute of Standards and Technology) de EEUU.
Prácticas profesionales de continuidad de negocio del Disaster Recovery Institute International.
Guías de continuidad de negocio del gobierno australiano.
Estándar australiano de gestión de continuidad de negocio. Se complementa con HB 292 y HB 293.
Estándar de gestión de desastres y planes de continuidad de negocio de la National Fire Protection Association de EEUU.
Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información del Gobierno de Perú.
Guía práctica de continuidad de negocio para Pymes del Institute for Business & Home Safety de EEUU.
Guía de continuidad de negocio de ASIS (American Society for Industrial Security).
GTAG 10, guía de gestión de continuidad de negocio del Institute of Internal Auditors.
Guía de continuidad de negocio en instituciones financieras del FFIEC de EEUU.
Avalution Consulting y BSI Americas
Guía de implantación de BS 25999 publicada por Avalution Consulting y BSI Americas.
IBM System Storage Business Continuity: Part 1 Planning Guide.
IBM System Storage Business Continuity: Part 2 Solutions Guide.
Basel Committee on Banking Supervision
Principios de alto nivel de continuidad de negocio del Basel Committee on Banking Supervision.
Cómo realizar un Business Impact Analysis (BIA).
Checklist de continuidad de negocio para pequeñas empresas
Plantillas y ejemplos de planes de continuidad de negocio del Canadian Centre for Emergency Preparedness.
Office Shadow es un software comercial de planificación de la gestión de continuidad de negocio.
LDRPS es un software comercial de planificación de la gestión de continuidad de negocio.
Software comercial de planificación de la gestión de continuidad de negocio.
Software comercial de planificación de la gestión de continuidad de negocio.
Software comercial de planificación de la gestión de continuidad de negocio.
Software comercial de planificación de la gestión de continuidad de negocio.
Software comercial de planificación de la gestión de continuidad de negocio.
Software comercial de planificación de la gestión de continuidad de negocio.
Software comercial de planificación de la gestión de continuidad de negocio.
Software comercial de planificación de la gestión de continuidad de negocio.
Esta guía para las organizaciones que deseen abordar los principios y prácticas de continuidad de negocio de una forma integral: desde el momento inicial en el que se reconoce la necesidad de desarrollar un programa o estrategia de continuidad, hasta su mantenimiento y actualización constante.
<< >>