1. Xestión da Seguridade da Información

Un Sistema de Xestión da Seguridade da Información (SXSI) é un conxunto de políticas de administración da información.

Un SXSI consiste no deseño, implantación e mantemento dun conxunto de procesos para xestionar eficientemente a accesibilidade da información, buscando asegura-la confidencialidade, integridade y dispoñibilidade dos activos de información minimizando á vez os riscos de seguridade da información.

A mellor definición de SXSI é a descrita pola ISO/IEC 27001 e a ISO/IEC 27002 que relaciona os estándares publicados pola International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC).

  • A ISO-27001 define os requisitos de auditoría e sistemas de xestión de seguridade.

  • A ISO-27002 é un código internacional de boas prácticas na seguridade da información.

Os sistemas de xestión de seguridade da información buscan protexer os recursos do sistema: hardware, software, elementos de comunicación, a información que se procesa e distribúe, locais e oficinas, persoal involucrado no sistema e a reputación e imaxe da organización das posibles ameazas.

Normalmente, a elaboración dun sistema de xestión da seguridade da información lévase a cabo mediante diversas metodoloxías e estándares (coma ISO 27001) que conlevan a realización de diversas fases:

  • Definición da política e alcance do SXSI

  • Establecemento das responsabilidades e recursos

  • Rexistro de activos

  • Xestión do risco

  • Selección de controis aplicables

  • Establecemento de aplicabilidade

  • Implantación.

O seguimento estrito destas fases normalmente é moi complexo debido á falta de concienciación das direccións das empresas e a inexistencia dunha base previa mínima de seguridade da información. A implantación de medidas non comeza ata ben avanzado o proxecto, e polo tanto un dos fins principais normalmente perseguidos (a implantación de medidas de seguridade críticas a curto prazo) non se alcanza.