Se debe determinar cómo se va a implementar el SGSI, establecer los límites, su aplicabilidad, los asuntos internos y externos que afecten los objetivos del mismo, los requerimientos de las partes interesadas y las interfaces y dependencias. Se debe elegir en qué áreas de la organización se desea implantar el SGSI, por lo general son aquellas que por sus funciones o responsabilidades ayudan a dar cumplimiento a la misión institucional. El propósito del alcance es definir qué información se va a proteger, no importa si esta información se almacena dentro de las oficinas de la organización, en la nube o si se accede a dicha información desde la red local o remotamente. El punto es que como responsables de la seguridad de la información debemos de protegerla sin importar dónde, cómo y por quién se accede a esta. Si tenemos información que queda fuera del alcance del SGSI no significa que no se le aplicarán medidas o controles de seguridad, implica que la responsabilidad de la

La ISO/IEC 27001:2013 está basado en el ciclo de mejora continua o Deming (Plan, Do, Check, Act). Plan : Consiste en planificar acciones para hacer frente a los riesgos e identificar las oportunidades, para posteriormente evaluarlas y gestionarlas. Definir las políticas de seguridad de la información Establecer el alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles de seguridad Definir competencias Establecer el mapa de riesgos Definir autoridades y responsabilidades Do : Indica que la organización debe de disponer los recursos necesarios para establecer, implementar y mantener el SGSI, además de dar a conocer las políticas de seguridad de la información del SGSI. Poner en marcha el Plan de gestión de riesgos establecido Se implanta el SGSI Se establecen los controles de seguridad Check – Controlar Revisar internamente el SGSI Realizar auditorias Se revisan los indicadores y métricas del SGSI Act Realizan las acciones cor

Se denomina activos de información a todos aquellos que otorgan valor a la organización y por lo tanto deben protegerse. ISO/IEC 27001:2013: Antes de gestionar los riesgos, se deben identificar y evaluar los activos de información (tangibles e intangibles) dentro de cada proceso definido en el Alcance del SGSI. Los activos de información pueden ser: archivos, base de datos, contratos y acuerdos, documentos de sistemas, manuales de usuario, material de capacitaciones, aplicaciones o software, equipos informáticos, servicios informáticos y comunicaciones. Tipos de activos según MAGERIT v3.0: Datos: Cualquier dato que se genere, recoja, gestione, transmite o distribuya en la organización . Aplicaciones: Software que se utiliza para la gestión de información. Servicios internos: Los que un área suministra a otra. Servicios externos: Aquellos que la organización suministra a clientes o usuarios. Equipos informáticos: Hardware que permite hospedar datos, aplicaciones

Esta norma internacional proporciona los requisitos para establecer, implementar, mantener y mejorar de manera continua un Sistema de Gestión de Seguridad de la Información (SGSI). Es importante que el SGSI esté integrado a los procesos y a la estructura de gestión de la organización, su implementación puede ser escalada según las necesidades de la organización. El propósito de un SGSI es garantizar que los riesgos de seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada. La ISO/IEC 27001:2013 está basado en el ciclo de mejora continua o Deming (Plan, Do, Check, Act) ver aqui . Un SGSI se fundamenta principalmente en la identificación y análisis de las principales amenazas, para a partir de este punto de partida poder establecer una evaluación y planificación de los riesgos. Identificación del riesgo Se debe identificar los riesgos de cada uno de los procesos definidos en el

Brinda una descripción de procesos de delimitación del Sistema de Gestión de Seguridad de la Información, diseño y ejecución de distintos planes de implementación. Ayuda a realizar el diseño para una buena implementación del SGSI que describe el estándar ISO/IEC 27001:2013.  Esta norma es una guía para todos aquellos que deseen implementar un SGSI o aquellos consultores en su trabajo profesional. Describe los procesos para conseguir la aprobación del SGSI: Documentación requerida por la ISO/IEC 27001: La obtenemos de las normas ISO/IEC 27001:2013, 27003:2010 y un EDT (estructura de desglose de trabajo). Mapa de procesos de negocio: Lo obtenemos a partir de un BPMN (Business Process Modeling Notation), que permite el modelado de procesos de negocio en un formato de flujo de trabajo. Podemos usar por ejemplo Bizagi, es un software gratuito que soporta BPMN 2.0. Identificación de activos de información relevantes. Metodología de gestión de riesgos. Mapa de riesgos. Lista de