¿Cómo definir el alcance de un Sistema de Gestión de Seguridad de la Información?
Sistema de Gestión de Seguridad de la información
Durante el artículo de hoy queremos revisar las diferentes consideraciones necesarias para definir el alcance del Sistema de Gestión de Seguridad de la Información, una de las decisiones iniciales más importantes para la efectividad e idoneidad del sistema de gestión.
Alcance del sistema de gestión de seguridad de la información
El alcance nos ayuda a describir la extensión y los límites del Sistema de Gestión de Seguridad de la Información, por lo que se pueden definir todos los términos de los activos de información, la ubicación física, las unidades organizaciones, actividades o procesos de gran importancia para la organización, es decir, se trata de la selección de los elementos críticos que se deben proteger.
La definición del alcance es un requisito que se encuentra descrito dentro del apartado 4.3 de la norma ISO 27001, por lo que las características de este requisito tienen la intención de dejar en claro todo lo que es de interés para el sistema de gestión, relacionándose con las actividades esenciales, es decir, las que permiten cumplir con la misión y los objetivos generales de la empresa.
Lo primero que se debe tener en cuenta es lo que quiere ser protegido por la organización y la magnitud de los recursos necesarios para la implantación y operación del sistema de gestión. Una vez que se define el alcance deberá estar disponible como información documentada. A continuación, queremos realizar una revisión de los requisitos establecidos en la norma ISO 27001.
Requisitos de la norma ISO 27001 para el alcance
-
La empresa y su contexto
El estándar establece que la empresa deberá determinar todos los límites y la aplicabilidad del Sistema de Gestión de Seguridad de la Información para poder establecer el alcance, siendo este proceso en el que se deberán considerar todos los factores externos e internos que se refieren a la empresa y su contexto. En pocas palabras, se deberán conocer todos los elementos relevantes para los propósitos de la empresa y que afectan a la capacidad para conseguir los resultados deseados con relación al Sistema de Gestión de Seguridad de la Información.
Los elementos internos, se consideran dentro de la empresa y se encuentran bajo el control de la misma. Para que se más fácilmente entendible podemos poner algún ejemplo, como la misión, visión, objetivos, etc. gobierno y estructura organizacional, roles y responsabilidades, políticas, objetivos y estrategias, procesos y niveles de madurez, partes interesadas internas, entre otros.
Por otro lado, nos encontramos con los factores externos que no son controlables por las actividades que se llevan a cabo dentro de la empresa, entre ellos se encuentran:
- El mercado local y competencia
- Prácticas de la industria
- Leyes y regulaciones
- Ambiente político y financiero
- Condiciones culturales y sociales
- Partes interesadas externas, entre otros.
Las identificaciones de estos elementos permiten conocer las características de la organización y el ambiente en el cual opera para conseguir sus objetivos.
-
Necesidades y expectativas de las partes interesadas
Se establece que dentro del alcance se tienen que tener en cuenta las necesidades y expectativas de las partes interesadas. Las partes interesadas son todos aquellos individuos, grupos u organizaciones que tengan algún beneficio o perjuicio que se relaciona con los intereses y actividades de la empresa.
Las partes interesadas pueden ser internas o externas, y deben ser consideradas como elementos importantes para la planificación del Sistema de Gestión de Seguridad de la Información, ya que en ocasiones pueden incluir requisitos legales o reglamentarios, así como obligaciones contractuales.
Según el sistema de gestión, las partes interesadas pueden incluirse diferentes roles dentro de la empresa, entre ellos: directores, empleados, dueños de procesos o jefes de áreas. Las partes interesadas varían de una empresa a otra, y están directamente relacionadas con las actividades primordiales. Algunas partes interesadas externas pueden ser:
- Proveedores
- Clientes
- Usuarios
- Acreedores
- Gobiernos
- Sociedad
Una parte interesada debería ser la entidad o persona que se beneficia de la efectiva seguridad de la información plasmada mediante el Sistema de Gestión de Seguridad de la Información, y en sentido opuesto, quien puede verse afectado si se presenta algún incidente de seguridad de la información, es decir, que la lista no se encuentre limitada a lo antes expuesto.
La empresa debe definir las partes interesadas que son relevantes para el sistema de gestión y los requisitos de estas partes interesadas relevantes para la seguridad de la información, además de las expectativas de seguridad.
-
Interfaces y dependencias de actividades en la empresa
Finalmente, como parte de la definición del alcance descrito en los requisitos del estándar, se deben identificar los interfaces y dependencias entre actividades desempeñadas por la empresa, y aquellas que se realizan por otras empresas.
Una manera de abordar la definición del alcance es mediante el enfoque de procesos, por lo que la empresa necesita identificar los procesos que soportan las actividades críticas, así como los puntos por lo que cuales interactúan entradas y salidas de esos procesos.
Para definir los interfaces, se puede realizar la identificación de todos los puntos finales que se encuentran bajo control. Por ejemplo, límites lógicos, con la red local o límites físicos, como inmuebles u oficinas. Otro enfoque para la identificación de las interfaces es mediante la interacción de las personas, los procesos y la tecnología.
La Plataforma ISOTools facilita la automatización de un Sistema de Gestión de Seguridad de la Información
La ISO 27001 para los SGSI es sencilla de automatizar y mantener con la Plataforma Tecnológica ISOTools.
Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.
ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.
Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.
