Saltar ao contido

Sistema de xestión da seguridade da información

Na Galipedia, a Wikipedia en galego.
ENISA: Xestión de risco e actividades do SXSI.

Un sistema de xestión da seguridade da información (SXSI) (en inglés: information security management system, ISMS) é, como o seu nome suxire, un conxunto de políticas de administración da información. O termo é utilizado principalmente pola ISO/IEC 27001, aínda que non é a única normativa que utiliza este termo ou concepto.

Un SXSI é para unha organización o deseño, implantación, mantemento dun conxunto de procesos para xestionar eficientemente a accesibilidade da información, buscando asegurar a confidencialidade, integridade e dispoñibilidade dos activos de información minimizando á vez os riscos de seguridade da información.

Como todo proceso de xestión, un SXSI debe seguir sendo eficiente durante un longo tempo adaptándose aos cambios internos da organización así como aos externos da contorna.

PDCA[editar | editar a fonte]

Círculo de Deming.

A ISO/IEC 27001, polo tanto, incorpora o típico Plan-Do-Check-Act (PDCA) que significa "Planificar-Facer-Controlar-Actuar" sendo este un enfoque de mellora continua:

  • Plan (planificar): é unha fase de deseño do SXSI, realizando a avaliación de riscos de seguridade da información e a selección de controis adecuados.
  • Do (facer): é unha fase que envolve a implantación e operación dos controis.
  • Check (controlar): é unha fase que ten como obxectivo revisar e avaliar o desempeño (eficiencia e eficacia) do SXSI.
  • Act (actuar): nesta fase realízanse cambios cando sexa necesario para levar de volta o SXSI a máximo rendemento.

SGSI é descrito pola ISO/IEC 27001 e ISO/IEC 27002 e relaciona os estándares publicados pola International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC). JJO tamén define normas estandarizadas de distintos SXSI.

Outros SXSI[editar | editar a fonte]

  • TLLJO, este SGSI permite un maior control sobre o sistema a un prezo moderadamente reducido
  • SOGP é outro SXSI que compite no mercado é o chamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SXSI é máis unha best practice (boa práctica), baseado nas experiencias do Foro da seguridade da información (ISF).
  • ISM3: Information Security Management Maturity Model (ISM3) (coñecida como ISM-cubed ou ISM3) está construído en estándares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e información xeral de conceptos de seguridade dos gobernos ISM3 pode ser usado como persoal para un ISO 9001 compliant. Mentres que a ISO/IEC 27001 está baseada en controis. ISM3 está baseada en procesos e inclúe métricas de proceso.

Ferramentas[editar | editar a fonte]

  • PILAR: Ferramenta que permite realizar a análise de riscos. https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/ear-pilar.html
  • SECITOR: Ferramenta de Análise e Xestión de Riscos de alto nivel que permite a xestión integral da Seguridade da Información sendo un sistema multimarco (ISO 27001, Protección de datos, ISO 19001, ENS, etc), ademais dunha monitorización en tempo real da seguridade da organización, sendo integrable con Nagios, OCS inventory, Splunk, SIEM, directorio activo, pilar, etc. http://www.secitor.com/

Outros marcos de traballo[editar | editar a fonte]

  • No caso de ITIL (sobre todo a v.3) ten moitos puntos de contacto respecto de cuestións de seguridade.
  • PRINCE2 é outro marco de traballo de boas prácticas, neste caso relacionadas coa xestión de proxectos, sendo esta, amplamente utilizada.

Véxase tamén[editar | editar a fonte]

  • Lei Orgánica de Protección de Datos de Carácter Persoal de España
  • Seguridade da información
  • PDCA
  • ISO/IEC 27000-series
  • ISO/IEC 27001
  • ISO/IEC 27002
  • ISO 9001

Ligazóns externas[editar | editar a fonte]

  • Áudea Expertos en SGSI Consultoría, auditoría e formación en SGSI
  • Curso Impantador, Curso Lead Auditor, Curso Auditoría de SGSI Cursos TIC Seguridade
  • British Standards Institution BSI, información en español
  • Information Security Forum (ISF) (en inglés)
  • ITIL Security (en inglés)
  • Information Security Management Maturity Model (ISM3) (en inglés)
  • www.iso27000.es - www.iso27001.es: Portal con información en español sobre a serie 27000 e os sistemas de xestión de seguridade da información.
  • www.iso27002.é Wiki en español sobre os controis nos sistemas de xestión de seguridade da información.
  • Guía SXSI de INTECO-CERT Arquivado 15 de xullo de 2014 en Wayback Machine. Videoguía en español, de INTECO_CERT sobre os sistemas de xestión de seguridade da información.
  • [http://www.inmunosuite.com Suite que automatiza cabalmente todos os requisitos da norms ISO 27001.