ISO 27000.es

El portal de ISO 27001 en Español


Herramientas

Esta sección incluye enlaces a diferentes herramientas y recursos relacionados con sistemas de gestión de seguridad de la información.


Una buena parte son de libre acceso. Algunos recursos están en español y otros en inglés..


Navegue a través del submenú lateral por los distintos apartados.



Normas y buenas prácticas

ISO

Normas ISO de descarga gratuita relativas a tecnologías de la información.


ISO Store

Tienda online de ISO para la compra de normas.


AENOR - Publicaciones

Compra de normas UNE/ISO en España.


BSI Shop

Compra de normas de la "British Standards Institution".


Controles ISO27002-2013.pdf

Lista en español de los controles de ISO 27002:2013.


Controles ISO27002-2005.pdf

Lista en español de los controles de ISO 27002:2005 (a efectos de consulta sólo, puesto que ISO 27002:2005 ha sido reemplazada por ISO 27002:2013).


ONGEI Norma ISO17799-001-V2.pdf

Norma Técnica Peruana NTP-ISO/IEC 17799:2007, traducción al español de ISO/IEC 27002:2005 (a efectos de consulta sólo, puesto que ISO 27002:2005 ha sido reemplazada por ISO 27002:2013).


INDECOPI Norma ISO 27001

Norma Técnica Peruana NTP-ISO/IEC 27001:2008, traducción al español de ISO/IEC 27001:2005 (a efectos de consulta sólo, puesto que ISO 27001:2005 ha sido reemplazada por ISO 27001:2013).


Praxiom

Resumen y explicación en inglés de los requisitos de ISO 27001:2013.


Javier Cao

Análisis de ISO 27001:2013, por Javier Cao.


Transition Guide. BSI

Guía de transición de ISO 27001:2005 a ISO 27001:2013, por BSI.


Mapping Guide. BSI

Mapeo de requisitos entre ISO 27001:2005 e ISO 27001:2013, por BSI.


O-ISM3

Open Information Security Management Maturity Model (O-ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el español Vicente Aceituno.


IT Security Guidelines

Guía en inglés de buenas prácticas de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.


IT-Grundschutz Catalogues

"IT-Grundschutz Catalogues": Manual en inglés, de casi 3.000 páginas, sobre gestión de seguridad de la información editado por el " Bundesamt für Sicherheit in der Informationstechnik" de Alemania.


Bundesamt für Sicherheit in der Informationstechnik - Standards

Diversos estándares y metodologías de gestión de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas.


Australian Signals Directorate - Information Security Manual

Manual de seguridad de la información en inglés del gobierno australiano.


ISF Standard of Good Practice for Information Security

Estándar de seguridad de la información del "Information Security Forum".


ISACA - Cobit

CobiT Control Objectives for Information and related Technology. Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido español.


ISECOM

OSSTMM (Open Source Security Testing Methodology Manual). También en español.


CORDIS EU

ITSEC (Information Technology Security Evaluation Criteria; 1991) e ITSEM (Information Technology Security Evaluation Manual; 1993 ). Editados por la Comisión Europea. Como referencia histórica, puesto que son ya muy antiguos.


TISN

Guías de seguridad del Trusted Information Sharing Network de Australia.


The IIA - Standards and Guidance

Estándares y guías del Institute of Internal Auditors.


NIST DocsGuide

Resumen de todas las guías publicadas por NIST (National Institute of Standards and Technology de EEUU).


NIST SP 800

Guías de seguridad de la información del NIST (National Institute of Standards and Technology de EEUU).


ISO_27000_implementation_guidance_v1_Spanish.pdf

Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".


FAS

Directiva de EEUU sobre seguridad física de edificios e instalaciones.


NSA information assurance guidance

Guías de seguridad de la información de la National Security Agency de EEUU.


Information Security Guide

Guía de prácticas y soluciones de seguridad TI en base al estándar ISO/IEC 27002:2005 (inglés).


ENISA CSIRT

Guía en español de creación de un equipo de respuesta a incidentes de seguridad informática.


SANS

Propuesta de proceso de gestión de incidentes de seguridad para Pymes.


Gestión centralizada de Logs

Guía en español de una metodología para la gestión centralizada de registro de eventos de seguridad en Pymes.


SABSA

Metodología de desarrollo de arquitecturas de seguridad corporativas.


PAS 99:2012

Especificación de los requisitos comunes del sistema de gestión como marco para la integración. Guía de BSI (British Standards Institution) en español de cómo integrar diversos sistemas de gestión.



Análisis de riesgos

ENISA

Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.


ENISA - SME

Guía de evaluación y gestión del riesgo para Pymes.


MAGERIT

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, promovida por el Ministerio de Administraciones Públicas de España.


EAR/Pilar

Entorno de análisis de riesgos, merramienta en español, basada en Magerit, no gratuita. Existe una versión Basic para Pymes.


KRiO

Herramienta software GRC, que permite evaluar, analizar, tratar e integrar múltiples escenarios de riesgo: tecnológicos, financieros, operacionales, medioambientales, regulatorios, reputacionales… y relacionarlos con objetivos y niveles de cumplimiento de normas, esquemas, contratos o leyes aplicables en una organización. En español, de la empresa SIGEA.


ISO 27005

Estándar ISO de la serie 27000 dedicado a la gestión de riesgos de seguridad de la información.


UNE-ISO 31000

Estándar ISO dedicado a la gestión de riesgos, en español.


BS 7799-3:2006

Estándar británico de gestión del riesgo de la seguridad de la información de British Standards Institution.


NIST SP 800-30

"Guide for conducting risk assessments". Publicada por NIST (National Institute of Standards and Technology) de EEUU.


EBIOS

Expression des Besoins et Identification des Objectifs de Sécurité, metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.


Bundesamt für Sicherheit in der Informationstechnik

Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.


CLUSIF - MEHARI

Méthode Harmonisée d'Analyse de Risques, método de análisis y gestión del riesgo desarrollado por el Clusif ( Club de la Sécurité des Systèmes d’Information Français).


OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation, metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versión para pequeñas empresas (menos de 100 empleados).


RiskWatch

Software no gratuito de realización de análisis de riesgos.


IRAM

Information Risk Analysis Methodologies es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.


Citicus ONE

Software comercial (disponible en varios idiomas, pero no en español) de gestión de riesgos de seguridad de la información.


FAIR

Introducción a la metodología FAIR (Factor Analysis of Information Risk).


The IRM

Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (también en español).


Microsoft

Security Risk Management Guide de Microsoft.


@RISK

@RISK, de Palisade, es un software general de análisis de riesgos basado en la simulación de Monte Carlo. Existe versión en español y tiene coste.


COBRA

Consultative, Objective and Bi-functional Risk Analysis es un software -no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".


SANS - BS7799-3

Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3.


SANS

Whitepaper de SANS sobre gestión del riesgo.


ASIS guidelines

Guía de evaluación de riesgos de seguridad de ASIS.


FOSS

Directrices para la gestión del riesgo por uso de aplicaciones de software libre "Free and Open Source Software".


CERO

CERO es una aplicación web que le permite tener una visión global de los riesgos a los que se expone su compañía, Operativos y de LA/FT.


Risk Management Toolkit for the NSW Public Sector

Guías para la gestión de riesgos de la administración de Nueva Gales del Sur.



Dirección y gerencial

INTECO

Estudio sobre seguridad de la información y continuidad de negocio en las empresas españolas.


ISO/IEC 27000

ISO/IEC 27000 es la norma de visión general y vocabulario sobre sistemas de gestión de seguridad de la información de la serie 27000. Es gratuita.


DTI guide

Guía del aseguramiento del negocio del "Department of Trade and Industry" del Reino Unido.


DTI guide

Guía de seguridad de la información para directivos del "Department of Trade and Industry" del Reino Unido.


DTI introduction

Introducción a la seguridad de la información para directivos del "Department of Trade and Industry" del Reino Unido.


DTI SME

Introducción a las principales amenazas de seguridad de la información para directivos de Pymes del "Department of Trade and Industry" del Reino Unido.


DTI RA

Introducción a la gestión del riesgo de "The International Underwriting Association" del Reino Unido.


TDBSSI

Esquema Orientativo de la Seguridad de los Sistemas de Información, herramienta de síntesis y de visualización para el seguimiento de las acciones vinculadas con la seguridad de la información, desarrollada por la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español.


NIST

Guía de seguridad de la información para gerentes, del NIST (National Institute of Standards and Technology de EEUU).


CERT

Governing for Enterprise Security, iniciativa del CERT de EEUU.



Métricas e indicadores

ISO/IEC 27004

ISO/IEC 27004 es la norma de la serie 27000 dedicada a métricas de gestión de seguridad de la información.


CCN-STIC-815

La norma CCN-STIC-815 está dedicada a métricas e indicadores en el Esquema Nacional de Seguridad español.


ISO_27000_implementation_guidance_v1_Spanish.pdf

Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".


NIST SP 800-55

NIST SP 800-55: Performance Measurement Guide for Information Security.


Pragmatic security metrics

Libro en inglés dedicado a métricas de seguridad.


EDUCAUSE security metrics

Enlaces a distintos recursos relacionados con métricas de seguridad.


Measuring security tutorial

Presentación en inglés sobre cómo medir la seguridad.


Security-Awareness-Benchmarking-and-Metrics.pdf

Recomendaciones relacionadas con métricas sobre concienciación en seguridad.



Implantación de SGSI

Gesconsultor

Plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. GESCONSULTOR es una plataforma gestionada por GESDATOS Software, S.L. y que patrocina el mantenimiento de las actividades y desarrollo de contenidos nuevos y de libre acceso para el portal iso27002.es.


AGGIL

AGGIL es un sistema de información empresarial que mantiene uno o varios sistemas de gestión ISO (27001, 9001, 14001) integrados y que funciona bajo la filosofía del Software como Servicio (SaaS).


ePULPO

ePULPO (Plataforma de Unificación Lógica de los Procesos Organizativos) integra una serie de herramientas Open Source líderes del mercado, para cubrir todo el abanico de necesidades relativas a la gestión de seguridad de la información.


GlobalSuite

GlobalSuite es la herramienta de gestión de SGSIs de la consultora española Audisec. Cubre la evaluación de riesgos y las distintas etapas del ciclo de vida de un SGSI.


SECURIA SGSI

La aplicación SecuriaSGSI cubre de forma automática el proceso de implantación, puesta en funcionamiento, control y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI).


Inmuno SGSI

Inmuno SGSI sirve para la automatización del cumplimiento de todos los requisitos de la norma ISO 27001.


SECITOR R1

Aplicación orientada para la gestión sencilla de un SGSI, a través de módulos.


Proteus

Proteus es un software comercial que cubre todas las fases de implantación de un SGSI.


ISO27K Toolkit

Toolkit gratuito con plantillas y ejemplos para la implantación de ISO 27001 del "ISO27k implementers' forum".


Series CCN-STIC

Las normas CCN-STIC pueden ser una referencia útil a la hora de implantar un SGSI.


NSW Information Security Guideline

Guía de implantación de un SGSI con consejos y recomendaciones del gobierno de Nueva Gales del Sur.


ATSEC

Guía de implantación de un SGSI (basado en ISO 27001:2005) con consejos y ejemplos.


IS2ME

Metodología en español de implantación de seguridad de la información en PyMEs.


ISO/TC 176

Documento ISO/TC 176/SC 2/N544R2(r) que expone el enfoque por procesos.


ISO_27000_implementation_guidance_v1_Spanish.pdf

Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".


JIP-ISMS114-10E.pdf

Guía de implantación de un SGSI en una organización médica.


Métrica 3

Métrica 3: metodología de planificación, desarrollo y mantenimiento de sistemas de información del Ministerio de Administraciones Públicas español.


NIST SP 800-53

800-53 guía de implantación de controles de seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU.


NIST checklists

NIST Security Configuration Checklists Repository: un conjunto de listas de comprobación relativas a la seguridad en los más diversos sistemas informáticos.


SANS

Este trabajo aborda la implementación de un SGSI - ISO 27001 utilizando la Guía PMBOK publicada por el Proyecto Management Institute, Inc.



Implantación de políticas

CCN-STIC

Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.


INTECO

Guías y manuales de seguridad publicados por el organismo público español INTECO.


PSSI

La guía PSSI. Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.


PSI_Modelo-v1_200507.pdf

Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).


TBS-SCT

Política de Seguridad del Gobierno de Canadá, en inglés. Disponible también en francés.


UCISA

Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002.


dmoz.org

Conjunto de políticas de seguridad variadas.


Infosecwriters

Creación de políticas de seguridad para Pymes.


SANS Policies

Conjunto de plantillas de políticas de seguridad del SANS Institute.


SANS whitepapers: 1331

Guía de tipos de políticas de seguridad de la información del "Department of Trade and Industry " del Reino Unido.


CCCURE

Guía de creación de una política de seguridad.


NIST SP 800

Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.


BITS

Documentos publicados por BITS, división tecnológica de The Financial Services Roundtable, una asociación de empresas del sector financiero de EEUU.


Notice bored

Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito.


Senado

Normativa de uso de sistemas de información del Senado español.



Concienciación

Criptored

"Concientización en seguridad de la información", una guía en español publicada por la Universidad de los Andes. [El término "concientización" se usa sobre todo en Hispanoamérica.]


INTECO

Cursos online gratuitos de seguridad del organismo público español INTECO.


ENISA

Guía de ENISA para la confección de planes de concienciación en seguridad de la información.


ENISA

Guía de ENISA en inglés sobre planes de concienciación en seguridad y la medición de su eficacia.


ENISA

Material de concienciación en seguridad de ENISA.


Infosecuritylab

Software de formación y concienciación en seguridad de la información. No gratuito.


Notice bored

Conjunto de herramientas y servicios de concienciación. No gratuito.


The security awareness company

Conjunto de herramientas y servicios de concienciación. No gratuito.


US security awareness

Larga lista de enlaces a otras páginas relacionadas con concienciación y seguridad de la información en general.


Educause.edu

Material de concienciación sobre seguridad de la información.


NIST SP 800-50

Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.


NIST SP 800-16

Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompañado de 2 anexos: AppendixA-D y Appendix_E.


Infosecwriters

Aspectos importantes en concienciación en seguridad de la información. Publicado por el NSI (National Security Institute) de EEUU.


Microsoft

Material y guías de concienciación gratuitos de Microsoft (120 MB).


IWAR SA-Tools

Conjunto de documentos de concienciación en seguridad de la información.


IWAR awareness posters

Posters de sensibilización en seguridad de la información.


Arizona awareness

Material de concienciación en seguridad de la información de la Universidad de Arizona.


Notice bored: 7 steps

7 pasos para diseñar un plan de sensibilización en seguridad de la información.


Microsoft

Guía de Microsoft de protección de la empresa frente a la ingeniería social.


Commonwealth Films

Venta de vídeos de concienciación en seguridad de la información en inglés.


Security cartoon

Una viñeta diaria orientada a la concienciación de usuarios en seguridad de la información.


(ISC)2

Material de concienciación recopilado por (ISC) 2.



Auditoría

ISO/IEC 27007

Norma ISO de la serie 27000, que establece directrices para la auditoría de un SGSI.


ISO/IEC TR 27008

Norma ISO de la serie 27000, que establece directrices para la auditoría de controles de seguridad de la información.


ISO27k_Guideline_on_ISMS_audit

Guía de auditoría de SGSIs del "ISO27k implementers' forum".


ISO27k_ISMS_internal_audit_procedure

Ejemplo de procedimiento de auditoría interna del "ISO27k implementers' forum".


The IIA: GTAG

Global Technology Audit Guide (GTAG) del Institute of Internal Auditors. Una serie de guías para auditores de sistemas de información.


The IIA

GTAG 11, guía sobre cómo desarrollar un plan de auditoría TI del Institute of Internal Auditors.


FFIEC IT-Booklets

Guías de auditoría de sistemas de información del Federal Financial Institutions Examination Council de EEUU.


ISACA

Normas, directrices y procedimientos de ISACA para auditores de sistemas de información.


TBS-SCT

Guía de auditoría de seguridad TI del Gobierno de Canadá.


IsecT

Preguntas y respuestas acerca de auditoría de sistemas.


SANS

Checklist de auditoría de los controles del Anexo A de ISO 27001:2005.


ISO 9001 Auditing Practices Group

Guías de auditoría en inglés del ISO 9001 Auditing Practices Group.


PRAXIOM

Checklist sobre seguridad física y del entorno.


PRAXIOM

Checklist sobre gestión de activos de información.


PRAXIOM

Checklist sobre seguridad relativa a los recursos humanos.


PRAXIOM

Checklist sobre gestión de incidentes de seguridad.


PRAXIOM

Checklist del proceso de revisión del SGSI.


PRISMA

Program Review for Information Security Management Assistance (PRISMA) del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan de seguridad de la información.



Continuidad de negocio

ISO 22301

Norma ISO certificable que establece los requisitos para un sistema de gestión de continuidad de negocio. Tiene su origen en la norma BS 25999.


ISO/IEC 27031

Norma ISO de la serie 27000 que establece directrices para los aspectos TIC de continuidad de negocio.


ISO/IEC 24762

Directrices para servicios de recuperación de desastres TIC.


The BCI

Guía de buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute". Disponible también en español.


SS 507:2008

Estándar de Singapur sobre recuperación de desastres TIC.


INTECO

Esta guía para las organizaciones que deseen abordar los principios y prácticas de continuidad de negocio de una forma integral: desde el momento inicial en el que se reconoce la necesidad de desarrollar un programa o estrategia de continuidad, hasta su mantenimiento y actualización constante.


NIST SP 800-34

Guía para planes de contingencia de sistemas TI del NIST (National Institute of Standards and Technology) de EEUU.


DRII

Prácticas profesionales de continuidad de negocio del Disaster Recovery Institute International.


CNPIC

Centro Nacional para la Protección de Infraestructuras Críticas de España.


TISN

Guías protección de infraestructuras críticas del gobierno australiano.


ONGEI

Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información  del Gobierno de Perú.


ASIS

Guía de continuidad de negocio de ASIS (American Society for Industrial Security).


The IIA: GTAG 10

GTAG 10, guía de gestión de continuidad de negocio del Institute of Internal Auditors.


FFIEC

Guía de continuidad de negocio en instituciones financieras del FFIEC de EEUU.


Avalution Consulting

Guía de implantación de ISO 22301 publicada por Avalution Consulting.


IBM Redbooks - part I

IBM System Storage Business Continuity: Part 1 Planning Guide.


IBM Redbooks - part II

IBM System Storage Business Continuity: Part 2 Solutions Guide.


Basel Committee on Banking Supervision

Principios de alto nivel de continuidad de negocio del Basel Committee on Banking Supervision.


SANS whitepapers

Cómo realizar un Business Impact Analysis (BIA).


Continuity Central

Checklist de continuidad de negocio para pequeñas empresas