Ir al contenido principal

ISO/IEC 27001:2013 - Alcance del SGSI

Se debe determinar cómo se va a implementar el SGSI, establecer los límites, su aplicabilidad, los asuntos internos y externos que afecten los objetivos del mismo, los requerimientos de las partes interesadas y las interfaces y dependencias.
Se debe elegir en qué áreas de la organización se desea implantar el SGSI, por lo general son aquellas que por sus funciones o responsabilidades ayudan a dar cumplimiento a la misión institucional.
El propósito del alcance es definir qué información se va a proteger, no importa si esta información se almacena dentro de las oficinas de la organización, en la nube o si se accede a dicha información desde la red local o remotamente. El punto es que como responsables de la seguridad de la información debemos de protegerla sin importar dónde, cómo y por quién se accede a esta.
Si tenemos información que queda fuera del alcance del SGSI no significa que no se le aplicarán medidas o controles de seguridad, implica que la responsabilidad de la aplicación de dichos controles será transferida a un tercero quién administrará y controlará la seguridad de esa información.

La organización debe tener en cuenta lo siguiente:

Contexto de la organización: Su análisis permite identificar los asuntos o problemas internos o externos de la organización, así como sus debilidades, amenazas, fortalezas y oportunidades que puedan afectar los objetivos del SGSI.
Es fundamental someter a valoración tanto el contexto interno (producto y servicios), como externos (logística, clima laboral u organizacional).

Fijación y medición de objetivos:
  • Los objetivos deben ser medibles, aunque no sean cuantificables.
  • Deben ser comunicados a toda la organización, puesto que todos deben ser conscientes del objetivo que se persigue y que un descuido puede traer consecuencias negativas.

Contexto interno: Se podría considerar la estructura orgánica, funciones y responsabilidades, la estrategia de negocio y los objetivos, las capacidades y los recursos, la cultura organizacional, sistemas de información y procesos, etc.
Contexto externo: Los más importantes son las partes o áreas interesadas, pero también se puede incluir factores políticos, económicos, culturales, tecnológicos o tendencias que podría tener un impacto para la organización.
ISO/IEC 31000:2009: Proporciona directrices para la gestión de riesgos, los que podrían tomarse en cuenta para la identificación de problemas internos y externos.

Cómo identificar los contextos internos y externos

Para identificar el contexto interno se debe hacer lo siguiente:
  • Asegurarse de que los objetivos de seguridad de la información están alineados con la estrategia organizacional (punto 5.1.a).
  • Realizar la evaluación de riesgos, incluida la identificación de los sistemas de información y las relaciones contractuales (punto 6.1.2 y 8.2).
  • Determinar los recursos necesarios para establecer, implementar, mantener y mejorar el SGSI (punto 7.1).
  • Determinar las funciones y responsabilidades para los roles establecidos de la seguridad de la información (punto 5.3). La alta dirección determina estas responsabilidades para asegurar que el SGSI cumple con los requisitos de la norma e informar sobre el desempeño del mismo.
  • Determinar las capacidades o competencias de los usuarios que participan en el SGSI (punto 7.2).
Para identificar el contexto externo se debe hacer lo siguiente:
  • Comprender las necesidades y expectativas de las partes interesadas (punto 4.2).
Partes interesadas: Son las personas u organizaciones que influyen en la información o que son afectadas por las actividades de la seguridad de la información.

Cómo identificar las interfaces y dependencias

Dependencias: Es fácil de describir gráficamente. En un círculo se debe determinar los procesos que se incluyen en el alcance y fuera del círculo los procesos que se proporcionan desde fuera del alcance. Por procesos se entiende, los principales procesos del negocio.
Interfaces: Son importantes para entender los límites del SGSI.

Para definir el alcance debemos tener en cuenta algunas cosas:
  • El propósito de disminuir costos acotando el alcance del SGSI a menudo puede resultar en muchos dolores de cabeza. Cuando el SGSI no abarca a toda la organización, los departamentos que quedan fuera deben tratarse como un proveedor externo.
Ejemplo 1: Si el alcance del SGSI sólo abarca el área de TI y no el sector de compras, a pesar de que el área de TI usa los servicios de Compras, el área de Sistemas deberá realizar un análisis de riesgo que determine si el flujo de información de la cual es responsable el área de TI está comprometida o no, es decir si existe algún riesgo.

Ejemplo 2: Si el alcance del SGSI abarca y excluye a dos áreas que trabajan en un mismo departamento (oficina), además si estos usan una misma red, sin divisiones (VLAN) y por ende tienen acceso a los servicios de red, es muy complicado y poco factible este acotamiento del alcance del SGSI, debido a que no habría forma de controlar el flujo de información.

Es muy importante definir correctamente el alcance del SGSI, sí la organización no es muy grande, cuenta con unos cientos de colaboradores, algunas sedes; es muy recomendable que el alcance del SGSI abarque toda la organización. Por otro lado si no es posible abarcar toda la organización es recomendable que se definan documentos internos (acuerdos, procedimientos, políticas, etc.) con las áreas que quedan fuera del alcance, de tal manera que las responsabilidades queden documentadas.
Etiquetas:

Comentarios

Publicar un comentario

Entradas más populares de este blog

ISO/IEC 27001:2013 - Ciclo de mejora continua o Deming

La ISO/IEC 27001:2013 está basado en el ciclo de mejora continua o Deming (Plan, Do, Check, Act). Plan : Consiste en planificar acciones para hacer frente a los riesgos e identificar las oportunidades, para posteriormente evaluarlas y gestionarlas. Definir las políticas de seguridad de la información Establecer el alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles de seguridad Definir competencias Establecer el mapa de riesgos Definir autoridades y responsabilidades Do : Indica que la organización debe de disponer los recursos necesarios para establecer, implementar y mantener el SGSI, además de dar a conocer las políticas de seguridad de la información del SGSI. Poner en marcha el Plan de gestión de riesgos establecido Se implanta el SGSI Se establecen los controles de seguridad Check – Controlar Revisar internamente el SGSI Realizar auditorias Se revisan los indicadores y métricas del SGSI Act Realizan las acciones cor
Publicar un comentario
Leer más

ISO/IEC 27003:2010: Guía para implementar un SGSI

Brinda una descripción de procesos de delimitación del Sistema de Gestión de Seguridad de la Información, diseño y ejecución de distintos planes de implementación. Ayuda a realizar el diseño para una buena implementación del SGSI que describe el estándar ISO/IEC 27001:2013.  Esta norma es una guía para todos aquellos que deseen implementar un SGSI o aquellos consultores en su trabajo profesional. Describe los procesos para conseguir la aprobación del SGSI: Documentación requerida por la ISO/IEC 27001: La obtenemos de las normas ISO/IEC 27001:2013, 27003:2010 y un EDT (estructura de desglose de trabajo). Mapa de procesos de negocio: Lo obtenemos a partir de un BPMN (Business Process Modeling Notation), que permite el modelado de procesos de negocio en un formato de flujo de trabajo. Podemos usar por ejemplo Bizagi, es un software gratuito que soporta BPMN 2.0. Identificación de activos de información relevantes. Metodología de gestión de riesgos. Mapa de riesgos. Lista de
Publicar un comentario
Leer más