Este curso especifica la metodología y requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) de acuerdo a las normas UNE 71502 que establece las especificaciones de dicho sistema y la UNE-ISO/IEC 17799 referenciada por la primera.

Estos pasos han sido descritos de forma genérica, sin entrar en detalles,  ni describir el "cómo" se desarrollaran. Para contar con una metodología completa, en una segunda fase deberán desarrollarse las guías, modelos, cuestionarios e instrucciones de trabajo necesarios que permitan realizar el trabajo de campo correspondiente a cada una de las tareas descritas en la presente metodología.

Según define la ISO 71502 un SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. Este sistema es la herramienta de que dispone la Dirección de las organizaciones para garantizar:

· Confidencialidad: Aseguramiento de que las información sólo serán accesible a aquellas personas que han sido debidamente autorizadas.

· Integridad: El contenido de las información no se verá alterado por personas que no están autorizadas para hacerlo.

· Disponibilidad: Las información estará siempre disponible y accesible a aquellas personas que la requieran para desarrollar sus actividades.

El SGSI proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en concordancia con las políticas de seguridad y planes estratégicos de la Organización.

La UNE-ISO/IEC 17799 es un código de buenas prácticas para la Gestión de la Seguridad de la Información elaborada por AENOR noviembre del 2002. Esta normativa tiene su origen en la normativa internacional ISO 17799 que a su vez fue adoptada por el procedimiento de "fast-track" del estándar británico BS 7799, por el comité Técnico conjunto ISO/IEC JTC 1. La normativa española no es más que una traducción de esta normativa internacional.

Como es habitual en todas las normativas de este estilo (ISO 9000, ISO 14000, etc.) existe la posibilidad de certificar que la implantación se ha realizado de una forma correcta y que cumple con lo establecido por el estándar. En este sentido, cabe comentar que en la actualidad en España es posible certificarse bajo la BS 7799:2 y la UNE 71502. La primera de ellas, tiene como norma de referencia el BS 7799 y la segunda, que es de origen y elaboración española, tiene como norma base la UNE-ISO 17799.

La norma se agrupa en dominios formados por una serie de objetivos de control que a su vez contienen controles que son propiamente las medidas de seguridad a implantar en las organizaciones. Concretamente, se han definido 36 objetivos de control y 127 controles a considerar en el momento de abordar la implantación de un SGSI.

Siguiendo dicho modelo el proyecto de análisis, implantación y seguimiento de un SGSI se ha planteado en dos fases:

· Fase A: Planificar. Establecer el SGSI

- Delimitar entorno y alcance

- Establecer la importancia de la información en la organización

- Definir la Política de Seguridad

- Establecer la estructura organizativa relativa a la seguridad

- Identificar y clasificar activos

- Identificar y valorar riesgos

- Planificar la gestión de riesgos

- Definición de procedimientos

- Documentación requerida

- Control documental

- Registros

- Responsabilidad de la Dirección

· Fase B: Hacer. Implantar el SGSI

- Gestión del riesgo: implantación de controles

- Verificación de la eficación de los controles