Enlaces |
|
Base de datos con todas
las empresas certificadas en BS7799-2 e ISO 27001.
Normas ISO de descarga gratuita. Compra de normas ISO. Compra de normas UNE / ISO. www.iso27000.es/download/ControlesISO17799-2005.pdf Lista en español de los controles de ISO 17799:2005. Compra de normas de la "British Standards Institution". www.oecd.org/dataoecd/15/29/34912912.pdf Directrices de la OCDE para la seguridad de sistemas y redes de información: hacia una cultura de seguridad. En español. ISM3 (ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el español Vicente Aceituno. www.bsi.de/english/gshb/guidelines/guidelines.pdf Guía en inglés de buenas prácticas de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. www.bsi.de/english/gshb/manual/index.htm "IT-Grundschutz", manual de más de 2.300 páginas sobre gestión de seguridad de la información editado por el "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas. Estándar de requerimientos generales de un SGSI según el "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas. Metodología de gestión de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas. www.isfsecuritystandard.com/index_ns.htm Estándar de seguridad de la información del "Information Security Forum". CobiT (Control Objectives for Information and related Technology). Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido español. Guía de alineamiento de CobiT, ITIL e ISO 17799. Guía de alineamiento de CobiT con múltiples estándares. OSSTMM (Open Source Security Testing Methodology Manual). También en español. cordis.europa.eu/infosec/src/down.htm ITSEC (Information Technology Security Evaluation Criteria). Editado por la Comisión Europea. cordis.europa.eu/infosec/src/down.htm ITSEM (Information Technology Security Evaluation Manual). Editado por la Comisión Europea. Manual de gestión de ataques DoS y DDoS del Trusted Information Sharing Network de Australia. Turnbull Guidance del Financial Reporting Council. www.theiia.org/guidance/technology/gait Guide to the Assessment of IT General Controls Scope Based on Risk (GAIT) del Institute of Internal Auditors. Metodología de evaluación de controles de tecnologías de la información. Sirve de apoyo para la implantación de Sarbanes-Oxley. csrc.nist.gov/publications/CSD_DocsGuide.pdf Resumen de todas las guías publicadas por NIST (National Institute of Standards and Technology de EEUU). csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf Guía de métricas de seguridad. Publicada por NIST (National Institute of Standards and Technology de EEUU). csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf Borrador de la guía de desarrollo de métricas de seguridad. Publicada por NIST (National Institute of Standards and Technology) de EEUU. IT Control Objectives for Sarbanes-Oxley. Publicada por IT Governance Institute. Guía de aseguramiento de activos críticos de información. Publicada por la Critical Infrastructure Assurance Office de EEUU. www.fas.org/irp/offdocs/dcid6-9.pdf Directiva de EEUU sobre seguridad física de edificios e instalaciones. www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf Guía en español de creación de un equipo de respuesta a incidentes de seguridad informática. www2.norwich.edu/mkabay/infosecmgmt/csirtm.pdf Cómo gestionar un equipo de respuesta a incidentes de seguridad informática. Herramientas para análisis de riesgos www.enisa.europa.eu/rmra/rm_home.html Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas. Guía de evaluación y gestión del riesgo para Pymes. MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), promovida por el Ministerio de Administraciones Públicas de España. EAR (Entorno de análisis de riesgos). Herramienta en español, basada en Magerit, no gratuita. Diseñada por José Antonio Mañas, redactor de Magerit. PILAR. Herramienta de análisis de riesgos, basada en Magerit, en español, exclusiva para las Administraciones Públicas españolas. Diseñada por José Antonio Mañas, redactor de Magerit. GxSGSI. Software de análisis de riesgos, en español, de la empresa SIGEA. BS 7799-3:2006 es el estándar de gestión del riesgo de la seguridad de la información de la British Standards Institution. www.saiglobal.com/shop/script/... AS/NZS 4360:2004 es el estándar australiano de gestión de riesgos de la seguridad de la información, de amplia difusión internacional. www.ssi.gouv.fr/es/confianza/ebiospresentation.html EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español. Está acompañada por un software multilingüe -francés, inglés, alemán, español- con descargables para varias plataformas -Windows, Linux, Solaris-. Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES MEHARI (Méthode Harmonisée d'Analyse de Risques). Método de análisis y gestión del riesgo desarrollado por el Clusif (Club de la Sécurité des Systèmes d’Information Français). OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. Incluye OCTAVE-S, una versión para pequeñas empresas (menos de 100 empleados). oattool.aticorp.org/Tool_Info.html Octave Automated Tool es un software -no gratuito- que implementa la metodología de evaluación de riesgos OCTAVE. CRAMM (CCTA Risk Analysis and Management Method). Metodología y herramienta de análisis y gestión de riesgos desarrollada por la "Central Computer and Telecommunications Agency" del Reino Unido y gestionada por "Insight Consulting Limited" (Grupo Siemens). Existe en versión Expert y Express, incluye software y no es gratuita. www.riskwatch.com/products/isa.asp RiskWatch es un software no gratuito de realización de análisis de riesgos. csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf "Risk management guide for information technology systems". Publicada por NIST (National Institute of Standards and Technology) de EEUU. www.cse-cst.gc.ca/en/documents/publications/gov_pubs/itsg/itsg04.pdf Guía de evaluación de riesgos de sistemas de información del "Canadian Government Communications Security Establishment". Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (en español). www.palisade-europe.com/risk/es @RISK, de Palisade, es un software general de análisis de riesgos. Existe versión en español y tiene coste. COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software -no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.". RA2 art of risk. Software de análisis de riesgos y soporte de SGSI. No es gratuito. www.njcu.edu/assoc/njcuitma/documents/addendums/... Ejemplo de análisis de impacto en el negocio realizado por Gartner. www.sans.org/reading_room/whitepapers/auditing/1664.php Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3. www.sans.org/reading_room/whitepapers/auditing/1204.php Whitepaper de SANS sobre gestión del riesgo. metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf Introducción al análisis y modelado de amenazas. Herramientas para directivos y gerentes www.dti.gov.uk/files/file9971.pdf Guía del aseguramiento del negocio del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9972.pdf Guía de seguridad de la información para directivos del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9981.pdf Introducción a la seguridad de la información para directivos del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9977.pdf Introducción a las principales amenazas de seguridad de la información para directivos de Pymes del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9973.pdf Introducción a la gestión del riesgo de "The International Underwriting Association" del Reino Unido. www.ssi.gouv.fr/es/confianza/tdbssi.html TDBSSI (Esquema Orientativo de la Seguridad de los Sistemas de Información). Herramienta de síntesis y de visualización para el seguimiento de las acciones vinculadas con la seguridad de la información, desarrollada por la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español. csrc.nist.gov/publications/nistpubs/800-100/NIST-SP-800-100.zip Guía de seguridad de la información para gerentes, del NIST (National Institute of Standards and Technology de EEUU). Governing for Enterprise Security, iniciativa del CERT de EEUU. Herramientas de auto-evaluación autoevaluacion.forosec.com/forosec Herramienta de auto-evaluación online en español del estado de la seguridad informática en una organización. ForoSec, basándose en controles de la ISO17799, presenta al usuario un cuestionario sobre procedimientos y técnicas de seguridad de la información en su organización y, en función de las respuestas, ofrece un diagnóstico de la situación, una clasificación en tres niveles según el grado de conformidad con la norma y unas recomendaciones de actuación para cada una de las cuestiones. www.securityhealthcheck.dti.gov.uk Auto-evaluación online del estado de la seguridad de la información en una organización, por el "Department of Trade and Industry" del Reino Unido. www.sans.org/score/ISO_17799checklist2.php Cuestionario de auto-evaluación para la verificación del estado de los controles de ISO 17799:2005 del SANS Institute en formatos PDF y WORD. www.snia.org/ssif/education/risk_assessment Auto-evaluación online como método de iniciación en conceptos y mejores prácticas de seguridad de la información del “Storage Security Industry Forum”. www.bitsinfo.org/downloads/Publications... Herramienta de BITs para la evaluación del riesgo operacional de la seguridad de la información. csrc.nist.gov/publications/nistir/ir7358/NISTIR-7358.pdf Program Review for Information Security Management Assistance (PRISMA) del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan de seguridad de la información. www.csoonline.com/read/030104/workdanger_a.html Auto-evaluación online que ayuda a evaluar el cumplimiento de escritorio despejado en una organización. Necesita de Flash Player 6. Herramientas de implantación de SGSI www.gammassl.co.uk/topics/ics/Brocv07forPDF.pdf AWICMSM (Advanced Web-based Internal Control Management System Methodology), junto con la metodología "Fast Track ISMS", es la herramienta comercial de implantación de ISO 27001 de la consultora inglesa "Gamma Secure Systems Limited". "Callio Secura 17799" es una herramienta software comercial para desarrollar, implantar, administrar y certificar un SGSI según las normas ISO 17799 / BS 7799 / UNE 71502. Proteus es un software comercial que cubre todas las fases de implantación de un SGSI. www.isms.jipdec.jp/doc/JIP-ISMS114-10E.pdf Guía de implantación de un SGSI en una organización médica. Guía en español de implantación de seguridad de la información en PyMEs. Herramientas de implantación de políticas www.ssi.gouv.fr/es/confianza/pssi.html La guía PSSI. Guía de redacción de políticas de seguridad de la información de la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español. www.arcert.gov.ar/politica/modelo.htm Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización). Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los Sistemas de las TIC en la Administración. Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002. www.sans.org/resources/policies Conjunto de plantillas de políticas de seguridad del SANS Institute. www.dti.gov.uk/files/file9985.pdf Guía de protección de activos de información del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file34331.pdf Guía de creación de una política de seguridad del "Department of Trade and Industry" del Reino Unido. www.dti.gov.uk/files/file9955.pdf Guía de tipos de políticas de seguridad de la información del "Department of Trade and Industry" del Reino Unido. www.cccure.org/Documents/Security_Policy/pol_guidefinal.pdf Guía de creación de una política de seguridad. csrc.nist.gov/publications/nistpubs/index.html Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas. Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad. www.noticebored.com/html/policy_manual.html Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito. Herramientas de concienciación y sensibilización www.criptored.upm.es/guiateoria/gt_m142r.htm "Concientización en seguridad de la información", una guía en español publicada por la Universidad de los Andes. [El término "concientización" se usa sobre todo en Hispanoamérica.] Guía de ENISA en español para la confección de un plan de concienciación en seguridad de la información. www.infosecuritylab.com/downloads.php Software de formación y concienciación en seguridad de la información. No gratuito. www.noticebored.com/index.html Conjunto de herramientas y servicios de concienciación. No gratuito. Larga lista de enlaces a otras páginas relacionadas con concienciación y seguridad de la información en general. www.educause.edu/content.asp?page_id=7103&bhcp=1 Videos de concienciación sobre seguridad informática. csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf "Building an Information Technology Security Awareness and Training Program". Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU. csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf "Information Technology Security Training Requirements: A Role- and Performance-Based Model". Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompañado de 2 anexos: AppendixA-D y Appendix_E. www.microsoft.com/technet/security/understanding/awareness.mspx Material y guías de concienciación gratuitos en inglés de Microsoft. www.iwar.org.uk/comsec/resources/sa-tools/ Conjunto de documentos de concienciación en seguridad de la información. www.iwar.org.uk/comsec/resources/ia-awareness-posters/ Posters para sensibilización en seguridad de la información. security.arizona.edu/presentations.html Conjunto de presentaciones en PowerPoint sobre concienciación en seguridad de la información de la Universidad de Arizona. www.noticebored.com/html/7_steps.html 7 pasos para diseñar un plan de sensibilización en seguridad de la información. www.bitsinfo.org/downloads/Publications... BITs, consorcio sin ánimo de lucro formado por CEOs, cuyos miembros pertenecen a 100 de las mayores instituciones de EEUU. Consideraciones clave para la seguridad de los datos en su almacenamiento y transporte. www.microsoft.com/downloads/... Guía de Microsoft de protección de la empresa frente a la ingeniería social. Venta de vídeos de concienciación en seguridad de la información en inglés. www2.norwich.edu/mkabay/infosecmgmt/videos/index.htm Resúmenes de videos de "Commonwealth Films" sobre concienciación en seguridad de la información. www.theiia.org/guidance/technology/gtag Global Technology Audit Guide (GTAG) del Institute of Internal Auditors. Una serie de guías para auditores de sistemas de información. www.ffiec.gov/ffiecinfobase/index.html Guías de auditoría de sistemas de información del Federal Financial Institutions Examination Council de EEUU. Normas, directrices y procedimientos de ISACA para auditores de sistemas de información. www.sans.org/score/checklists/ISO_17799_2005.doc Checklist de auditoría de los controles del Anexo A de ISO 27001. Herramientas de continuidad de negocio BS 25999: Estándar británico de gestión de continuidad de negocio en dos partes. www.thebci.org/gpgdownloadpage.htm Guía de buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute". www.thebci.org/10Standards.pdf Buenas prácticas de gestión de continuidad de negocio de "The Business Continuity Institute". www.dti.gov.uk/files/file9952.pdf Introducción a la gestión de continuidad de negocio del "Department of Trade and Industry" del Reino Unido. csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf Guía para planes de contingencia de sistemas TI. Publicada por el NIST (National Institute of Standards and Technology) de EEUU. Guía de continuidad de negocio para Pymes del gobierno australiano. www.redbooks.ibm.com/abstracts/sg246547.html?Open IBM System Storage Business Continuity: Part 1 Planning Guide www.redbooks.ibm.com/abstracts/sg246548.html?Open IBM System Storage Business Continuity: Part 2 Solutions Guide Principios de alto nivel de continuidad de negocio del Basel Committee on Banking Supervision. Office Shadow es un software comercial de planificación de la gestión de continuidad de negocio. www.strohlsystems.com/Software/LDRPS/default.asp LDRPS es un software comercial de planificación de la gestión de continuidad de negocio. Business Protector Gateway: software comercial de planificación de la gestión de continuidad de negocio. eBRP: software comercial de planificación de la gestión de continuidad de negocio. IMCD: software comercial de planificación de la gestión de continuidad de negocio. Software comercial de planificación de la gestión de continuidad de negocio. COOP: software comercial de planificación de la gestión de continuidad de negocio. www.evergreen-data.com/mitigator.html Mitigator: software comercial de planificación de la gestión de continuidad de negocio. TAMP: software comercial de planificación de la gestión de continuidad de negocio. Revive: software comercial de planificación de la gestión de continuidad de negocio. www.cpa-ltd.com/products_rpwin.htm RecoveryPAC: software comercial de planificación de la gestión de continuidad de negocio. |