Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¿Qué es un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e
imagen empresarial necesarios para lograr los objetivos de la organización y
asegurar beneficios económicos.
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una
sistemática definida, documentada y conocida por todos, que se revisa y
mejora constantemente.
Documentos de Nivel 1
Documentos de Nivel 2
Documentos de Nivel 3
Documentos de Nivel 4
De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):
Control de la documentación
– Identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
La organización deberá:
• Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva
de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Téngase en cuenta que no tiene que haber una secuencia estricta de las fases,
sino que, p. ej., puede haber actividades de implantación que ya se lleven a
cabo cuando otras de planificación aún no han finalizado; o que se monitoricen
controles que aún no están implantados en su totalidad.
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la
dirección se detallan en los siguientes puntos:
Compromiso de la dirección
Asignación de recursos
Formación y concienciación
• Recomendaciones de mejora.
• Necesidades de recursos.
ISO 27000
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de
gestión de seguridad de la información (SGSI) basado en ISO 27001.
Origen
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas
prácticas para la gestión de la seguridad de su información.
La serie 27000
Contenido
En esta sección se hace un breve resumen del contenido de las normas ISO
27001, ISO 27002, ISO 27006 e ISO 27799. Si desea acceder a las normas
completas, debe saber que éstas no son de libre difusión sino que han de ser
adquiridas.
http://www.iso.org/iso/en/prods-services/ISOstore/store.html
http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
ISO 27001:2005
Puede descargarse una lista de todos los controles que contiene esta norma
aquí: http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO 27006:2007
ISO 27799:2008
• Alcance
• Referencias (Normativas)
• Terminología
• Simbología
• Anexo A: Amenazas
Beneficios
¿Cómo adaptarse?
Planificación
Implementación
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
Seguimiento
• Medir la eficacia de los controles: para verificar que se cumple con los
requisitos de seguridad.
Mejora continua
Aspectos Clave
Fundamentales
• Organización y comunicación.
Factores de éxito
Riesgos
Consejos básicos
ISO/IEC 20000
Es el primer estándar internacional certificable para la gestión de servicios TI.
Proviene del estándar británico BS 15000.
ISO 20000-1: especificaciones en las cuales se describe la adopción de un
proceso de mejora integrado para el desempeño y gestión de los servicios
acorde a los requisitos del negocio y del cliente. Este documento comprende 10
secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de
gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación
e implantación de servicios nuevos o modificados”, “Proceso de entrega de
servicios”, “Procesos de relación”, “Procesos de resolución”, “Procesos de
control” y “Procesos de liberación”.
ISO 20000-2: código de prácticas donde se describen las mejores prácticas
para la gestión de los servicios y dentro del ámbito indicado por la norma ISO
20000-1.
ITIL
“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las
mejores prácticas en la gestión de servicios TI e incluye opciones que pueden
ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de
cada proveedor de servicios.
Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con
el consenso de BSI, itSMF y OGC, con el propósito de que los dos conjuntos
de publicaciones formen parte de la misma estructura lógica para mejor
comprensión en su publicación y difusión.
ITIL sirve de base para el estándar ISO 20000 y consta de 7 bloques
principales: “Managers Set”, “Service Support”, “Service Delivery”, “Software
Support”, “Networks”, “Computer Operations” y “Environmental”:
Las áreas cubiertas por ITIL en cada documento publicado por la OGC son:
CobiT
El IT Governance Institute fue establecido por ISACA (Information Systems
Audit and Control Association) en 1998 para aclarar y orientar en cuestiones
actuales y futuras relativas a la administración, seguridad y aseguramiento TI.
Como consecuencia de su rápida difusión internacional, ambas instituciones
UNE 71502:2004
Norma española certificable, desarrollada en base a BS7799-2:2002, que
establece las especificaciones para los sistemas de gestión de seguridad de la
información. Guarda relación con UNE-ISO/IEC17799:2002 mediante su Anexo
A.
Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la
Información, especifica los requisitos para establecer, implantar,
documentar y evaluar un SGSI dentro del contexto de los riesgos
identificados por la organización.
Fue publicada en Febrero de 2004 ante la perspectiva de la
publicación de la norma internacional para el 2008-2009. Sin embargo, la
publicación anticipada de ISO 27001 en el año 2005 acortó la vigencia de la
BS 7799-3
BSI (British Standards Institution) publicó en 2006 la tercera parte de BS 7799,
dedicada a la gestión de riesgos de seguridad de la información.
PAS 99
BSI (British Standards Institution) publicó en 2006 el documento PAS 99 (PAS
= Publicly Available Specification), que especifica los requisitos comunes de los
sistemas de gestión y puede ser utilizado por las organizaciones como un
marco de integración de sistemas.
Hoy en día, es bastante habitual que las organizaciones tengan
implantados varios sistemas de gestión: calidad según ISO 9001,
medio ambiente según ISO 14001, seguridad y salud laboral según
OHSAS 18001, seguridad de la información según ISO 27001... Todos estos
sistemas tienen metodologías, procesos, objetivos, documentación, etc., en
común, lo que abre el camino a la integración de los mismos en un solo
sistema de gestión, buscando sinergias, mejoras en la productividad, mayor
sencillez de uso y facilidad de implantación y mantenimiento.
PAS 99 da directrices sobre cómo abordar un proceso de integración de
sistemas de gestión, teniendo en cuenta los seis requisitos comunes
establecidos en la Guía ISO 72 y siguiendo el enfoque PDCA (Plan-Do-Check-
Act). BSI pone a disposición otras publicaciones relacionadas con la integración
de sistemas.
BS 25999
Cada vez resulta más importante para las empresas el disponer de planes de
continuidad de negocio que minimicen la inactividad de la organización en caso
de cualquier tipo de interrupción.
BSI (British Standards Institution) publicó en 2006 BS25999-1, que
es un código de buenas prácticas dedicado a la gestión de la
continuidad de negocio.
Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una
organización puede desarrollar e implementar la continuidad de negocio,
incluyendo una completa lista de controles basada en las mejores prácticas de
BCM (Business Continuity Management). Está pensada para su uso por
cualquier organización grande, mediana o pequeña, tanto del sector público
como privado.
En 2007, fue publicada BS 25999-2, que especifica los requisitos para
establecer, implementar, operar, supervisar, revisar, probar, mantener y
mejorar un sistema de gestión de continuidad de negocio documentado en el
BS 25777
BSI (British Standards Institution) publicó en 2006 un documento llamado PAS
77 (PAS = Publicly Available Specification), que es un código de buenas
prácticas que establece un marco y da unas directrices generales
para crear un plan de continuidad de servicios de tecnologías de la
información. Desarrollado por BSI en conjunto con Adam Continuity,
Dell Corporation, Unisys y SunGard, está orientado para organizaciones de
todo tipo.
BSI tiene el objetivo de desarrollar este documento PAS como un estándar
llamado BS 25777 a lo largo de 2008 y 2009.
Está previsto que en otoño de 2008 se publique BS 25777-1, que será un
código de buenas prácticas sobre cómo abordar la gestión de la continuidad de
servicios TI en una organización.
A finales de 2009, se publicará la segunda parte, BS 25777-2, que especificará
los requisitos para establecer, implementar, operar, supervisar, revisar, probar,
mantener y mejorar un sistema de gestión de continuidad de servicios TI. En
base a esta segunda parte, podrán ser auditados y certificados los sistemas de
gestión de las organizaciones por entidades de certificación.
Acceda directamente a cada una de ellas desde el menú del recuadro verde de
la izquierda o descargue en pdf el documento completo.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO
14001…). La propia norma ISO 27001 incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y
sus semejanzas en la documentación necesaria, con objeto de facilitar la
integración.
Auditoría y certificación
La entidad de certificación
El auditor
En este punto, hay pequeñas diferencias entre las entidades certificadoras, que
pueden formular requisitos distintos para homologar a sus auditores. Pero, en
general, la certificación de auditores se ciñe a la norma ISO 19011 de
directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la
competencia y evaluación de los auditores. Al auditor se le exigen una serie de
atributos personales, conocimientos y habilidades, educación formal,
experiencia laboral y formación como auditor.
www.iso27001certificates.com
Base de datos con todas las empresas certificadas en BS7799-2 e ISO
27001.
www.iso.org/...
Normas ISO de descarga gratuita relativas a tecnologías de la información.
www.aenor.es/...
Compra de normas UNE / ISO.
www.iso27000.es/download/ControlesISO27002-2005.pdf
Lista en español de los controles de ISO 27002:2005.
www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-
V2.pdf
Norma Técnica Peruana NTP-ISO/IEC 17799:2007, traducción al español de
ISO/IEC 27002:2005.
www.bsi-global.com/en/Shop/
Compra de normas de la "British Standards Institution".
www.oecd.org/dataoecd/15/29/34912912.pdf
Directrices de la OCDE para la seguridad de sistemas y redes de
información: hacia una cultura de seguridad. En español.
www.ism3.com
ISM3 (ISM Cubo) es un estándar de madurez de seguridad de la información
compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001,
desarrollado por el español Vicente Aceituno.
www.bsi.de/english/gshb/guidelines/guidelines.pdf
Guía en inglés de buenas prácticas de seguridad de la información del
"Bundesamt für Sicherheit in der Informationstechnik" de Alemania.
www.bsi.de/english/gshb/manual/index.htm
"IT-Grundschutz", manual de más de 2.300 páginas sobre gestión de
seguridad de la información editado por el "Bundesamt für Sicherheit in der
www.bsi.de/english/...
Estándar de requerimientos generales de un SGSI según el "Bundesamt für
Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO
27001, entre otras normas.
www.bsi.de/english/...
Metodología de gestión de seguridad de la información del "Bundesamt für
Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO
27001, entre otras normas.
www.dsd.gov.au/library/infosec/acsi33.html
Manual de seguridad TIC en inglés del gobierno australiano (ACSI 33).
www.isfsecuritystandard.com
Estándar de seguridad de la información del "Information Security Forum".
www.isaca.org/cobit
CobiT (Control Objectives for Information and related Technology). Marco
para el buen gobierno de las TI. Versiones en diversos idiomas, incluido
español.
www.isaca.org/...
Guía de alineamiento de CobiT, ITIL e ISO 17799.
www.isaca.org/...
Guía de alineamiento de CobiT con múltiples estándares.
www.isecom.org/osstmm
OSSTMM (Open Source Security Testing Methodology Manual). También en
español.
cordis.europa.eu/infosec/src/down.htm
ITSEC (Information Technology Security Evaluation Criteria). Editado por la
Comisión Europea.
cordis.europa.eu/infosec/src/down.htm
ITSEM (Information Technology Security Evaluation Manual). Editado por la
Comisión Europea.
www.tisn.gov.au/agd/...
Manual de gestión de ataques DoS y DDoS del Trusted Information Sharing
Network de Australia.
www.frc.org.uk/...
www.theiia.org/guidance/technology/gait
Guide to the Assessment of IT General Controls Scope Based on Risk (GAIT)
del Institute of Internal Auditors. Metodología de evaluación de controles de
tecnologías de la información. Sirve de apoyo para la implantación de
Sarbanes-Oxley.
csrc.nist.gov/publications/CSD_DocsGuide.pdf
Resumen de todas las guías publicadas por NIST (National Institute of
Standards and Technology de EEUU).
csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf
Guía de métricas de seguridad. Publicada por NIST (National Institute of
Standards and Technology de EEUU).
csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf
Borrador de la guía de desarrollo de métricas de seguridad. Publicada por
NIST (National Institute of Standards and Technology) de EEUU.
www.iso27001security.com/ISO_27000_implementation_guidance_v1_Spanish
.rtf
Versión en español de la guía de implantación y de métricas para cada
objetivo de control de ISO 27002 publicada por el "ISO27k implementers’
forum".
www.infodev-security.net/handbook
Manual de seguridad de las tecnologías de la información para países en vías
de desarrollo del Banco Mundial.
www.isaca.org/Template.cfm...
IT Control Objectives for Sarbanes-Oxley. Publicada por IT Governance
Institute.
www.ncinfragard.org/pdf/...
Guía de aseguramiento de activos críticos de información. Publicada por la
Critical Infrastructure Assurance Office de EEUU.
www.fas.org/irp/offdocs/dcid6-9.pdf
Directiva de EEUU sobre seguridad física de edificios e instalaciones.
www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1
Guías de configuración de seguridad de la National Security Agency de
EEUU.
wiki.internet2.edu/...
Guía de prácticas y soluciones de seguridad TI.
www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-
ES.pdf
Guía en español de creación de un equipo de respuesta a incidentes de
seguridad informática.
www.sans.org/reading_room/whitepapers/incident/1791.php
Propuesta de proceso de gestión de incidentes de seguridad para Pymes.
www2.norwich.edu/mkabay/infosecmgmt/csirtm.pdf
Cómo gestionar un equipo de respuesta a incidentes de seguridad
informática.
portal.aragob.es/pls...
Guía básica en español de seguridad para Pymes y autónomos (Gobierno de
Aragón).
www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf
Guía en español de gestión de la seguridad de la información para Pymes
(Gobierno Región de Murcia).
www.sabsa-institute.org
SABSA, una metodología de desarrollo de arquitecturas de seguridad
corporativas.
pegasus.javeriana.edu.co/~regisegu/
Guía en español de una metodología para la gestión centralizada de registro
de eventos de seguridad en Pymes.
www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030168495
PAS 99:2006, Especificación de los requisitos comunes del sistema de
gestión como marco para la integración. Guía de BSI (British Standards
Institution) en español de cómo integrar diversos sistemas de gestión.
www.treasury.nsw.gov.au/procurement/ict-map
Mapa de procesos TIC con procedimientos documentados del gobierno de
Nueva Gales del Sur.
www.gcio.nsw.gov.au/library/a-to-z
Biblioteca de procedimientos documentados de procesos TIC del gobierno de
Nueva Gales del Sur.
www.enisa.europa.eu/rmra/rm_home.html
Inventario de metodologías y herramientas de análisis y gestión de riesgos de
ENISA (European Network and Information Security Agency). Incluye sistema
de comparativas.
www.enisa.europa.eu/rmra/...
Guía de evaluación y gestión del riesgo para Pymes.
www.csi.map.es/csi/pg5m20.htm
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información), promovida por el Ministerio de Administraciones Públicas de
España.
www.ar-tools.com
EAR (Entorno de análisis de riesgos). Herramienta en español, basada en
Magerit, no gratuita. Diseñada por José Antonio Mañas, redactor de Magerit.
www.ar-tools.com/pilar
PILAR. Herramienta de análisis de riesgos, basada en Magerit, en español,
exclusiva para las Administraciones Públicas españolas. Diseñada por José
Antonio Mañas, redactor de Magerit.
www.sigea.es
GxSGSI. Software de análisis de riesgos, en español, de la empresa SIGEA.
www.bsi-global.com/en/Shop...
BS 7799-3:2006 es el estándar de gestión del riesgo de la seguridad de la
información de la British Standards Institution.
www.saiglobal.com/shop/script/...
AS/NZS 4360:2004 es el estándar australiano de gestión de riesgos de la
seguridad de la información, de amplia difusión internacional.
www.ssi.gouv.fr/es/confianza/ebiospresentation.html
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).
Metodología de gestión de los riesgos de seguridad de sistemas de
información desarrollada por la "Direction Centrale de la Sécurité des
Systèmes d’Information" francesa. Disponible en español. Está acompañada
por un software multilingüe -francés, inglés, alemán, español- con
descargables para varias plataformas -Windows, Linux, Solaris-.
www.bsi.de/english/...
Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der
Informationstechnik" de Alemania.
www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES
MEHARI (Méthode Harmonisée d'Analyse de Risques). Método de análisis y
gestión del riesgo desarrollado por el Clusif (Club de la Sécurité des
Systèmes d’Information Français).
www.cert.org/octave
oattool.aticorp.org/Tool_Info.html
Octave Automated Tool es un software -no gratuito- que implementa la
metodología de evaluación de riesgos OCTAVE.
www.cramm.com
CRAMM (CCTA Risk Analysis and Management Method). Metodología y
herramienta de análisis y gestión de riesgos desarrollada por la "Central
Computer and Telecommunications Agency" del Reino Unido y gestionada
por "Insight Consulting Limited" (Grupo Siemens). Existe en versión Expert y
Express, incluye software y no es gratuita.
www.riskwatch.com/products/isa.asp
RiskWatch es un software no gratuito de realización de análisis de riesgos.
www.securityforum.org/html/current_iram.htm
IRAM (Information Risk Analysis Methodologies) es una metodología de
análisis de riesgos del Information Security Forum sólo disponible para sus
miembros.
www.securityforum.org/html/sample.htm#ira
FIRM (Fundamental Information Risk Management) es una metodología de
gestión de riesgos del Information Security Forum sólo disponible para sus
miembros.
www.citicus.com/oursoftware_softwarecapabilities.asp
Citicus ONE es un software comercial (disponible en varios idiomas, pero no
en español) de gestión de riesgos de seguridad de la información, basado en
la metodología FIRM.
csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
"Risk management guide for information technology systems". Publicada por
NIST (National Institute of Standards and Technology) de EEUU.
www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg-e.html
Guías en inglés de evaluación de riesgos de sistemas de información del
"Canadian Government Communications Security Establishment".
Documentos ITSG-04, MG-2, MG-3 y MG-4.
www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg-f.html
Guías en francés de evaluación de riesgos de sistemas de información del
"Canadian Government Communications Security Establishment".
Documentos ITSG-04, MG-2, MG-3 y MG-4.
EDSEL ENRIQUE URUEÑA LEÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI
www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-001_e.pdf
Guía en inglés de evaluación de riesgos de la Policía de Canadá.
www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-001_f.pdf
Guía en francés de evaluación de riesgos de la Policía de Canadá.
www.theirm.org/...
Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (en español).
www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/de
fault.mspx
Security Risk Management Guide de Microsoft.
www.palisade-europe.com/risk/es
@RISK, de Palisade, es un software general de análisis de riesgos. Existe
versión en español y tiene coste.
www.riskworld.net
COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software -
no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".
www.aexis.de/RA2ToolPage.htm
RA2 art of risk. Software de análisis de riesgos y soporte de SGSI. No es
gratuito.
www.njcu.edu/assoc/njcuitma/documents/addendums/...
Ejemplo de análisis de impacto en el negocio realizado por Gartner.
www.sans.org/reading_room/whitepapers/auditing/1664.php
Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3.
www.sans.org/reading_room/whitepapers/auditing/1204.php
Whitepaper de SANS sobre gestión del riesgo.
metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf
Introducción al análisis y modelado de amenazas.
www.asisonline.org/guidelines/guidelinesgsra.pdf
Guía de evaluación de riesgos de seguridad de ASIS.
www.fdic.gov/news/news/financial/2004/FIL11404a.html
Directrices para la gestión del riesgo por uso de aplicaciones de software
libre.
www.dti.gov.uk/files/file9971.pdf
Guía del aseguramiento del negocio del "Department of Trade and Industry"
del Reino Unido.
www.dti.gov.uk/files/file9972.pdf
Guía de seguridad de la información para directivos del "Department of Trade
and Industry" del Reino Unido.
www.dti.gov.uk/files/file9981.pdf
Introducción a la seguridad de la información para directivos del "Department
of Trade and Industry" del Reino Unido.
www.dti.gov.uk/files/file9977.pdf
Introducción a las principales amenazas de seguridad de la información para
directivos de Pymes del "Department of Trade and Industry" del Reino Unido.
www.dti.gov.uk/files/file9973.pdf
Introducción a la gestión del riesgo de "The International Underwriting
Association" del Reino Unido.
www.ssi.gouv.fr/es/confianza/tdbssi.html
TDBSSI (Esquema Orientativo de la Seguridad de los Sistemas de
Información). Herramienta de síntesis y de visualización para el seguimiento
de las acciones vinculadas con la seguridad de la información, desarrollada
por la "Direction Centrale de la Sécurité des Systèmes d’Information"
francesa. Disponible en español.
csrc.nist.gov/publications/nistpubs/800-100/NIST-SP-800-100.zip
Guía de seguridad de la información para gerentes, del NIST (National
Institute of Standards and Technology de EEUU).
www.cert.org/governance
Governing for Enterprise Security, iniciativa del CERT de EEUU.
www.asisonline.org/guidelines/guidelineschief.pdf
Guía del CSO (Chief Security Officer), publicada por ASIS.
Herramientas de auto-evaluación
autoevaluacion.forosec.com/forosec
Herramienta de auto-evaluación online en español del estado de la seguridad
informática en una organización. ForoSec, basándose en controles de la
ISO17799, presenta al usuario un cuestionario sobre procedimientos y
técnicas de seguridad de la información en su organización y, en función de
las respuestas, ofrece un diagnóstico de la situación, una clasificación en tres
niveles según el grado de conformidad con la norma y unas
recomendaciones de actuación para cada una de las cuestiones.
www.securityhealthcheck.dti.gov.uk
Auto-evaluación online del estado de la seguridad de la información en una
organización, por el "Department of Trade and Industry" del Reino Unido.
www.sans.org/score/ISO_17799checklist2.php
Cuestionario de auto-evaluación para la verificación del estado de los
controles de ISO 17799:2005 del SANS Institute en formatos PDF y WORD.
www.snia.org/ssif/education/risk_assessment
Auto-evaluación online como método de iniciación en conceptos y mejores
prácticas de seguridad de la información del “Storage Security Industry
Forum”.
www.educause.edu/ir/library/pdf/SEC0421.pdf
Auto-evaluación de seguridad de la información para Universidades.
www.bitsinfo.org/downloads/Publications...
Herramienta de BITs para la evaluación del riesgo operacional de la
seguridad de la información.
csrc.nist.gov/publications/nistir/ir7358/NISTIR-7358.pdf
Program Review for Information Security Management Assistance (PRISMA)
del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan
de seguridad de la información.
www.csoonline.com/read/030104/workdanger_a.html
Auto-evaluación online que ayuda a evaluar el cumplimiento de escritorio
despejado en una organización. Necesita de Flash Player 6.
www.interpol.int/Public/TechnologyCrime/CrimePrev/companyChecklist.asp
Checklist sobre seguridad de la información de la INTERPOL.
www.audisec.es
Global SGSI es la herramienta de gestión de SGSIs de la consultora
española Audisec. Cubre la evaluación de riesgos y las distintas etapas del
ciclo de vida de un SGSI.
www.ecija.com/v1/images2005/SGSI.pdf
Écija SGSI es la herramienta de gestión de SGSIs de la consultora española
Écija. Cubre la evaluación de riesgos y las distintas etapas del ciclo de vida
de un SGSI.
isms.axur.net
Axur ISMS es una herramienta de gestión de un SGSI, incluyendo evaluación
de riesgos. Está disponible en inglés y, progresivamente, en otros idiomas.
www.gammassl.co.uk/topics/ics/Brocv07forPDF.pdf
AWICMSM (Advanced Web-based Internal Control Management System
Methodology), junto con la metodología "Fast Track ISMS", es la herramienta
comercial de implantación de ISO 27001 de la consultora inglesa "Gamma
Secure Systems Limited".
www.callio.com
"Callio Secura 17799" es una herramienta software comercial para
desarrollar, implantar, administrar y certificar un SGSI según las normas ISO
17799 / BS 7799 / UNE 71502.
www.infogov.co.uk/...
Proteus es un software comercial que cubre todas las fases de implantación
de un SGSI. Disponible en español.
www.isms.jipdec.jp/doc/JIP-ISMS114-10E.pdf
Guía de implantación de un SGSI en una organización médica.
www.atsec.com/downloads/pdf/iso-27001/ISMS-Implementation-Guide-and-
Examples.pdf
Guía de implantación de un SGSI con consejos y ejemplos.
www.gcio.nsw.gov.au/documents/Information%20Security%20Guideline%20V1.
1.pdf
Guía de implantación de un SGSI con consejos y recomendaciones del
gobierno de Nueva Gales del Sur.
www.is2me.org
Metodología en español de implantación de seguridad de la información en
PyMEs.
csrc.nist.gov/publications/nistpubs/...
Guía 800-53 de implantación de controles de seguridad de la información del
NIST (National Institute of Standards and Technology) de EEUU.
checklists.nist.gov/repository/category.html
NIST Security Configuration Checklists Repository: un conjunto de listas de
comprobación relativas a la seguridad en los más diversos sistemas
informáticos.
www.iso27001security.com/ISO_27000_implementation_guidance_v1_Spanish
.rtf
Versión en español de la guía de implantación y de métricas para cada
objetivo de control de ISO 27002 publicada por el "ISO27k implementers’
forum".
docs.google.com/View?docid=dgc8zfmj_6c3vp4w
www.iso.org/iso/iso_catalogue/...
Documento ISO/TC 176/SC 2/N544R2(r) que expone el enfoque por
procesos.
www.ssi.gouv.fr/es/confianza/pssi.html
La guía PSSI. Guía de redacción de políticas de seguridad de la información
de la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa.
Disponible en español.
www.arcert.gov.ar/politica/modelo.htm
Modelo de Política de Seguridad de la Información para la Administración de
Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799
homologada por IRAM, Instituto Argentino de Normalización).
www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_e.asp
Política de Seguridad del Gobierno de Canadá. En inglés.
www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_f.asp
Política de Seguridad del Gobierno de Canadá. En francés.
www.ccn.cni.es/series.html
Los documentos CCN-STIC del Centro Criptológico Nacional español
incluyen normas, instrucciones, guías y recomendaciones para garantizar la
seguridad de los Sistemas de las TIC en la Administración.
www.ucisa.ac.uk/ist
Toolkit de la "Universities and Colleges Information Systems Association" del
Reino Unido para la generación de políticas de seguridad de la información
basado en BS-7799:2002.
www.sans.org/resources/policies
Conjunto de plantillas de políticas de seguridad del SANS Institute.
www.dti.gov.uk/files/file9985.pdf
Guía de protección de activos de información del "Department of Trade and
Industry" del Reino Unido.
www.dti.gov.uk/files/file34331.pdf
Guía de creación de una política de seguridad del "Department of Trade and
Industry" del Reino Unido.
www.dti.gov.uk/files/file9955.pdf
www.cccure.org/Documents/Security_Policy/pol_guidefinal.pdf
Guía de creación de una política de seguridad.
csrc.nist.gov/publications/nistpubs/index.html
Guías sobre distintos aspectos técnicos de la seguridad de la información del
NIST (National Institute of Standards and Technology) de EEUU. Sirven de
apoyo a la hora de redactar políticas.
www.isaca.org/...
Muchas de las directrices de ISACA para auditores de sistemas de
información son útiles también como apoyo para redactar políticas de
seguridad.
www.noticebored.com/html/policy_manual.html
Plantilla para manual de políticas de seguridad de la información basado en
ISO 17799. No gratuito.
www.sans.org/reading_room/whitepapers/policyissues/1331.php
Guía de desarrollo de una política de seguridad de la información.
www.senado.es/legis8/publicaciones/pdf/senado/bocg/I0041.PDF
Normativa de uso de sistemas de información del Senado español.
www.criptored.upm.es/guiateoria/gt_m142r.htm
"Concientización en seguridad de la información", una guía en español
publicada por la Universidad de los Andes. [El término "concientización" se
usa sobre todo en Hispanoamérica.]
www.enisa.europa.eu/...
Guía de ENISA en español para la confección de un plan de concienciación
en seguridad de la información.
www.enisa.europa.eu/...
Guía de ENISA en inglés sobre planes de concienciación en seguridad y la
medición de su eficacia.
www.cse-cst.gc.ca/tutorials/english/toc.htm
Programa de formación de introducción a la seguridad de la información para
técnicos de TI en inglés del Gobierno de Canadá.
www.cse-cst.gc.ca/tutorials/french/toc.htm
www.infosecuritylab.com/downloads.php
Software de formación y concienciación en seguridad de la información. No
gratuito.
www.noticebored.com/index.html
Conjunto de herramientas y servicios de concienciación. No gratuito.
www.thesecurityawarenesscompany.com
Conjunto de herramientas y servicios de concienciación. No gratuito.
www.ussecurityawareness.org
Larga lista de enlaces a otras páginas relacionadas con concienciación y
seguridad de la información en general.
www.educause.edu/content.asp?page_id=7103&bhcp=1
Videos de concienciación sobre seguridad informática.
csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf
"Building an Information Technology Security Awareness and Training
Program". Guía para generar un plan de concienciación y formación en
seguridad de la información publicado por el NIST (National Institute of
Standards and Technology) de EEUU.
csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf
"Information Technology Security Training Requirements: A Role- and
Performance-Based Model". Guía para un plan de formación basado en
funciones y responsabilidades publicado por el NIST (National Institute of
Standards and Technology) de EEUU. Va acompañado de 2 anexos:
AppendixA-D y Appendix_E.
Improving_Security_from_the_Inside_Out_NSI
NSI (National Security Institute) contribuye con este documento que trata la
concienciación interna en seguridad, que la dirección la compre, ir más allá
de políticas, construcción de un comportamiento que se base en un modelo,
entre otros.
www.microsoft.com/technet/security/understanding/awareness.mspx
Material y guías de concienciación gratuitos en inglés de Microsoft (120 MB).
www.iwar.org.uk/comsec/resources/sa-tools/
Conjunto de documentos de concienciación en seguridad de la información.
www.iwar.org.uk/comsec/resources/ia-awareness-posters/
Posters de sensibilización en seguridad de la información.
security.arizona.edu/presentations.html
Conjunto de presentaciones en PowerPoint sobre concienciación en
seguridad de la información de la Universidad de Arizona.
www.noticebored.com/html/7_steps.html
7 pasos para diseñar un plan de sensibilización en seguridad de la
información.
www.bitsinfo.org/downloads/Publications...
BITs, consorcio sin ánimo de lucro formado por CEOs, cuyos miembros
pertenecen a 100 de las mayores instituciones de EEUU. Consideraciones
clave para la seguridad de los datos en su almacenamiento y transporte.
www.microsoft.com/downloads/...
Guía de Microsoft de protección de la empresa frente a la ingeniería social.
www.commonwealthfilms.com
Venta de vídeos de concienciación en seguridad de la información en inglés.
www2.norwich.edu/mkabay/infosecmgmt/videos/index.htm
Resúmenes de videos de "Commonwealth Films" sobre concienciación en
seguridad de la información.
www.rcmp-grc.gc.ca/tsb/pubs/phys_sec/g1-030_e.htm
Guía en inglés de concienciación en seguridad de la Policía de Canadá.
www.rcmp-grc.gc.ca/tsb/pubs/phys_sec/g1-030_f.htm
Guía en francés de concienciación en seguridad de la Policía de Canadá.
www.infosecwriters.com/text_resources/pdf/Improving_Security_from_the_Insid
e_Out_NSI.pdf
Documento con recomendaciones para un plan de concienciación del
National Security Institute de EEUU.
www.securitycartoon.com
Una viñeta diaria orientada a la concienciación de usuarios en seguridad de
la información.
Herramientas de auditoría
www.theiia.org/guidance/technology/gtag
Global Technology Audit Guide (GTAG) del Institute of Internal Auditors. Una
serie de guías para auditores de sistemas de información.
www.ffiec.gov/ffiecinfobase/index.html
www.isaca.org/...
Normas, directrices y procedimientos de ISACA para auditores de sistemas
de información.
www.sans.org/score/checklists/ISO_17799_2005.doc
Checklist de auditoría de los controles del Anexo A de ISO 27001.
iase.disa.mil/stigs/checklist/index.html
Checklists de seguridad de sistemas del Information Assurance Support
Environment.
www.iso.org/tc176/ISO9001AuditingPracticesGroup
Guías de auditoría en inglés del ISO 9001 Auditing Practices Group.
www.inlac.org/documentos.html
Traducción al español de las guías de auditoría en inglés del ISO 9001
Auditing Practices Group.
www.bsi-global.com/...
BS 25999-1: Estándar británico de buenas prácticas de gestión de
continuidad de negocio.
www.bsi-global.com/...
BS 25999-2: Estándar británico certificable que indica los requisitos para un
sistema de gestión de continuidad de negocio.
www.thebci.org/gpgdownloadpage.htm
Guía de buenas prácticas de gestión de continuidad de negocio de "The
Business Continuity Institute".
www.thebci.org/10Standards.pdf
Buenas prácticas de gestión de continuidad de negocio de "The Business
Continuity Institute".
www.singaporestandardseshop.sg/product/...
Estándar SS507:2004 de Singapur sobre continuidad de negocio y
recuperación de desastres.
www.dti.gov.uk/files/file9952.pdf
Introducción a la gestión de continuidad de negocio del "Department of Trade
and Industry" del Reino Unido.
csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf
Guía para planes de contingencia de sistemas TI. Publicada por el NIST
(National Institute of Standards and Technology) de EEUU.
www.drii.org/DRII/ProfessionalPractices/about_professional_detail.aspx
Prácticas profesionales de continuidad de negocio del Disaster Recovery
Institute International.
www.tisn.gov.au/agd/...
Guía de continuidad de negocio para Pymes del gobierno australiano.
www.nfpa.org/assets/files/PDF/CodesStandards/1600-2007.pdf
Estándar de gestión de desastres y planes de continuidad de negocio de la
National Fire Protection Association de EEUU.
www.ongei.gob.pe/seguridad/seguridad2_archivos/Lib5131/Libro.pdf
Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de
Información del Gobierno de Perú.
www.ibhs.org/business_protection/ofb_toolkit.asp
Guía práctica de continuidad de negocio para Pymes del Institute for
Business & Home Safety de EEUU.
www.asisonline.org/guidelines/guidelinesbc.pdf
Guía de continuidad de negocio de ASIS.
www.ffiec.gov/ffiecinfobase/booklets/bcp/bus_continuity_plan.pdf
Guía de evaluación de continuidad de negocio en instituciones financieras del
FFIEC de EEUU.
www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf
Guía de implantación de BS 25999 publicada por Avalution Consulting y BSI
Americas.
www.redbooks.ibm.com/abstracts/sg246547.html?Open
IBM System Storage Business Continuity: Part 1 Planning Guide.
www.redbooks.ibm.com/abstracts/sg246548.html?Open
IBM System Storage Business Continuity: Part 2 Solutions Guide.
www.bis.org/publ/joint17.pdf
Principios de alto nivel de continuidad de negocio del Basel Committee on
Banking Supervision.
www.sans.org/reading_room/whitepapers/recovery/1658.php
Cómo realizar un Business Impact Analysis (BIA).
www.continuitycentral.com/feature0501.htm
Checklist de continuidad de negocio para pequeñas empresas
www.office-shadow.com
Office Shadow es un software comercial de planificación de la gestión de
continuidad de negocio.
www.strohlsystems.com/Software/LDRPS/default.asp
LDRPS es un software comercial de planificación de la gestión de continuidad
de negocio.
www.businessprotection.com
Business Protector Gateway: software comercial de planificación de la
gestión de continuidad de negocio.
www.ebrp.net
eBRP: software comercial de planificación de la gestión de continuidad de
negocio.
www.contingenz.com
IMCD: software comercial de planificación de la gestión de continuidad de
negocio.
www.mcqsoft.com
Software comercial de planificación de la gestión de continuidad de negocio.
www.coop-systems.com
COOP: software comercial de planificación de la gestión de continuidad de
negocio.
www.evergreen-data.com/mitigator.html
Mitigator: software comercial de planificación de la gestión de continuidad de
negocio.
www.drsbytamp.com
TAMP: software comercial de planificación de la gestión de continuidad de
negocio.
www.linusrevive.com
Revive: software comercial de planificación de la gestión de continuidad de
negocio.
www.cpa-ltd.com/products_rpwin.htm
RecoveryPAC: software comercial de planificación de la gestión de
continuidad de negocio.
www.cpacsweb.com/recpac.html
¿Qué es ISO?
ISO (International Organization for Standardization) es una federación
internacional con sede en Ginebra (Suiza) de los institutos de normalización de
157 países (uno por cada país). Es una organización no gubernamental (sus
miembros no son delegados de gobiernos nacionales), puesto que el origen de
los institutos de normalización nacionales es diferente en los distintos países
(público, privado…).
ISO desarrolla estándares requeridos por el mercado que representen un
consenso de sus miembros (previo consenso nacional entre industrias,
expertos, gobierno, usuarios, consumidores…) acerca de productos,
tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de
aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da
autoridad legal para forzar su implantación. Sólo en aquellos casos en los que
un país ha decidido adoptar un determinado estándar como parte de su
legislación, puede convertirse en obligatorio.
ISO garantiza un marco de amplia aceptación mundial a través de los 3000
grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.
¿Qué es un estándar?
Es una publicación que recoge el trabajo en común de los comités de
fabricantes, usuarios, organizaciones, departamentos de gobierno y
consumidores y que contiene las especificaciones técnicas y mejores prácticas
en la experiencia profesional con el objeto de ser utilizada como regulación,
guía o definición para las necesidades demandadas por la sociedad y
tecnología.
Los estándares ayudan a aumentar la fiabilidad y efectividad de materiales,
productos, procesos o servicios que utilizan todas las partes interesadas
(productores, vendedores, compradores, usuarios y reguladores).
En principio, son de uso voluntario, aunque la legislación y las
reglamentaciones nacionales pueden hacer referencia a ellos.
¿Qué tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada
17799)?
ISO 27002 es un conjunto de buenas prácticas en seguridad de la información.
Contiene 133 controles aplicables (en relación a la gestión de la continuidad de
negocio, la gestión de incidentes de seguridad, control de accesos o regulación
de las actividades del personal interno o externo, entre otros muchos), que
ayudarán a la organización a implantar medidas que reduzcan sus riesgos en
cuanto a seguridad de la información. Su origen está en la norma de BSI
(British Standards Institution) BS7799-Parte 1, que fue publicada por primera
vez en 1995. No es certificable.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
27002 para su posible aplicación en el SGSI que implante cada organización
(justificando, en el documento denominado “Declaración de Aplicabilidad”, los
motivos de exclusión de aquellos que finalmente no sean necesarios). ISO
27002 es para ISO 27001, por tanto, una relación de controles necesarios para
garantizar la seguridad de la información.
A partir del 1 de Julio de 2007, ISO 17799:2005 pasó a denominarse ISO
27002:2005, cambiando únicamente su nomenclatura.
¿ISO 27001 tiene que ver sólo con la seguridad informática de una
empresa?
La información crítica de una empresa está presente en los sistemas
informáticos, pero también en papel, en diferentes tipos de archivos y soportes,
se transmite a terceros, se muestra en diversos formatos audiovisuales, se
comparte en conversaciones telefónicas y reuniones y está presente en el
propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un
marco de gestión de la seguridad de toda la información de la empresa.
ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO
9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de
riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la
integración de todos ellos en un solo sistema de gestión. La propia norma
incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con
ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación
necesaria para facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea
posible y práctico. En el caso ideal, es posible llegar a un solo sistema de
gestión y control de la actividad de la organización, que se puede auditar en
cada momento desde la perspectiva de la seguridad de la información, la
calidad, el medio ambiente o cualquier otra.
Nuestra sección de Artículos (http://www.iso27000.es/articulos.html) contiene
referencias específicas y experiencias sobre este tema.
SGSI
¿Qué es un SGSI?
Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta
gestión debe realizarse mediante un proceso sistemático, documentado y
conocido por toda la organización. Podría considerarse, por analogía con una
norma tan conocida como la ISO 9000, como el sistema de calidad para la
seguridad de la información.
El propósito de un sistema de gestión de la seguridad de la información no es
garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los
riesgos de la seguridad de la información son conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, continua, repetible, eficiente y adaptada a los
cambios que se produzcan en la organización, los riesgos, el entorno y las
tecnologías.
¿Qué es un ISMS?
Son las siglas en inglés (Information Security Management System) de SGSI
(Sistema de Gestión de Seguridad de la Información).
Certificación
GLOSARIO
Acción correctiva
Acción preventiva
Accreditation body
Activo
Alcance
Alerta
Amenaza
Análisis de riesgos
Asset
Véase: Activo.
Assets inventory
Audit
Véase: Auditoría.
Auditor
Auditor jefe
Auditoría
Autenticación
Authentication
Véase: Autenticación.
Availability
Véase: Disponibilidad.
BS7799
BSI
Certification body
CIA
CID
CISA
CISM
CISSP
CCEB
Checklist
Lista de apoyo para el auditor con los puntos a auditar, que ayuda a
mantener claros los objetivos de la auditoría, sirve de evidencia del plan
de auditoría, asegura su continuidad y profundidad y reduce los
prejuicios del auditor y su carga de trabajo. Este tipo de listas también se
pueden utilizar durante la implantación del SGSI para facilitar su
desarrollo.
CobiT
Compromiso de la Dirección
Confidencialidad
Confidenciality
Véase: Confidencialidad.
Contramedida
Control
Control correctivo
Control detectivo
Control disuasorio
Control preventivo
Control selection
Corrective action
Corrective control
COSO
Countermeasure
Declaración de aplicabilidad
Desastre
Detective control
Deterrent control
Directiva
Disaster
Véase: Desastre.
Disponibilidad
DRII
DTI
EDPAF
ENAC
Entidad de acreditación
Entidad de certificación
ESF
Evaluación de riesgos
Evento
Evidencia objetiva
Fase 1 de la auditoría
Fase 2 de la auditoría
Gestión de claves
Gestión de riesgos
Guideline
Véase: Directiva.
Humphreys, Ted
I4
IBAG
IEC
IIA
Impacto
Impact
Véase: Impacto.
Incidente
Véase: SGSI.
Information security
INFOSEC
Integridad
Integrity
Véase: Integridad.
Inventario de activos
IRCA
ISACA
ISACF
ISC2
ISMS
ISO
ISO 17799
ISO 19011
ISO 27001
ISO 27002
ISO 9000
ISO/IEC TR 13335-3
ISO/IEC TR 18044
ISSA
ISSAP
ISSEP
ISSMP
ITIL
ITSEC
JTC1
Key management
Lead auditor
Major nonconformity
Management commitment
NBS
NIST
No conformidad
No conformidad grave
Nonconformity
Véase: No conformidad.
Objective evidence
Objetivo
OCDE
PDCA
Política de seguridad
Preventive action
Preventive control
Residual Risk
Riesgo
Riesgo Residual
Risk
Véase: Riesgo.
Risk acceptance
Risk analysis
Risk assessment
Risk evaluation
Risk management
Risk treatment
Safeguard
Salvaguardia
Sarbanes-Oxley
Scope
Véase: Alcance.
Security Policy
Segregación de tareas
Segregation of duties
Seguridad de la información
Selección de controles
SGSI
SOA
SSCP
Statement of Applicability
TCSEC
Threat
Véase: Amenaza.
TickIT
Tratamiento de riesgos
UNE 71502
Valoración de riesgos
Vulnerabilidad
Vulnerability
Véase: Vulnerabilidad.