| 25 años generando CONFIANZA
Alcance del Sistema de Seguridad de la Información
La determinación del alcance del Sistema de Seguridad de la Información, ha sido una de las principales novedades incluidas en la revisión de norma ISO 27001.
Concretamente al definir el alcance del Sistema de Seguridad de la Información, se busca como principal objetivo clarificar cual es la información a la que se quiere dar protección, con independencia de dónde se halle, cómo se almacene o quién pueda acceder a la misma.
Veamos a continuación qué novedades se introducen en relación al alcance del Sistema de Seguridad de la Información tras la actualización última de 2013 de la norma ISO 27001.
Requisitos de la norma ISO 27001, para determinar el alcance del Sistema de Seguridad de la Información
A la hora de definir el alcance del Sistema de Seguridad de la Información bajo los fundamentos de ISO 27001 debemos tener en cuenta:
- Análisis de los aspectos tanto internos como externos, tal como se recoge en la cláusula 4.1. de cara a lograr un entendimiento de la organización.
- Identificar las partes interesadas, de acuerdo a la cláusula 4.2.
- Analizar las interrelaciones entre lo que ocurre dentro del Sistema de Gestión de Seguridad de la Información y el mundo externo, es lo que denominamos análisis de las interfaces y dependencias.
Además de lo anterior, es también recomendable incluir en el documento que recoge el alcance del Sistema de Seguridad de la Información, información respecto a la ubicación y las unidades organizativas que integran la organización,
Vamos a centrar la atención en el tercer de los puntos a considerar al determinar el alcance del Sistema de Seguridad de la Información, es decir cómo tratar las interfaces y dependencias entre las actividades realizadas por la organización y el mundo del exterior.
Interfaces y dependencias
Para definir las dependencias dentro del propio SGSI, se recomienda comenzar por una descripción gráfica en la que se vea claramente los procesos que estarían incluidos dentro del alcance del SGSI y aquellos otros que quedan fuera de dicho alcance.
Una vez conocidas las dependencias, lo siguiente es identificar las interfaces, las cuales son esenciales para poder conocer los límites del Sistema de Gestión de Seguridad de la Información y poder tener una mejor comprensión de las diferentes entradas y salidas que pasan por tales interfaces.
Para identificar las interfaces, se debe:
- Identificar todos aquellos aspectos bajo su control.
- Definir las características de alto nivel de las mencionadas interfaces en base a los tres factores como son, las personas, los procesos y la tecnología.
También le puede interesar la lectura de Qué debe incluir la Política de Seguridad de la Información según ISO 27001
Problemas a evitar al definir el alcance del Sistema de Seguridad de la Información
1.- Un alcance del Sistema de Gestión de Seguridad de la Información más pequeño no implica un menor trabajo.
De hecho, aquellas partes que quedan fuera de dicho alcance, serán tratadas como parte externa, lo que significa que deben definirse una serie de limitaciones de acceso a la información que sí entra dentro del alcance.
Esta limitación de acceso a la información, puede suponer mayores problemas de los considerados, por ello se considera que esto es principalmente factible en grandes organizaciones.
Cómo definir el alcance del #SistemaSeguridadInformación – SGSI Share on X
2.- Eliminar ciertos controles es algo independiente del alcance del SGSI.
Es decir, la exclusión de los controles sólo es posible cuando no existan riesgos, ni requisitos a seguir que exijan la presencia de controles para su verificación.
En definitiva, aunque a priori, definir el alcance del Sistema de Seguridad de la Información puede parecer un proceso complejo, debe saber que una vez definido el mismo, la organización se verá beneficiada, pues tendrá una mejor comprensión del ambiente laboral en el que funciona, de los requisitos en materia de seguridad de la información que debe cumplir, así como poder centrar su atención en aquella información de carácter más sensible.
Software ISOTools Excellence
El Software ISOTools Excellence, ayuda a las organizaciones en su proceso de implementación del SGSI bajo la norma ISO 27001, mediante la automatización aportada al mismo.
Para conocer más información al respecto, nuestros consultores estarán encantados de ponerse en contacto con usted para resolver todas aquellas dudas y preguntas que usted tenga.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...