Cómo definir el alcance del Sistema de Gestión de Seguridad de la Información (SGSI)

Cómo definir el alcance del Sistema de Gestión de Seguridad de la Información (SGSI)

La definición del alcance del Sistema de Gestión de Seguridad de la Información es una de las tareas más interesantes, pero también que mayor atención requiere, durante la implementación de ISO 27001:2013.

La edición de 2013 de ISO 27001 introduce conceptos como las dependencias e interfaces que deben ser considerados a la hora de definir el alcance del Sistema de Gestión de Seguridad de la Información. El tema sin duda requiere atención, pero no es tan difícil como parece.

¿Cuál es el propósito del alcance del Sistema de Gestión de Seguridad de la Información?

El propósito inmediato es definir cuál es la información que la organización pretende proteger. Entonces, con este objetivo, no es necesario considerar el formato en el que se almacena la información, cuál es su ubicación ni si se resguarda en alguna instalación de la organización o en la nube.

Tampoco tiene importancia, a efectos de definir el alcance del Sistema de Gestión de Seguridad de la Información, si existe acceso a través de una red local o se hace por medio de un acceso remoto. Lo importante es que la organización entienda que es prioritario y crítico proteger esa información.

El alcance del SGSI debe llegar a todas partes en aras de garantizar esa protección. De modo que si existe información que debe protegerse contenida en ordenadores portátiles que los empleados están autorizados a llevarse a sus casas, también hasta allí debe abarcar el SGSI.

En un #SGSI la definición del alcance es una tarea que reviste especial importancia. #ISO27001 tiene requisitos que presentamos hoy. Clic para tuitear

Definir el alcance del Sistema de Gestión de Seguridad de la Información según ISO 27001

Básicamente, ISO 27001 nos pide tener en cuenta lo siguiente al determinar el alcance del Sistema de Gestión de Seguridad de la Información:

  • El contexto interno y externo de la organización, establecido en la cláusula 4.1.
  • Los requisitos contenidos en la cláusula 4.2, en los que se solicita identificar las partes interesadas en la conformidad con la norma ISO 27001.
  • Las dependencias e interfaces entre el SGSI y el exterior de la organización y del sistema.
  • La inclusión, en el documento de alcance del SGSI, una descripción breve pero concisa sobre las ubicaciones de la organización, las formas en que se comunican entre ellas, sus áreas de extensión y las características del perímetro que las circunda. Aunque esto no es un requisito obligatorio de ISO 27001, en la auditoría de certificación, será de gran ayuda para el auditor.

Lo que sí exige ISO 27001 es que se redacte un documento en el que se defina el alcance del SGSI. Aunque este documento se puede integrar con otro, como la Política de Seguridad de la Información, mantenerlo disponible y accesible como un documento separado resulta una buena idea.

Dos conceptos nuevos: dependencias e interfaces

ISO 27001 trae dos conceptos nuevos y muy interesantes que no se pueden eludir a la hora de definir el alcance del Sistema de Gestión de Seguridad de la Información:

Dependencias

El Sistema de Gestión de Seguridad de la Información se basa en los procesos internos de su organización. Sin embargo, también existen procesos críticos de negocios que se suministran desde el exterior de la organización. Todos estos procesos, sin importar si se ubican estrictamente en el ámbito de TI o de Seguridad, son considerados dependencias dentro del SGSI.

Pueden estar relacionados con proveedores, clientes, o tareas que realiza un operador de telecomunicaciones, aunque involucre solo de forma tangencial a la información de la organización.

Interfaces

Una vez se han definido las dependencias, es fácil identificar las interfaces, ya que ellas son los puntos de contacto entre los procesos internos o externos (dependencias), a través de los cuales se generan entradas y salidas. Las interfaces, son las que permiten definir el alcance del Sistema de Gestión de Seguridad de la Información. ¿Cómo identificarlas?

  • Puede tratar de identificar todos los puntos finales que están bajo su control. Por ejemplo, en la red local, este punto podría ser el router, teniendo en cuenta por supuesto, que sobre él tiene alguna injerencia su compañía de telecomunicaciones.
  • Otra forma de definir las interfaces es a través de tres factores: Personas, procesos y tecnología. Las personas serían los usuarios de un determinado software. Los procesos serían aquellos que se encargan de resolver problemas relacionados con errores de software. El desarrollo de nuevas funcionalidades como software o apps, sería la tecnología.

Diplomado implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

Definir el alcance del Sistema de Gestión de Seguridad de la Información permite establecer un plan de trabajo consolidado para emprender la implementación. Por supuesto, y como siempre lo recordamos, la formación forma parte esencial del proceso de implementación de cualquier sistema de gestión.

Nuestra sugerencia de hoy es el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013, programa de formación de alto nivel presentado por la Escuela Europea de Excelencia, que ofrece a sus estudiantes el conocimiento profundo de todos los requisitos de la norma, las competencias y las herramientas necesarias para implementar y auditar un SGSI. Garantícese una plaza en este diplomado inscribiéndose aquí.

Compartir esta entrada