La definición del alcance de ISO 27001 es uno de los primeros requisitos que establece la norma de seguridad de la información. En la cláusula 4.3 del estándar se requiere a las organizaciones “determinar los límites dentro de los cuales operará el sistema y tendrá aplicación”.
Para hacerlo – determinar el alcance de ISO/IEC 27001 – la norma aclara que es preciso tener en cuenta los requisitos previos de contexto de la organización (4.1) y necesidades de las partes interesadas (4.2).
Entonces, uno de los primeros pasos esenciales e importantes para implementar un sistema de seguridad de la información es definir el alcance de ISO 27001. Así, a continuación, explicamos en detalle cómo hacerlo y qué errores frecuentes evitar.
¿Por qué definir el alcance de ISO/IEC 27001?
Más allá de que es un requisito de la norma, lo adecuado es enfocar la tarea de acuerdo con el propósito específico de la implementación del estándar:
- Disminuir o eliminar el riesgo de acceso, corrupción, eliminación o mal uso de la información de la empresa o de sus clientes, proveedores, empleados u otros terceros, puede ser uno de esos objetivos.
- Demostrar confiabilidad y transparencia ante clientes, inversores y organismos reguladores, puede ser otro objetivo que influya en la definición del alcance de ISO 27001.
- Evitar multas e incidentes de cumplimiento, especialmente en lo relacionado con el Reglamento General de Protección de Datos, entre otras normas, es también un objetivo relevante para la definición del alcance.
- Ahorrar tiempo y dinero en la preparación de la documentación. Un enfoque bien definido evita desperdiciar esfuerzos y recursos en áreas, ubicaciones o departamentos sobre los que no se requiere o no se desea que tenga alcance el Sistema.
- Responder a la exigencia de un cliente o una entidad reguladora. En ocasiones, la implementación obedece a una solicitud de un cliente o un organismo regulador. En ese caso, es preciso tener en cuenta la razón de tal solicitud, y los intereses de esas partes interesadas, para definir el alcance en concordancia con ello.
¿Cómo definir el alcance de ISO 27001?
El coste de implementación del Sistema, así como la duración y los recursos necesarios para llevar a cabo el mantenimiento del mismo y actividades de evaluación como las auditorías de seguridad de la información, dependen de una adecuada definición del alcance de ISO/IEC 27001.
El alcance y su adecuada definición se convierte entonces en un primer filtro en el propósito de mejorar la eficiencia y optimizar recursos.
Hay varios criterios a tener en cuenta:
1. Identificar procesos críticos para definir objetivos de seguridad
La seguridad de la información es el objetivo principal detrás de la implementación ISO 20071. Así, es preciso revisar el modelo comercial para identificar procesos, sistemas, activos y datos críticos para el negocio.
2. Incluir la ubicación física
Cuando se utiliza espacio de oficina, la seguridad física de los activos también se incluye en el SGSI. Si la organización tiene varias ubicaciones, también se deben tener en cuenta en el alcance de ISO/IEC 27001.
Igualmente, la ubicación es particularmente relevante cuando se trata de diferentes naciones o regiones geográficas.
3. Definir las interfaces y dependencias
Pueden ser departamentos internos o partes interesadas externas, como clientes, socios, proveedores, etc., con quienes se podría intercambiar información.
4. Considerar la integración con otras certificaciones
Si la organización cuenta con otras certificaciones de cumplimiento, es recomendable considerarlo para alinearlas e integrarlas con la implementación de ISO 27001.
5. Identificar procesos de apoyo
Si hay procesos adicionales que están fuera de los departamentos internos, pero que son críticos para las operaciones comerciales, también deben tenerse en cuenta.
Un apunte adicional es que definir de forma adecuada el alcance de ISO 27001 tiene gran importancia para la implementación de los controles aplicables para la organización, contenidos en el Anexo A.
Definir de forma correcta el alcance de #ISO27001 es clave para la eficacia del sistema de Seguridad de la Información. Aprende cómo hacerlo con esta guía Clic para tuitear¿Qué errores se pueden cometer en la definición del alcance de ISO 27001?
Definir el alcance es una de las primeras tareas que se acometen durante la implementación de ISO 27001. Así, cualquier error que se cometa afectará el resultado en la construcción posterior del Sistema. Tres de esos errores recurrentes son:
1. Asumir que el sistema tiene que cubrir todo
Un error común es pensar que en el alcance de ISO/IEC 27001 se deben incluir todos los aspectos del negocio. Esto puede tener sentido para una pequeña organización. Sin embargo, si con la implementación de ISO 27001 se tiene un propósito particular o se trata de una organización mediana o grande, puede tener sentido reducir el alcance a un conjunto de áreas bien definidas.
Si el propósito de implementar ISO/EIC 27001 es, por ejemplo, demostrar que un servicio o ubicación determinadas son seguras, una forma de acelerar los procesos es definir el alcance de forma específica para esa área, de acuerdo a los objetivos de seguridad de la información, y no cubrir todos los procesos.
2. No definir el alcance con suficiente precisión
Si se define el alcance para una determinada área, es preciso aclarar si esto incluye la actividad de ese departamento en otras ubicaciones. Lo que se incluye es tan importante como lo que se excluye. Todo debe establecerse con claridad y estar perfectamente expresado en el documento respectivo.
3. No comunicar el alcance o hacerlo mal
El alcance de ISO 27001 no es un documento reservado o confidencial. Con base en él, por ejemplo, se redactará la política. Y este último es un documento público. Un error frecuente es ocultar el alcance.
Pero no solamente se debe comunicar: es preciso hacerlo bien. Es necesario explicar por qué se optó por uno u otro criterio, por qué se excluyen áreas o procesos o por qué se incluyen otros.
La definición del alcance, así como las tareas necesarias para alcanzar la conformidad con otros requisitos de ISO 27001, pueden fluir con agilidad en entornos en los que se han iniciado procesos de Transformación Digital.
Sistemas automatizados, o preparados para ser automatizados, tendrán mayores oportunidades para alcanzar objetivos y ofrecer mejores resultados. Otro elemento esencial es la formación de los líderes de esos sistemas de gestión.
Diplomado de Seguridad de la Información ISO 27001 – Actualizado versión 2022
El Diplomado de Seguridad de la Información ISO/IEC 27001 Actualización 2022 es un programa dirigido a profesionales que quieren convertirse en expertos en el área, pero también aquellos que quieren desempeñarse como auditores de Sistemas de Gestión de Seguridad de la Información.
Este programa entrega Diploma de la Escuela Europea de Excelencia como experto en Seguridad de la Información y en el estándar ISO 27001, certificado como Auditor Interno de Sistemas SI, y la posibilidad de obtener la certificación ERCA, que permite al auditor ejercer su trabajo en cualquier país de Europa o de América Latina.
La información es uno de los activos más valiosos de la organización. Tú puedes agregar un alto valor a tu perfil profesional formándote como experto en Seguridad de la Información.
