Determinación del alcance del SGSI
Alcance del SGSI
Es importante, tener en cuenta algunas consideraciones cuando queremos implantar un sistema de gestión de seguridad de la información en nuestra empresa. Resulta fundamental entre otras cosas, tener el apoyo de la alta dirección en todo el proceso, la formación de todos los trabajadores, análisis de posibles brechas, impacto en el negocio, o contar con los recursos necesarios para llevar a cabo las distintas iniciativas de seguridad…
El alcance de aplicación del SGSI hay que definirlo antes de implantar la norma, además, esta norma nos puede resultar como guía para el trabajo de implementación.
El alcance del SGSI sirve para determinar e identificar qué información queremos preservar. Además, define los límites y ampliación y puede estar determinado en función a los activos de información de la empresa, la ubicación física, la estructura organizacional, procesos o actividades principales, en definitiva, de los elementos críticos a proteger. Esto quiere decir que no importa si está en la nube o en equipos locales o si se accede a través de una red local o mediante acceso remoto la información que necesitamos proteger.
Un ejemplo actual en el teletrabajo es que algunos trabajadores usen sus equipos personales en el desempeño de su trabajo, si estos equipos acceden a información sensible de la empresa estos equipos deben de estar dentro del alcance del SGSI.
En el caso de certificar nuestro sistema, la definición del alcance es un requerimiento obligatorio expuesto en el punto 4 de ISO/IEC 27001:2013. Para definir el alcance del SGSI, hay que tener en cuenta los problemas internos y externos (análisis del contexto de la organización) y los requisitos y expectativas procedentes de las partes interesadas, relacionándose con las actividades esenciales, es decir, aquellas que permiten cumplir con la misión y los objetivos generales de la organización.
Uno de los requerimientos es conocer y determinar que procesos y departamentos se van a incluir en el alcance del SGSI, no nos referimos solo a los procesos de seguridad de la información, sino también a los procesos de la empresa. Todas aquellas empresas certificadas en la Norma ISO 9001, tienen definidos todos los procesos que son de aplicación a su negocio. Desde el mapa de procesos podemos seleccionar todos aquellos procesos que van a ser incluidos en el alcance y cuales se van a quedar fuera de nuestro alcance.
Una vez seleccionados los procesos y los departamentos debemos identificar las relaciones entre ellos. Para ver esas relaciones entre procesos estudiaremos las entradas y salidas de los procesos y podremos visualizar más claramente estas interrelaciones. Nos puede interesar tener en cuenta lo siguiente:
- Identificar los puntos finales sometidos a control: Por ejemplo, en una red local los roouters serían el punto final de control del servicio que nos aporta el proveedor de servicios de TI.
- Definir las características de alto nivel de las interfaces: en lo que se refiere a personas (todos los usuarios, mantenedores, programadores, etc.), en los procesos (elementos de entradas y salidas) y en las tecnologías (correo electrónico, aplicaciones de escritorio, sistemas operativos.)
Cuando deseamos por alguna razón no incluir algún proceso o departamento en el alcance del SGSI, no es fácil. Supone un mayor esfuerzo y puede no ser posible. Nos podemos encontrar con:
- Definir un control en los flujos de información entre departamentos
- Separar infraestructuras (recursos y físicas) de acceso a la información.
- El departamento que queramos excluir sería un ente externo a la empresa con todo lo que conlleva.
Otra decisión en la cual nos vamos a encontrar es la selección de controles aplicables. La selección de controles solo depende de la evaluación de riesgos y de requisitos aplicables que requieran la aplicación de ciertos controles. Si algún riesgo o requisito necesitase un control para su reducción o mitigación no podremos excluir esos controles.
El alcance tiene que estar como información documentada. Ya sea en un manual o en algún procedimiento.
Requisitos establecidos en la norma 27001
Requisitos del estándar ISO 27001 para el alcance:
- Clausula 4.1. La organización y su contexto: La organización debe determinar los límites y la aplicabilidad del SGSI para definir su alcance, en este proceso, se deben considerar factores externos e internos. Los elementos internos son cuestiones dentro de la organización y que se encuentran controladas por la misma. Los factores externos como su nombre indica, son elementos que no están controlados por la organización.
- Clausula 4.2. Las partes interesadas son todos aquellos individuos, grupos u organizaciones que influyen directa o indirectamente en la organización. Las partes interesadas también pueden ser internas o externas, y deben ser consideradas como elementos importantes para la planeación del SGSI, ya que en ocasiones pueden incluir requisitos legales o reglamentarios, así como obligaciones contractuales. Las partes interesadas pueden ser, por ejemplo: proveedores, accionistas, gobiernos, usuarios, clientes, etc. En teoría una parte interesada debe de favorecerse de la efectividad en el sistema de seguridad de la información, igualmente también se puede ver afectado en el caso que ocurriese un incidente de seguridad. Se deben de estudiar sus necesidades y expectativas.
Como resumen, la definición del alcance sirve para poner los límites en la protección de la información en una organización y otros activos. Además, también es de utilidad para implantar medidas de seguridad. No significa que otras actividades o iniciativas puedan descartarse por estar fuera del alcance.
La Plataforma ISOTools facilita la automatización de un Sistema de Gestión de Seguridad de la Información
La ISO 27001 para los SGSI es sencilla de automatizar y mantener con la Plataforma Tecnológica ISOTools.
Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar). De esta forma es posible establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información. Así se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO/IEC 27002.
ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.
Este software permite integrar la ISO/IEC 27001 con otras normas. Entre estas normas puede destacarse ISO 9001, ISO 14001 e ISO 45001 de una forma sencilla gracias a su estructura modular.