Destacamos

 Se autoriza a la Asociación Española de Normalización y Certificación, para asumir funciones de normalización en el ámbito de la «Igualdad de oportunidades entre mujeres y hombres en la gestión empresarial».
 
ISO 27000
ISO 27001: Sistemas de gestión de la seguridad de la información
Esto es un fichero XML de noticias para lector RSS. La página principal HMTL para navegador está en: http://WWW.ISO27000.ES

ISO 27001: Sistemas de gestión de la seguridad de la información

  • Información y recursos para la implantación de Sistemas de Gestión de Seguridad de la Información certificables en ISO 27001. Abónese a las Noticias vía RSS.

    Noticias a pantalla completa y texto regulable en formato Básico o Clásico.




  • Nuevos retos para un futuro + seguro tendrá lugar el próximo 30 de Noviembre.

    Las jornadas en otoño del ISMS Forum tienen lugar fuera de Madrid y en esta ocasión de nuevo en Barcelona gracias a la colaboración de Agbar. Esta VIII Jornada se celebrará en su emblemática Torre en el centro de la ciudad.

    El evento contará como siempre con expertos internacionales de primer nivel. La antesala del evento estará compuesta por dos eventos que tendrán lugar el día 29 de Nov: uno del Data Privacy Institute, y otro del capítulo español de Cloud Security Alliance.

    Información completa en ISMS Forum


  • La Cámara Oficial de Comercio e Industria de Segovia organiza esta jornada para el próximo 7 de octubre de 2010 en horario de 18:30 a 19:30 horas en sus instalaciones de la Calle San Francisco, 32, 40001 Segovia (Spain).

    Teléfono de contacto: +34 921 43 23 00 Ext 16




  • Se ha publicado el estándar "PD ISO/IEC TR 20000-5:2010 Information technology. Service management. Exemplar implementation plan for ISO/IEC 20000-1 " como guía útil sobre la implantación de un Sistema de Gestión de Servicios TI según la norma internacional ISO/IEC 20000-1 y que incorpora procesos relevantes con la seguridad de la información dentro de su cláusula 6.6 o de continuidad y disponibilidad del servicio (cláusula 6.3).

    La guía puede ser previsualizada en sus primeras páginas y adquirida desde webstore


  • PD 25666 proporciona la orientación necesaria para realizar programas de ejercicios, incluyendo actividades de prueba, para la continuidad y contingencia en todas las organizaciones. También entran dentro de esta orientación general las disposiciones relacionadas con las tecnologías de la información (TI).

    Esta guía está destinada a ser leída y usada en conjunción con las normas BS 25999, BS 25777, ISO/PAS 22399 y BS ISO/IEC 27001, entre otros documentos y normativas pertinentes.

    La guía puede ser adquirida desde shop BSI

    Otras guías relacionadas de interés:

    PD 25111: Human aspects of business continuity
    PD 25888: Guidance on business recovery




  • Por cuarto año consecutivo INTECO convoca ENISE, a partir de esta edición como Encuentro Internacional de la Seguridad de la Información.

    Del 26 al 28 de Octubre en León, el primer día está dedicado a los Esquemas Nacionales de Seguridad que serán abordados desde diferentes perspectivas, entre otras, la de la prestación segura de servicios públicos electrónicos a ciudadanos y empresas, la normalización, la evaluación y certificación de productos (bienes y servicios), o la gestión de riesgos.

    El segundo día aborda la ciberseguridad en el contexto de las políticas relativas a Justicia, Libertad y Seguridad. Por lo que se refiere al caso español, recibirá un tratamiento específico el Plan Estratégico de Modernización de la Justicia 2009-2012 que, entre otros, se enfrenta al reto de conseguir un sistema de justicia que se caracterice por la agilidad y confiabilidad en los diferentes trámites.

    Por último, la tercera jornada estará dedicada a la Identidad Digital. La identidad digital es un elemento clave de la Agenda Digital para Europa definida por la Comisión Europea, especialmente desde la perspectiva de lograr un mercado único digital dinámico.


  • Durante el pasado Junio se llevó a cabo en las instalaciones de Florida Universitaria el Curso de Auditor Jefe de ISO 27001 organizado por ISACA Valencia, impartido por SGS y reconocido por el IRCA (Registro Internacional de Auditores Certificados).

    El curso ha constado de un total de 40 horas lectivas repartidas en cinco jornadas, de lunes a viernes, a las que han asistido los candidatos que consiguieron una de las 10 plazas de este curso de "Auditor Jefe en Sistemas de Gestion de Seguridad de la Información" que fue convocado públicamente durante el mes de mayo y cuyo éxito desbordó las expectativas de los organizadores.

    Este curso está reconocido por el IRCA (Registro Internacional de Auditores Certificados) y las certificaciones conseguidas por los profesionales son reconocidas para el desarrollo de la actividad de Auditoria en SGSI según ISO 27001 en cualquier parte del mundo.

    El compromiso de la Directiva de la Asociación Auditoría y Control de los Sistemas de Información de la Comunidad Valenciana con la especialización de sus asociados hace que, constantemente se celebren eventos, encuentros, jornadas y charlas así como que se propongan acciones formativas que le aporten valor y lo diferencien en un mercado tan exigente como el que nos encontramos.


  • Descargable desde VMWare


  • Con motivo del creciente número de implantaciones de SGSI a nivel internacional hemos recibido por parte de los dos autores de iso27000.es frecuentes preguntas sobre cómo se debe abordar eficazmente un proceso de implantación y certificación de estos sistemas.

    Entre las dudas más habituales nos encontramos con aspectos relacionados con el momento y el uso correcto de desarrollo de la Declaración de Aplicabilidad y su relación con los planes de tratamiento del riesgo, así como, algunos desordenes en la secuencia lógica de implantación del sistema que llevan finalmente a tener que abordar algunos aspectos dos (o incluso más) veces por falta de un orden claro en la secuencia.

    Como ayuda para el proceso completo recordamos una posible ayuda disponible (en formato pdf) desde iso27001security además de las referencias al estandar ISO/IEC 27003:2010 como guía útil de implantación a un coste que se verá compensado rápidamente por el tiempo, recursos y esfuerzo ahorrados.

    También es muy recomendable (además de obligado por requisito de la cláusula 5.2.2 del estándar ISO/IEC 27001) la formación adecuada de los responsables internos/externos en tareas de implantación, mantenimiento del SGSI así como de auditoría interna.




  • David Green normalmente sólo accede a la cuenta del banco de su compañía desde su seguro ordenador portátil de trabajo (Mac) pero un día de Abril durante una baja por enfermedad se encontró en su casa con la necesidad de autorizar una transferencia.

    Como el ordenador Mac se había quedado en el puesto de trabajo decidió entonces realizar la operación de autorización on-line desde el ordenador de su esposa (Windows PC) y que es el mismo que sus hijos utilizaban para navegar por internet, chatear y jugar on-line.

    Acceso completo a la noticia con los detalles de como accedieron posteriormente a la cuenta corporativa para desviar 100.000 dolares y las disputas con el banco sobre quién debe pagar ahora los daños en Krebsonsecurity, web dedicada a noticias de seguridad relacionadas con Pymes.


  • ESET presenta dos Informes Regionales de Seguridad Informática que demuestran cuáles son las opiniones que tienen los gerentes y encargados de sistemas sobre la Seguridad de la Información en empresas y organismos públicos.

    Acceso completo a la noticia con los enlaces correspondientes en Criptex.




  • Iniciativa del gobierno Galés para la protección personal y de las empresas de las amenazas relacionadas con internet.

    e-Crime actualmente supone a las empresas galesas cerca de £373 millones cada año por el impacto de robos directos financieros o de propiedad intelectual, corte de las comunicaciones o daños a los datos críticos corporativos.

    Acceso a la web oficial e-crime Wales.




  • Tercer artículo de la serie "Popular Risk management". El objetivo de esta serie es describir los principales puntos de la gestión de riesgos en un lenguaje simple, claro y conciso.

    Acceso completo a la serie en Globalrisk Community.




  • La aplicación SecuriaSGSI cubre de forma automática el proceso de implantación, puesta en funcionamiento, control y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI).

    SecuriaSGSI está formado por una aplicación de administración en la que se configuran todos los parámetros necesarios para implantar y mantener un SGSI. También se añaden los usuarios que intervienen en el sistema y sus respectivos roles de usuario. Este programa de administración conecta contra una base de datos en la que se almacena toda la información relativa al sistema.

    El paquete de instalación para sistemas GNU/Linux y Windows, está accesible desde los sitios web:
    Securia
    Ceeisec




  • Frecuentemente se localizan dificultades por parte del personal de las empresas para diferenciar entre incidentes TI e incidentes de seguridad de la información.

    Interesante ejemplo de material de concienciación para evitar confusiones en esta materia y accesible gratuitamente en ISQ.

    Otros videos de concienciación sobre el uso de sistemas del mismo autor en ISQ.




  • Gabriel Díaz ha detectado que los jóvenes que tienen conocimientos de ISO 20000 o ISO 27001, una vez contratados, se mantienen durante más tiempo en su puesto de trabajo.

    Noticia completa en UNED.




  • Desde iso27000.es animamos a todos los interesados a enviar enlaces e información de interés relacionada específicamente con la concienciación de la seguridad, además de las habituales con noticias sobre la norma ISO 27001.

    Dentro del marco de actividades ENISA y de los dos autores de este portal como colaboradores reconocidos dentro de su Comunidad (más de 300 miembros de 46 países) para la concienciación nuestro objetivo es servir de medio para facilitar las aportaciones de los lectores del portal iso27000.es al organo consultivo de la UE.

    Esperamos que las contribuciones ayuden al desarrollo de actividades y documentación relevante y de interés en materias específicas de seguridad relacionadas con países, industrias o áreas de actividad.

    Recordamos que tanto nuestras actividades dentro de ENISA, así como, las que realizamos para mantener los contenidos de este portal no tienen ánimo de lucro y con el objetivo permanente del beneficio para la comunicación y desarrollo profesional de la comunidad y profesionales.

    Información de contacto en iso27000.es.




  • El objetivo de la jornada es que los agentes interesados conozcan la líneas de actuación que pueden seguir para desarrollar proyectos de I+D+i en Seguridad TIC, dentro de las oportunidades que ofrece el VII Programa Marco.

    Información completa en INTECO.




  • Debido a la novedad en la combinación de estos dos esquemas destacamos el caso de estudio de una certificación en los dos esquemas en la empresa Audatex del sector de automoción en Reino Unido.

    Enlace al documento de Utimate Risk.




  • "Tackling ISO 27001: A Project to Build an ISMS" es un documento publicado por SANS y que trata de aportar la visión de una implantación de un SGSI en pocas páginas.

    Enlace al documento de David Henning.




  • Nos llega el enlace desde Colombia a la traducción al español de la norma para la gestión de riesgos ISO/IEC 27005.

    El título es "NTC-ISO-IEC 27005. TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN." y tiene un coste de COL $68.000.

    Enlace en ICONTEC.




  • CBS News broadcaster Armen Keteyian nos deja este gráfico informe en formato video sobre posibles brechas de seguridad en la retirada de los dispositivos para focopiar documentos, partiendo de información olvidada en las bandejas hasta los sistemas de almacenamiento interno.

    Enlace en threatpost.




  • NASCIO es una publicación semanal gratuita con noticias de interés relacionadas con la seguridad.

    Enlace en NASCIO.

    Enlace a otros boletines y publicaciones de interés en nuestra sección Boletines.



  • El centro de análisis y de comunicación de la información multiestatal de los EEUU pone a disposición recursos para asegurar medidas relacionadas con la ciberseguridad en abierto para todos los interesados.

    Recursos disponibles para estrategias de concienciación en MS-ISAC.



  • Presentación por parte de la Oficina Nacional de Gobierno Electrónico e Informáticas con información interesante sobre estrategias en seguridad de la información, la norma ISO 27001 y legislación relevante.

    Documento disponible en pdf desde ONGEI.


  • Novedades zona Wiki
    En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

    - 10. 9. 3. Seguridad en información pública.

    - 13.2.3. Recogida de pruebas

    El alta de usuario está abierta a todos los interesados así como la aportación de propuestas en la zona de comentarios para cada control. Cada usuario puede habilitar su página personal de contacto y recibir via RSS las novedades y actualizaciones en las páginas, entre otras herramientas.


  • Sucede todos los días: un empleado que está fuera de la oficina quiere acceder en sus elementos del trabajo. En lugar de utilizar un método más seguro, decide enviar algunos archivos a su máquina de casa, o subir un archivo a Facebook, o utilizar una popular herramienta de intercambio de archivos para PC. Y lo siguiente ya lo sabe usted, su organización queda comprometida y expuesta a una pérdida de datos importantes.

    Las empresas que estudian el comportamiento señalan que muchos empleados rompen las reglas con el fin de realizar su trabajo a tiempo.

    Interesante artículo en DarkReading.



  • La agencia para la “ciberseguridad" de la UE ENISA- The European Network and Information Security Agency - ha lanzado un nuevo informe en el que se concluye que la UE debería centrar su investigación en seguridad TI en cinco áreas. El informe señala la dirección para las futuras peticiones del Framework Programme de hacer florecer la economía de la UE.

    Este informe se centra en el tema de la resistencia, de la disponibilidad, y la investigación en las tecnologías que mejoran la disponibilidad de los servicios en línea, es decir, la resistencia de las redes de datos, que dispone la base para la estrategia EU2020 y la Agenda Digital para Europa.

    El director ejecutivo de ENISA, el doctor Udo Helmbrecht, comentó: "Este informe nos da la primera directriz de cuáles deberían ser las prioridades en la investigación de seguridad TI del futuro para la UE en nuestra opinión".

    Nota de prensa completa en español - ENISA.

    Descarga del documento en inglés - ENISA.



  • En la mayoría de las empresas existe un gran distanciamiento entre aquellos que evalúan a los proveedores de servicios en la nube y los directores de TI y de seguridad, los cuales deberían, en última instancia, asumir toda la responsabilidad.

    Las empresas evalúan los servicios en la nube por referencia verbal del boca a boca (el 65%), por acuerdos contractuales y por garantías por parte del proveedor (el 55 y el 53% respectivamente).

    Sólo el 23% solicita pruebas de conformidad con la normativa, el 18% confía en el asesoramiento de seguridad realizado internamente, y tan solo el 6% basa su decisión de acuerdo a evaluaciones de expertos de seguridad o auditores.

    Artículo completo en Financial Tech Magazine.



  • El Curso de Verano sobre Seguridad Informática cumple su tercera edición. Tras realizar las dos ediciones anteriores en la bella ciudad de Salamanca, este año, de la mano de la Universidad Europea de Madrid, y merced a la colaboración con el Máster Oficial en Seguridad de las Tecnologías de la Información y las Comunicaciones, tendrá lugar en Valencia durante los días 6, 7 y 8 de Julio.

    Información completa y registro en .



  • Este trabajo describe las tareas que requiere el establecimiento de este sistema de gestión adoptando como referencia el enfoque propuesto por el estándar ISO/IEC 27001.

    Finalmente, se incluye un breve análisis de las diferencias que este enfoque presenta en relación con el Esquema Nacional de Seguridad.

    Descarga en pdf desde Technimap 2010.



  • Inicialmente promovido desde Colombia por profesionales e interesados en la seguridad de la información y técnicas forenses Offl1n3 está abierto a todos los interesados en compartir información y técnicas de protección de interés.



  • En la sesión del día 13 de abril de 2010 el Congreso de los Diputados ha aprobado por unanimidad la Proposición no de Ley relativa a la difusión y promoción de la iniciativa de estándares internacionales de privacidad.

    Enlace con noticia completa y enlace al Boletín Oficial en Audea.

    Esta proposición estuvo dentro del foro europeo EURODIG en relación a las necesidades dentro de la EU de un marco de regulación conjunta y de protección de los datos personales..



  • Se acaba de publicar un libro de interés para entender las claves de implantación de ISO/IEC 27005 (Information Security: Risk Management) de la mano de Edward Humphreys (Chartered Fellow del BCS - FBCS CITP, CISM), Director de XiSEC Consultants Ltd y considerado el "padre" de ISO/IEC 27001.

    Este libro se presenta como un manual práctico para la aplicación de ISO/IEC 27005 con consejos para la implantación de los requisitos definidos en ISO/IEC 27001 en relación a los procesos de gestión del riesgo y actividades asociadas.

    Los contenidos comprenden:
    * Introduction
    * Nature of the information security risk landscape
    * Risk management framework
    * Risk assessment
    * Risk treatment
    * System of risk controls
    * Risk monitoring and reviews
    * Risk control improvements
    * Documentation system
    * Audits and reviews
    * Standards
    * Definitions
    * Examples of legal and regulatory compliance
    * Examples of assets, threats, vulnerabilities and risk assessment methods.


    Enlace con información adicional y adquisición BSI Shop.
    Descarga de un capítulo de muestra (previo registro) en BSI Shop.



  • Ha sido publicada la traducción española de la norma UNE-EN ISO 27799:2010 "Informática sanitaria. Gestión de la seguridad de la información en sanidad utilizando la norma ISO/IEC 27002". Esta norma contribuirá a asegurar la protección de la información de los pacientes utilizada por las entidades sanitarias.

    La UNE-EN ISO 27799 especifica una serie de controles detallados para la gestión de la seguridad de la información y aporta recomendaciones relativas a las buenas prácticas que hay que seguir al respecto para poder garantizar un nivel de seguridad mínimo.

    Información recibida por iso27000.es mediante el Boletín 89 de la Asociación Española para la Calidad (AEC).



  • Organizadas por INTECO y Red.es cada una de las jornadas tendrá una duración de 7 horas en horario de 9h a 17:30h, y con un aforo máximo de 150 asistentes.

    Las tres jornadas programadas cubrirán la misma temática y la primera tendrá lugar en Madrid el día 6 de Mayo, la segunda en Barcelona el día 27 de Mayo y la tercera en Sevilla el día 17 de Junio. Las inscripciones se harán por orden de llegada de solicitudes.

    Más información en en la página web de inteco.



  • Organizadas por Grupo Estudios Técnicos y con sede en el Hospital de la Santa Creu i Sant Pau, esta edición tiene como objetivo debatir sobre los procedimientos de la Gestión de Riesgos en los Hospitales, desarrollar la Seguridad Integral e Integrada y promover herramientas y soluciones de seguridad específicas para el ámbito sanitario.

    Organizadas por Grupo Estudios Técnicos y con sede en el Hospital de la Santa Creu i Sant Pau, esta edición tiene como objetivo debatir sobre los procedimientos de la Gestión de Riesgos en los Hospitales, desarrollar la Seguridad Integral e Integrada y promover herramientas y soluciones de seguridad específicas para el ámbito sanitario.

    Desde ISO27000.es recordamos la publicación del estandar ISO 27799 como adaptación específica de la norma ISO 27002 a este sector sanitario.

    Más información en seguridadenhospitales.es.



  • Publicado en la página web del ISMS Forum ya está disponible el temario de la certificación Certified Data Privacy Professional (CDPP). Puedes descargar el documento completo aquí para prepararte para el examen de la primera certificación española para los profesionales de la Privacidad de Datos y la Protección de Datos.

    El primer examen se celebrará el próximo 19 de junio en Madrid, Barcelona y Valencia y la inscripción ya está abierta en la página web de ISMS hasta el 31 de mayo. El precio del examen para los socios de ISMS es de 300 euros.

    Más información en dossier CDPP.



  • El curso de hacking ético proporciona una visión técnica de la seguridad de la información a través del Hawking ético, utilizando técnicas usuales como la recopilación de información y detección de vulnerabilidad tanto dentro como fuera de una red empresarial, de modo que mediante la prevención como herramienta, resulte beneficioso para la seguridad de las compañías.

    Los cursos de seguridad de la información y de LOPD introducen el mundo de la seguridad de la información aplicada a las empresas y entidades públicas y profundiza en torno a los Sistemas de Gestión de Seguridad de la Información (Norma ISO 27001) y la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

    Más información en programas del curso.

[ Back ]
© 2010 Alonso&Ros. Asesores y Consultores. Asesoría Laboral Fiscal Contable