Saltar al contenido principal
SGSI

¿Cómo podemos definir el alcance del SGSI?

SGSI

SGSI

En el trabajo enfocado a la gestión del SGSI dentro de la empresa, abordamos otras consideraciones previas del proceso, como puede ser contar con el respaldo y patrocinio de la alta dirección, la formación de las estructuras para la toma de decisiones, acciones como el análisis de brechas, impacto al negocio, cuestiones esenciales como contar con los recursos para las iniciativas de seguridad.

Durante este artículo revisaremos las consideraciones necesarias para definir el alcance del SGSI, siendo una de las decisiones más importantes para conseguir la efectividad e idoneidad del sistema de gestión.

Alcance del SGSI

El alcance describe la extensión y los límites del SGSI, por lo que puede encontrarse definido en términos de los activos de información, la ubicación física, las unidades organizaciones, las actividades o procesos de mayor importancia para la empresa, es decir, se trata de la selección de los elementos críticos que se deben proteger.

Es necesario definir el alcance siendo un requisito descrito en la cláusula 4.3 ISO/IEC 27001 2013, por lo que las características de dicho requisito con la intención de dejar claro todo lo que resulta de interés para el sistema de gestión, se relaciona con las actividades esenciales, es decir, las que permiten cumplir con la misión y los objetivos generales de la empresa.

Es la primera decisión importante que se debe considerar, ya que determina de forma exacta lo que se encuentra protegido por la empresa y la magnitud de los recursos necesarios para la implantación y la operación del sistema de gestión. Cuando se define, el alcance debe encontrase disponible como información documentada. Es necesario que se revisen los diferentes requisitos que establece la norma ISO 27001.

La organización y su contexto

El estándar establece que la empresa tiene que determinar los límites y aplicabilidad del SGSI para definir su alcance, dicho proceso, se tiene que considerar según factores externos e internos referidos a la empresa y su contexto. Es decir, se deben conocer los elementos relevantes para los propósitos de la empresa que afectan a la capacidad de conseguir los resultados esperados con relación al SGSI.

Los elementos internos, son cuestiones que se consideran dentro de la empresa y que se encuentran bajo el control de la misma, como puede ser la misión, visión y objetivos, el gobierno y estructura organizacional, roles y responsabilidades según la política, los objetivos y las estrategias, siendo el proceso o niveles de madurez de las partes interesadas entre otros.

Por otro lado, los factores externos no son controlables por las actividades que se realizan dentro de la empresa, y entre ellos, se encuentran el mercado laboral y la competencia, siendo prácticas de la industria, leyes y regulaciones, ambiente político y financiero, además de todas las condiciones culturales y sociales, partes interesadas externas, entre otros factores. La identificación de los elementos permite conocer todas las características de la organización y el ambiente en el que se consiguen los objetivos.

Necesidades y expectativas de las partes interesadas

Los requisitos de los estándares establecen que el alcance debe ser considerado por las necesidades y las expectativas de las partes interesadas. Las partes interesas son todos los individuos, grupos o empresas que generen un beneficio o perjuicio que se encuentra relacionado con los intereses y las actividades de la empresa.

Las partes interesadas pueden ser internas o externas, además deben considerarse como elementos importantes para la planificación del SGSI, ya que en ocasiones pueden incluir requisitos legales o reglamentarios, además de las obligaciones.

Entre las partes interesadas con el sistema de gestión puede incluirse diferentes roles dentro de la empresa, entre ellos, directores, empleados, dueños de procesos o jefes de áreas. Las partes interesadas varían de una empresa a otra, y se encuentra directamente relacionadas con las actividades primordiales. Algunas partes interesadas externas pueden ser:

  • Proveedores
  • Clientes
  • Usuarios
  • Acreedores
  • Gobiernos
  • Sociedad
  • Otros

En un sentido amplio, una parte interesada debe ser la entidad o persona que se beneficia de la efectiva seguridad de la información según el SGSI, y en sentido opuesto, quien puede verse afectado si se presenta algún accidente de seguridad de la información, es decir, la lista no se encuentra limitada.

Por esto, la empresa tiene que definir todas las partes interesadas que son relevantes para el sistema de gestión y los requisitos de las partes interesadas siendo relevantes en la seguridad de la información, así como las expectativas de seguridad.

Interfaces de las actividades de la empresa

Como parte de la definición del alcance se describe en los diferentes requisitos del estándar, se tienen que identificar todos los interfaces y las dependencias entre actividades desempeñadas por la empresa, y aquellas que se lleva a cabo por las empresas.

Una manera de abordar la definición del alcance es mediante el enfoque de procesos, por lo que la empresa necesita identificar los procesos que soportan las actividades críticas, además de los puntos por lo que interactúan entradas y salidas de los procesos.

Para definir las interfaces, se puede tratar de identificar los diferentes puntos finales que se encuentran bajo control. Son límites lógicos, como la red local o los límites físicos, como pueden ser inmuebles u oficinas. Otro enfoque para la identificación de las interfaces mediante la interacción de las personas, los procesos y la tecnología.

Alcance del SGSI: entre los límites y la aplicabilidad

Por lo que, la definición de alcance permite conocer la aplicabilidad y los límites para la protección de la información y otros activos, ahí la importancia de su declaración en la implementación de las medidas de seguridad. Esto no supone que se realicen otras actividades o iniciativas de seguridad que se deben descartar por que se encuentra fuera del alcance.

Por el contrario, las actividades pueden contribuir para que el alcance puede estar conforme a la criticidad de los procesos, unidades físicas o activos de información que tienen que estar protegidos, pero con un mayor alcance. Es necesario utilizar muchos más recursos y más esfuerzos para cumplir con los diferentes requisitos de seguridad en la empresa.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba