ISO 27002 >

ISO 27002

Tabla de contenidos
No hay encabezados

Recorre las fases para la implantación de un SGSI en una pequeña/mediana empresa de la mano de un esqueleto de implantación de un SGSI y consulta los espacios dedicados a la implantación de controles para obtener un conocimiento y posibles soluciones de implantación a cada uno de ellos.

ISO 27001: Sistemas de gestión de la seguridad de la información

Información y recursos para la implantación de Sistemas de Gestión de Seguridad de la Información certificables en ISO 27001. Abónese a las Noticias vía RSS.

Noticias a pantalla completa y texto regulable en formato Básico o Clásico.

Publicada la norma ISO/IEC 27033-1
El pasado 10 de Diciembre fue aprobada y el 15 de Diciembre publicada la primera parte del estándar ISO/IEC 27033 y está disponible para su adquisición y descarga en inglés en iso.org.

ISO / IEC 27033-1:2009 proporciona una visión general de seguridad de red y de las definiciones relacionadas. Define y describe los conceptos asociados y proporciona orientación sobre la gestión de la seguridad de la red. (La seguridad de la red incluye la seguridad de los dispositivos, la seguridad de las actividades de gestión relacionadas con los dispositivos, aplicaciones y servicios y a los usuarios finales, además de la seguridad de la información que se transfiere a través de los enlaces de comunicación.)

El estándar es de interés para aquellos involucrados en la posesión, explotación o uso de una red. Esto incluye a los altos directivos y otros directores técnicos o usuarios, además de los directores y administradores que tienen responsabilidades específicas para la seguridad de la información y/o seguridad de la red, el funcionamiento de la red, o quienes son responsables de programas globales de seguridad para la organización y el desarrollo de políticas de seguridad. También es de interés para cualquier persona involucrada en la planificación, diseño y aplicación de los aspectos arquitectónicos de la seguridad de la red.

El nuevo estándar sustituye al estándar ISO/IEC 18028-1:2006 y ofrece una visión general de la serie ISO/IEC 27033 como una "hoja de ruta" para todas las demás partes que están previsto ser desarrolladas.

Se puede consultar la introducción a la norma original en webstore.iec.ch.

I FORO del DATA PRIVACY INSTITUTE
El próximo 21 de enero de 2010 la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, celebrará el I Foro del Data Privacy Institute (DPI) titulado “Recetas para la Privacidad de Datos que tratará sobre la protección de datos en el sector sanitario.

El lugar de celebración será la Sede del Consejo General de Colegios de Médicos de España (CGCOM) (Plaza de las Cortes, 11 - Madrid).

El evento está organizado por ISMS Forum Spain - Data Privacy Institute, colabora CGCOM y la información completa del programa como el registro (gratuito para socios) se pueden realizar online desde ismsforum.es.

Nuevas aportaciones para la gestión de red
En relación al control 10.6.2 añadimos dos referencias que pueden ser de utilidad para la gestión de la seguridad en los servicios de red.

El acceso a las herramientas de auditoría de routers de Cisco así como la guía SAFE en formato pdf están disponibles en wik ISO 27002.

Servicio de Métricas
El "MetricsCenter" se dedica a proveer información para el diseño y la prestación de servicios relacionados con métricas de seguridad de manera accesible a los profesionales de Seguridad de la Información.

Un análisis cuantitativo riguroso es necesario para descartar en las tomas de decisiones las hipótesis sin fundamento y una ambigua orientación de las denominadas "mejores prácticas". La Seguridad de la Información, así como los sistemas y la gestión de redes especializada, debe madurar y convertirse en una disciplina financiera con criterios transparentes y comprensibles para la consecución de metas y la rentabilidad de inversiones.

Acceso al catálogo de métricas de aceso público y para PCI DSS, NIST o ISO27002 entre otros disponible en MetricsCenter.

Conferencia Latinoamericana de Seguridad de la Información y Administración del Riesgo
ISACA® tiene el gusto de anunciar la cuarta conferencia anual Latinoamericana de Seguridad de Información, diseñada para satisfacer una variedad de sesiones que atañen a la comunidad responsable de seguridad de la tecnología de información. El evento presentará dos pistas simultáneas de temas relacionados con el aspecto gerencial y aspectos prácticos de la seguridad de información.

Tendrá lugar del 1 al 2 de Marzo de 2010 en el Hotel Cosmos 100 de Bogotá, Colombia.

Acceso a inscripción e información en ISACA.

Demostración de un marco global de gestión según ISO 27005
Presentación desarrollada en las conferencias del pasado Netfocus de Bruselas con información de referencia acerca de todos los procesos y actividades de la metodología de riesgos para la seguridad de la información según ISO 27005 y que incluye un ejemplo de hojas de cálculo asociadas.

Enlace a los distintos formatos de la presentación disponibles en HSC.

Acceso directo a la modelización de las actividades del estándar ISO 27005.

Certificado de la oficina de cómputo de la Oficina de Normalizacion Previsional
Con ello la ONP se ha configurado como la primera entidad estatal en el Perú en obtener este galardón y el segundo en Sudamérica en lograr este reconocimiento.

“Los sistemas de pensiones que administra la ONP, están compuestos por servicios y procesos masivos, en los que la gestión de la información es uno de los activos más importantes, no solo para empresas y organizaciones, sino fundamentalmente para cada asegurado de manera individual. Es por ello que la información requiere ser asegurada y protegida apropiadamente", señaló Roberto Puyó Valladares, Oficial de Seguridad de la Información de la ONP.

Consulta a la noticia completa en CIO

Consulta a la base de datos sobre este certificado internacional en BSI Group

Plantillas Callio
Como parte de sus productos Callio pone a disposición distintos documentos orientativos de apoyo a la implantación de controles relaciones con la seguridad de la información dentro de las empresas.

Los enlaces a los distintos documentos están incorporándose al al proyecto wik 27000 desde los distintos apartados según estándar ISO 27002 y el acceso directo a todos los recursos está disponible desde la propia web de Callio.

Manual de seguridad de la información del gobierno australiano
El Manual de Seguridad de la Información que pone a disposición el Gobierno de Australia ofrece un marco que permite abordar tanto los nuevos riesgos de seguridad como los ya existentes en los sistemas, mientras se desarrolla el negocio de manera eficaz.

El manual permite orientar de una manera bastante completa cómo desarrollar las diferentes partes de forma similar a como se realiza con estándares como ISO 27001 y proporciona la flexibilidad necesaria para adaptar los requisitos a las propias necesidades de negocio mediante el uso de un riguroso proceso de gestión de riesgos.

Acceso al documento en pdf desde dsd.gov.au.

Nuevo documento sobre el programa de certificación de la asociación para la destrucción de información
El programa de certificación de NAID establece estándares para los procesos de destrucción segura en áreas como la seguridad, contratación del personal y procesos operacionales de destrucción y seguros.

Desde su web se pueden consultar las empresas asociadas a nivel internacional.

Acceso al nuevo programa de certificación publicado en Enero de 2010 en NAID.

Formación Online ISO 27001 de INTECO
INTECO pone a disposición un curso introductorio a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. Se darán a conocer los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un Sistema de Gestión de Seguridad de la Información en una Organización, en base a la norma ISO/IEC 27001.

?Duración del curso: 20 horas.

?Coste del curso: gratuito.

?Formación previa requerida: No se requiere formación previa.

Acceso a inscripción e información en INTECO.

Publicada la norma ISO/IEC 19770-2
El pasado 11 de Noviembre fue aprobada para su publicación final el 15 de Noviembre de la segunda parte del estándar ISO/IEC 19770 disponible para su adquisición y descarga en inglés en iso.org.

ISO / IEC 19770-2 establece las especificaciones para el etiquetado del software con el objetivo de optimizar su identificación y gestión.

El estándar continua con la serie iniciada por ISO/IEC 19770-1 de 2006 y el previsualizado de ambos documentos está disponible en la Webstore del IEC.

Up to Secure 2010 recorrerá 10 ciudades españolas
La gira Up To Secure 2010 recoge temas de actualidad en la seguridad informática para poder ayudar en la tarea continua de mantener la infraestructura de la empresa al día, segura y mejorando constantemente.

Agenda:

09:00 - 09:15 Registro

09:15 - 10:00 D-Link: Circuitos de Vídeo vigilancia IP

10:00 - 10:45 SmartAccess: Portátiles corporativos a prueba de robos

10:45 - 11:30 Café

11:15 - 12:00 Quest Software: Estrategia ante desastres en AD y Exchange

12:00 - 12:45 Microsoft Technet: Forefront Protection, Corporate Client Security

12:45 - 13:30 Informática 64: Guerras Navales

13:30 - 13:45 Preguntas

Información y fechas en boletín Dintel.

Renovamos iso27000.es
Recien cumplido el IV aniversario y en nuestra continuada labor de promover los Sistemas de Gestion de la Seguridad de la Información en base al estándar internacional ISO 27001 y la serie ISO 27000 nos hemos animado a renovar nuestra querida página y herramienta de trabajo iso27000.es

Además del evidente cambio más o menos vistoso en el diseño, realmente lo interesante a destacar es:

- Los apartados de los menús de cabecera y de la barra lateral son similares a los anteriores para respetar las rutas de acceso a contenidos conocidas por todos;

- Mejoras en el acceso a contenidos desde dispositivos móviles respecto a la anterior y que echábamos de menos cada vez con más frecuencia cuando estamos fuera de oficina;

- Mayor amplitud de las áreas para el acceso y lectura de los contenidos;

- Mejoras en la presentación de noticias/artículos/podcast mediante el uso integrado de Grazr y que permite disponer un mayor grado de personalización del modo de lectura desde su menu "view" mediante el uso de "outline" (con expansión o vista breve de las entradas), "slider" o "three pane";

- Integración con nuestro proyecto wik iso27002 mediante los apartados específicos en los que los que se referencian posibles soluciones e información de interés para cada control y en el que existen más de 300 usuarios dados de alta para consultas y aporte de comentarios.

El proceso de renovación de la página ha sido prolongado motivado por una carga importante de trabajo en que los dos autores de iso27000.es y del wik nos hemos visto envueltos y que demuestra que la implantacion de los SGSI en las empresas de cada vez más paises avanza con fuerza y se han despejado defintivamente muchas de las incognitas y dudas que se planteaban en foros y reuniones de tan sólo hace un par de años.

Esperamos que lo que empezó siendo la herramienta de trabajo colaborativa en 2005 de dos personas sea la de cada vez más profesionales para el beneficio del conocimiento de todos.

Publicada la norma ISO/IEC 27004:2009
Como avanzaba la propia Paloma Llaneza en exclusiva el pasado mes de Octubre, ha sido publicado el estándar ISO/IEC 27004 y está disponible desde el 07 de Diciembre para su adquisición en iso.org.

ISO / IEC 27004:2009 proporciona orientación sobre el desarrollo y la utilización de métricas para la medición y evalución de la eficacia de la aplicación de los controles o grupos de control, tal como se especifica en la norma ISO/IEC 27001.
Publicado Proyecto de Real Decreto de Esquema Nacional de Seguridad para Administraciones Públicas
El Consejo Superior de Informática acaba de hacer público el borrador de Real Decreto (http://www.csae.map.es/csi/pdf/20090715_Proyecto_RD_ENS_cn.pdf) del Esquema Nacional de Seguridad.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Fuente de la noticia e información en blog de Audea.

Piden asegurar la confidencialidad (Paraguay)
Los gremios empresariales piden al Ministerio de Hacienda que se garantice la confidencialidad de la información patrimonial declarada por los contribuyentes del Impuesto a la Renta Personal (IRP).

Los empresarios temen que la información patrimonial y el pago de los impuestos que realizarán como contribuyentes del IRP tomen estado público, en un momento de inseguridad que vive el país por los secuestros.

Carlos Jorge Biedermann, presidente de la Cámara de Anunciantes del Paraguay (CAP), sostuvo que se deben tomar todos los recaudos para asegurar que la información no sea utilizada en contra de las personas.

Noticia completa en Cryptex.

Spyware, keyloggers e inyecciones SQL como ataques más frecuentes en 2009
Keyloggers y spyware suponen el 19% de las brechas de seguridad en 2009 y herramientas de control remoto y ataques por inyecciones SQL estuvieron presentes en el 18% de incidentes.

Noticia completa e informes en Computerweekly.

Aprende a amar el análisis de Logs
Log análisis y gestión de logs pueden ayudar a la detección e investigación de brechas de seguridad.

Noticia completa en Darkreading.

Publicación ENISA para la seguridad en cloud computing
La computación en nube además ha despertado un gran interés económico, por ejemplo, el IDC prevé un crecimiento de los servicios en nube en Europa de 971 millones de euros en 2008 a 6.005 millones de euros para 2013.

Pero tal y como señala este informe, la computación en nube es también un permiso de seguridad. El director ejecutivo de ENISA, el doctor Udo Helmbrecht, subrayó: "La escala€ y flexibilidad de la computación en nube proporciona a los proveedores un marco de seguridad. Por ejemplo, los proveedores pueden solicitar de forma instantánea recursos defensivos extra, como el filtrado y el re-enrutamiento. También pueden desplegar nuevos parches de seguridad más eficaces y mantener una evidencia completa para la diagnosis".

Descarga del informe en ENISA.

Cursos de SGS en Madrid (España) con descuentos en matrícula
La entidad de certificación SGS comunica la impartición de los siguientes cursos en los próximos meses en Madrid, con descuentos especiales para matrículas realizadas durante Julio y Agosto:

Curso Oficial BCI de Continuidad de Negocio. PRESENCIAL. Fechas: 19-23 octubre; 14-18 diciembre. Duración: 40 h. Precio 2000 euros. DESCUENTO ESPECIAL DEL 30 % PARA LAS MATRÍCULAS QUE REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Experto en Diseño de Procesos y con la Especificación BPMN (impartido en colaboración con QINDIO). PRESENCIAL. Fechas: 28-30 septiembre, 11-13 noviembre y 9-11 de diciembre. Duración: 18 h. Precio: 600 euros. DESCUENTO ESPECIAL DEL 30 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Auditor Líder de Sistemas de Gestión de Seguridad de la Información Certificado por el IRCA. PRESENCIAL. Fechas: 21-25 septiembre; 26-30 octubre; 30 nov - 4 dic. Duración: 40 h. Precio: 1050 DESCUENTO ESPECIAL DEL 30 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Auditor Líder de Gestión de Servicios de Tecnologías de la Información Certificado por el IRCA. PRESENCIAL. Fechas: 14-18 septiembre; 5-9 octubre; diciembre. Duración: 40 h. Precio: 1050 DESCUENTO ESPECIAL DEL 30 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Implantación de Sistemas de Gestión de Seguridad de la Información (ISMS). PRESENCIAL. Fechas: 1-2 octubre; 2-3 noviembre. Duración: 15 h. Precio: 450 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Implantación de un Sistema de Tecnologías de la Información (ITSM). PRESENCIAL. Fechas: 27-28 julio; 5-6 octubre; 23-24 noviembre. Duración: 15 h. Precio: 450 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Fundamentos de Sistemas de Gestión de Seguridad de la Información. PRESENCIAL. 14 octubre; 10 diciembre. Duración: 8 h. Precio: 250 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Preparación para futuros consultores en ISO 27001 y en ISO 20000. PRESENCIAL. Fechas: Agosto y 2º semestre 2009. Duración: 50 h. Precio: 1700 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Hacking Ético PRESENCIAL. (impartido en colaboración con QINDIO). Fechas: Septiembre y noviembre. Duración: 24 h. Precio: 2000 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO

Contacto:
SGS Tecnos, S.A.
Pº de la Castellana, 182 9ª Planta
28046 Madrid
Tfn: 913532508

Más información aquí.

Manuales implantación ISO 27001
Julian Fraser, director de "Data Eliminate Ltd" (compañía especializada en servicios de destrucción segura de datos) comenta en su blog algunos manuales de SGSI con su opinión sobre contenidos y organización.

Enlace a blog en Secure Data Destruction.
Nuevos contenidos en la Red Temática CriptoRed
Breve resumen de las novedades producidas durante el mes de junio de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

Información disponible en Hispasec.
Opciones "Low-cost" para la gestión de la seguridad de la información
Free SIM Tools rescatan dinero - y quizás tus datos.

Acceso al Artículo en Darkreading.
 

   


Obtenido de "http://iso27000.wik.is/"

Etiquetas
Debe inicie sesión para enviar un comentario.
Wik.is


Wik portal where you can upload your ideas and interests and educational mind set for a free website account please apply here