En publicaciones anteriores realizada en WeLiveSecurity, hemos hecho referencia a aspectos requeridos y útiles durante la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), como conocer y utilizar las publicaciones de la serie 27000.
Posteriormente, como parte de este trabajo enfocado a la gestión de la seguridad dentro de una organización, abordamos otras consideraciones previas a ese proceso, como contar con el respaldo y patrocinio de la alta dirección, la formación de las estructuras para la toma de decisiones, acciones como el análisis de brechas, del impacto al negocio, o bien, cuestiones esenciales como contar con los recursos para las iniciativas de seguridad.
En esta ocasión, revisaremos las consideraciones para definir el alcance del SGSI, una de las decisiones iniciales más importantes para la efectividad e idoneidad del sistema de gestión.
Alcance del sistema de gestión
El alcance describe la extensión y los límites del SGSI, por lo que puede estar definido en términos de los activos de información, la ubicación física, las unidades organizacionales, actividades o procesos de mayor importancia para la organización, es decir, se trata de la selección de los elementos críticos a proteger.
La definición del alcance es un requisito (de carácter obligatorio) descrito en la cláusula 4.3 de ISO/IEC 27001:2013, por lo que las características de este requisito tienen la intención de dejar en claro todo lo que es de interés para el sistema de gestión, relacionándose con las actividades esenciales, es decir, aquellas que permiten cumplir con la misión y los objetivos generales de la organización.
el alcance describe la extensión y los límites del sistema de gestión de seguridad de la información (sgsi)
Se trata de la primera decisión trascendente que debe considerarse, ya que determina exactamente lo que será protegido por la organización y la magnitud de los recursos necesarios para la implementación y operación del sistema de gestión. Una vez definido, el alcance debe estar disponible como información documentada. A continuación, revisamos los requisitos establecidos en la norma 27001.
Requisitos del estándar ISO 27001 para el alcance
- La organización y su contexto
El estándar establece que la organización debe determinar los límites y la aplicabilidad del SGSI para definir su alcance; en este proceso, se deben considerar factores externos e internos referidos a la organización y su contexto (cláusula 4.1). En otras palabras, se deben conocer los elementos relevantes para los propósitos de la organización y que afectan su capacidad para alcanzar los resultados deseados con relación al SGSI.
Los elementos internos, como su nombre lo indica, son cuestiones consideradas dentro de la organización y que se encuentran bajo el control de la misma, como por ejemplo: misión, visión y objetivos; gobierno y estructura organizacional; roles y responsabilidades; políticas, objetivos y estrategias; procesos y niveles de madurez; partes interesadas internas, entre otros.
Por otro lado, los factores externos no son controlables por las actividades que se llevan a cabo dentro de la organización, y entre otros, se encuentran: mercado local y competencia; prácticas de la industria; leyes y regulaciones; ambiente político y financiero; condiciones culturales y sociales; partes interesadas externas, entre otros factores. La identificación de estos elementos permite conocer las características de la empresa y el ambiente en el cual opera para lograr sus objetivos.
- Necesidades y expectativas de las partes interesadas
Además, los requisitos de estándar también establecen que el alcance debe considerar las necesidades y expectativas de las partes interesadas (cláusula 4.2). Las partes interesadas son todos aquellos individuos, grupos u organizaciones que tengan algún beneficio o perjuicio, relacionado con los intereses y actividades de la organización.
Las partes interesadas también pueden ser internas o externas, y deben ser consideradas como elementos importantes para la planeación del SGSI, ya que en ocasiones pueden incluir requisitos legales o reglamentarios, así como obligaciones contractuales.
Entre las partes interesadas con el sistema de gestión pueden incluirse diferentes roles dentro de la organización, entre ellos: directores, empleados, dueños de procesos o jefes de áreas. Las partes interesadas varían de una organización a otra, y están directamente relacionadas con sus actividades primordiales. Algunas partes interesadas externas pueden ser: proveedores, clientes, usuarios, acreedores, gobiernos, sociedad u otros.
Sin embargo, en un sentido amplio, una parte interesada debería ser la entidad o persona que se beneficia de la efectiva seguridad de la información plasmada a través del SGSI, y en sentido opuesto, quien puede verse afectado si se presenta algún incidente de seguridad de la información, es decir que la lista no está limitada a lo antes expuesto.
Por ello, la organización debe definir las partes interesadas que son relevantes para el sistema de gestión y los requisitos de esas partes interesadas relevantes para la seguridad de la información, así como sus expectativas de seguridad.
- Interfaces y dependencias de actividades en la organización
Finalmente, como parte de la definición del alcance descrita en los requisitos del estándar, se deben identificar las interfaces y dependencias entre actividades desempeñadas por la organización, y aquellas que se realizan por otras organizaciones.
Una forma de abordar la definición del alcance es a través del enfoque de procesos, por lo que la organización necesita identificar los procesos que soportan las actividades críticas (dependencias), así como los puntos por los cuales interactúan entradas y salidas de esos procesos (interfaces).
Para definir las interfaces, se puede tratar de identificar todos los puntos finales que se encuentran bajo control. Por ejemplo, límites lógicos, como la red local, o límites físicos, como inmuebles u oficinas. Otro enfoque para la identificación de las interfaces es a través de la interacción de las personas, los procesos y la tecnología.
Alcance del SGSI: entre los límites y la aplicabilidad
Por lo tanto, la definición del alcance permite conocer la aplicabilidad y los límites para la protección de la información y otros activos, ahí la importancia de su declaración en la implementación de las medidas de seguridad. Sin embargo, esto no significa que otras actividades o iniciativas de seguridad deban descartarse por estar fuera del alcance.
Por el contrario, esas actividades podrían contribuir para que el alcance pueda crecer conforme a la criticidad de los procesos, unidades físicas u otros activos de información que se desean proteger; pero sin duda, con un mayor alcance, se requieren más recursos y más esfuerzos para cumplir con los requisitos de seguridad en la organización.
En futuras publicaciones, seguiremos abordando más cuestiones relacionadas con la implementación del SGSI, que permitan conocer más requisitos del estándar ISO 27001 y otras buenas prácticas para la preservación de la confidencialidad, la integridad y la disponibilidad de la información.
Créditos Imagen: Štefan Štefančík on Unsplash