Esta fase del proyecto consiste en establecer el contexto del SGSI en cumplimiento de los requisitos de la norma ISO 27001 recogidos en la cláusula 4 de la Norma

Vamos a abordar aquí como afrontar este nuevo requisito que nos requiere la comprensión del contexto de la Organización y sus necesidades.

Que tenemos que hacer para cumplir con la Cláusula 4

Se trata del punto de partida para desarrollar el SGSI y consiste en determinar o identificar los “problemas” internos y externos a los que se enfrenta la organización.

Explicado de otra forma, el contexto organizacional consiste en considerar las expectativas y necesidades de todas las partes interesadas.

Les resumimos los pasos para poner en marcha este requisito

  • Comprender la organización y su contexto
    • Comunicación y Consultas
    • El contexto del SGSI
    • El Contexto de la Gestión de Riesgos
    • Definición de criterios del riesgo
  • Comprender las necesidades y expectativas de las partes interesadas
    • En que consiste
    • Ejemplos
  • Determinación del Alcance del Sistema de Gestión
    • Propósito del Alcance del SGSI
    • Como definir los limites el SGSI
    • Cuestionario para definir el Alcance del SGSI
    • Ejemplo de Alcance del SGSI

Comprender la organización y su contexto

La norma ISO 27001 alineándose con los estándares ISO 31000 sobre Gestión del Riesgo, nos propone ayudarnos con los requisitos del capítulo 5.3 de esta norma a diferenciar e identificar el contexto interno y externo de la organización

Se trata de identificar en qué medida los aspectos internos y externos podrían afectar al propósito de la organización y a su capacidad para lograr los resultados esperados del SGSI. En otras palabras, los problemas que puedan afectar a la Seguridad de la Información por la influencia de los agentes externos e internos en los que está inmersa la actividad de la organización.

Se trata de identificar la influencia en la Seguridad de la Información determinada por

  • Como se gestiona y gobierna su organización
  • El conocimiento y las capacidades de la organización
  • La cultura de la organización
  • Las relaciones contractuales
  • Como influyen las condiciones ambientales
  • Las tendencias del mercado y de las condiciones regulatorias
  • Los avances tecnológicos
  • Las relaciones con proveedores externos

Determinar todas estas influencias equivale a realizar un proceso de Análisis y evaluación de riesgos. Para ello aconsejamos realizar los siguientes pasos:

1 Comunicación y consulta

Conocer el punto de vista y las perspectivas de todas las partes interesadas tanto externas como internas puede ser una herramienta que nos ayude a identificar causas, riesgos potenciales y aspectos desconocidos sobre la efectividad de las medidas para la seguridad de la información.

Por otro lado, la realización de un plan de comunicación en fase temprana nos ayudara a:

  • Obtener un respaldo seguro y el apoyo necesario para los planes de tratamiento de riesgos
  • Identificar riesgos aportados por distintas áreas de experiencia
  • Integrar y comprender los intereses de todas las partes
  • Mejorar la comunicación con las partes internas y externas

2. El contexto del SGSI

Se trata de definir los parámetros externos e internos que deben tenerse en cuenta al gestionar el riesgo:

EL CONTEXTO EXTERNO

Se trata de definir los parámetros externos e internos que deben tenerse en cuenta al gestionar el riesgo.

El contexto externo puede incluir:

  • El entorno social y cultural, político, legal, regulatorio, financiero, tecnológico, económico, ambiental
  • El entorno competitivo, ya sea internacional, nacional, regional o local;
  • Los factores clave del negocio y las tendencias que tienen impacto en los objetivos de la organización;
  • Las percepciones y los valores de las partes interesadas externas (contratistas, clientes, administraciones públicas etc.).

EL CONTEXTO INTERNO

El contexto interno incluye cualquier cosa dentro de la organización que pueda influir en la forma en que una organización administrará su riesgo de seguridad de la información.

El contexto externo puede incluir:

  • El gobierno y administración, la estructura organizacional, los roles y responsabilidades;
  • Las políticas, los objetivos y las estrategias que existen para alcanzarlos;
  • Capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías);
  • Las relaciones con las percepciones y valores de las partes interesadas internas;
  • La cultura de la organización;
  • Los sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales);
  • Normas, directrices y modelos adoptados por la organización y la forma y el alcance de las relaciones contractuales.

4. El Contexto de la Gestión de Riesgos

La gestión del riesgo debe realizarse teniendo plenamente en cuenta la necesidad de justificar los recursos utilizados para llevar a cabo la gestión del riesgo especificando estos recursos, las responsabilidades y autoridades, y los registros que deben mantenerse.

El contexto del proceso de gestión de riesgos variará de acuerdo con las necesidades de una organización y entre otras cosas debe considerar:

  • Definir las metas y objetivos de las actividades de gestión de riesgos;
  • Definir responsabilidades dentro del proceso de gestión de riesgos;
  • Definir el alcance, así como la profundidad y amplitud de las actividades de gestión de riesgos que se llevarán a cabo, incluidas las exclusiones específicas;
  • Definir la actividad, proceso, función, proyecto, producto, servicio o activo en términos de tiempo y ubicación;
  • Definir las relaciones entre un proyecto, proceso o actividad particular y otros proyectos, procesos o actividades de la organización;
  • Definir las metodologías de evaluación de riesgos;
  • Definir la forma en que se evalúa el rendimiento y la efectividad en la gestión del riesgo;
  • Identificar y especificar las decisiones que deben tomarse;
  • Identificar el alcance o los estudios necesarios, su extensión y objetivos, y los recursos requeridos para dichos estudios.

5. Definición de criterios de riesgo

La organización debe definir los criterios que se utilizarán para evaluar la importancia del riesgo.

Al definir los criterios de riesgo, los factores a considerar deben incluir lo siguiente:

  • La naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo se medirán;
  • Cómo se definirá la verosimilitud;
  • El marco de tiempo de la probabilidad y / o consecuencia;
  • Cómo se determinará el nivel de riesgo;
  • Las opiniones de los interesados;
  • El nivel al cual el riesgo se vuelve aceptable o tolerable;
  • Si se deben tener en cuenta las combinaciones de riesgos múltiples y, de ser así, cómo y qué combinaciones se deben considerar.

La etapa de evaluación de riesgos compara el nivel de riesgos con los criterios de aceptación de riesgos, definidos durante el establecimiento del contexto. Luego, el paso de tratamiento de riesgo establece controles. En el paso de aceptación del riesgo, los riesgos residuales deben ser aceptados por los gerentes de la organización. Luego, la estimación del riesgo intenta calificar las consecuencias de la pérdida en una escala cualitativa o cuantitativa, así como la probabilidad de ocurrencia. Identificando las fuentes del riesgo

Este paso se utiliza para determinar exhaustivamente todas las fuentes de riesgo y posibles eventos que puedan afectar el negocio de la Organización. Cada riesgo debe describirse de la manera más completa posible, de modo que los responsables de la toma de decisiones puedan comprender completamente la situación

Comprender la naturaleza de la amenaza, criticidad y vulnerabilidades relevantes o potenciales es un componente esencial para establecer el contexto. A continuación hay una serie de consideraciones y preguntas que pueden facilitar este proceso:

  • ¿Cómo podrían verse afectadas la confidencialidad, la integridad y la disponibilidad de la información?
  • ¿Cuál es el valor agregado de los activos de información para la Organización?
  • ¿Qué impacto tendría una divulgación involuntaria? ¿Qué supondría un evento o incidente?
  • ¿Cuál sería el impacto de la pérdida de confianza en la integridad de su información? Por ejemplo, la integridad del registro del cliente.
  • ¿Qué consecuencias tendría una divulgación involuntaria de información en un acuerdo de subcontratación o en el extranjero? ¿Cuáles son las fuentes de riesgo? ¿Qué amenazas hay?
  • Al buscar información para el proceso de identificación de riesgos, se debe tener en cuenta los planes de seguridad de los organismos de protección de datos de la administración, ya que son una fuente de información verificada sobre los riesgos para la información.

Comprender las necesidades y expectativas de las partes interesadas

La organización debe identificar las partes interesadas y los requisitos que son relevantes para el sistema de gestión de seguridad de la información

Qué son las partes interesadas en el contexto del SGSI

Se trata de personas u organizaciones que pueden influir en la seguridad de la información o en la continuidad del negocio. Por otro lado, puede tratarse de personas o entidades que pueden verse afectadas por la seguridad de la información o las actividades de continuidad del negocio.

Típicamente, las partes interesadas podrían incluir:

  • Empleados y sus familias
  • Accionistas o propietarios del negocio
  • Agencias gubernamentales y entidades reguladoras
  • Servicios de emergencia (por ejemplo, bomberos, policía, ambulancia, etc.)
  • Clientes
  • Medios de comunicación
  • Proveedores y socios
  • Cualquier otra persona que considere importante para su negocio.

Habiendo identificado a sus partes interesadas, ahora hay demandas para que una organización considere sus necesidades y expectativas.

NOTAS sobre las partes interesadas:

  • Las necesidades y expectativas son solo aquellas relevantes para la seguridad de la información.
  • Los requisitos legales y reglamentarios así como las obligaciones contractuales pueden incluirse en los requisitos de las partes interesadas
  • Algo que parece evidente pero quo conviene resaltar es que Ud. necesita averiguar lo que las partes interesadas quieren de usted, y necesita averiguar cómo satisfacer todos estos requisitos en su SGSI

CASO PRACTICO:
IDENTIFICACION DE PARTES INTERESADAS ISO 27001

Veamos en primer lugar algunos aspectos necesarios:

  • Los accionistas necesitan seguridad en sus inversiones y un buen rendimiento
  • Los clientes quieren que cumpla con las cláusulas de seguridad en los contratos
  • Las entidades regulatorias quieren que cumpla con las leyes y regulaciones de sobre seguridad de la información y protección de datos
  • Los medios demandan información y noticias de forma ágil y precisa relacionadas con los incidentes en seguridad de información, etc.

Esto es un primer paso, luego debe especificar exactamente qué leyes y reglamentos, así como cláusulas de seguridad o continuidad existen en los contratos al igual que en los demás requisitos de partes interesadas:

La tarea de identificar los requisitos hay que realizarla antes de comenzar a desarrollar su SGSI.

Veamos un ejemplo concreto de definición de partes Interesadas y sus intereses

Identificación de requisitos de CLIENTES

  • 1. Entregar productos y servicios con soporte y mantenimiento
    • 1.1. de acuerdo con los requisitos contractuales.
    • 1.2. En caso de interrupciones
    • 1.3. Cumpliendo los requisitos legales aplicables
    • 1.4. Cumpliendo los requisitos adicionales de la industria aplicables
  • 2. Dar servicio de mantenimiento en condiciones (24/7/365)
  • 3. Cumplir con los requisitos de ISO 27001
  • 4. Disponibilidad de Sistemas 99,9%
  • 5. SLA de respuesta a incidentes: 4 horas desde recepción de comunicaciones en centro de contacto
  • 6. Requisitos PCI DSS v3.2.1

Identificación de requisitos de USUARIOS FINALES

  • 1. Servicios disponibles
    • 1.1. Sistemas de apoyo ante interrupciones
    • 1.2. Mantener servicios de soporte ante interrupciones
  • 2. Protección de datos: Los productos y servicios protegen adecuadamente los datos de los usuarios finales cumpliendo los requisitos legales tanto para los datos de contacto como para los datos confidenciales

Identificación de requisitos de SOCIOS

Los socios serán empresas que contratan nuestras aplicaciones para dar servicio a usuarios finales

  • 1. Cumplir con los requisitos de desarrollo de Software según los acuerdos firmados
  • 2. Cumplir con los acuerdos de confidencialidad firmados
  • 3. Proporcionar información técnica y soporte suficiente que les permita desarrollar y mejorar su Interfaz de Programación de Aplicaciones (API)
  • 4. Proporcionar la formación necesaria tanto técnica como comercial enfocada a la venta de los productos y servicios
  • 5. Cumplir los acuerdos contractuales especialmente en los tiempos de entrega acordados

Identificación de requisitos de PROVEEDORES

  • 1. Cumplir con los acuerdos contractuales
  • 2. Cumplir con las formas de pago acordadas
  • 3. Cumplir con los acuerdos de confidencialidad firmados

Identificación de requisitos de EMPLEADOS

  • 1. Proporcionar un ambiente de trabajo seguro y apropiado.
  • 2. Recibir capacitación y apoyo requeridos.
  • 3. La compañía especifica claramente sus requisitos y expectativas de los trabajadores.
  • 4. Protección de su información personal.
  • 5. La compañía paga justamente por el trabajo.
  • 6. Continuidad del empleo
  • 7. Oportunidades para el avance y desarrollo profesional

Identificación de requisitos de ASEGURADORAS

  • 1. Cumplir con los requisitos de la política
  • 2. Fidelidad en los pagos
  • 3. Comunicación de cambios en las circunstancias del negocio y del riesgo

Identificación de requisitos de administración

  • 1. Cumplir con los requisitos de las leyes de protección de datos
  • 2. Identificar y cumplir con los requisitos legales propios de cada tipo de negocio emprendido
    • 2.1. Ley de comercio electrónico
    • 2.2. Ley general de telecomunicaciones
    • 2.3. Otras
  • 3. Información mediante planes de comunicación y procedimientos establecidos para mitigar su impacto

Determinar el alcance del sistema de gestión de Seguridad de la Información SGSI

Se trata de definir los límites en la aplicación del sistema de gestión de la seguridad de la información.

Los elementos que debemos tener en cuenta para la definición del alcance son:

  • El contexto de la organización: Las cuestiones Internas y Externas
  • Los requisitos y expectativas de las partes interesadas

Identificar el alcance correcto del SGSI es crucial porque ayudará a las organizaciones a cumplir sus requisitos de seguridad y planificar la implementación del SGSI

Una correcta definición del alcance permitirá:

  • Determinar los recursos necesarios evitando el uso innecesario de recursos (en términos de tiempo, costo y esfuerzo)
  • Planificar la implementación del SGSI determinando el calendario y el presupuesto necesarios.
  • Alinear los requisitos de seguridad de la organización con los ejercicios de análisis y evaluación de riesgos.

Ejemplos de preguntas que pueden guiar a las organizaciones a la hora de definir el alcance y los límites del SGSI:

  • ¿Qué productos y servicios en su organización estarán cubiertos por el SGSI?
  • ¿Cómo y por qué el producto o servicio seleccionado es crítico para su organización?
  • Cuáles son las características del servicio seleccionado; es decir, el negocio, la organización, sus ubicaciones, activos y tecnologías para ser incluidos en el SGSI?
  • ¿Va a requerir que las partes externas, proveedores cumplan con su SGSI?
  • ¿Si las actividades realizadas por la organización requieren de interfaces o dependencias externas o de actividades realizados por terceros? ¿Deberían ser considerados dentro del alcance del SGSI?

Consideraciones antes de definir el Alcance del SGSI

  • 1. Considere los requisitos de seguridad de la información que se han identificado en la Cláusula 4.1 – Definir los requisitos de seguridad de la información; 2. Considerar los servicios críticos que pueden causar un gran impacto en la organización o en sus clientes y partes interesadas como resultado de pérdidas de confidencialidad, integridad o disponibilidad;
  • 3. Definir el alcance y los límites de la organización;
  • 4. Definir el alcance y los límites de la Tecnología de Comunicación de Información (TIC)
  • 5. Definir el alcance físico y los límites
  • 6. Integre alcance y límites elementales para obtener el alcance y los límites del SGSI.
  • 7. Considere las actividades externalizadas así como las interfaces y dependencias requeridas

Cómo definir el alcance de un SGSI

1. Identificar lo que necesita ser protegido

Una de las primeras preguntas que debemos hacer es "¿Qué necesita protección?

En primer lugar hay que determinar que activos de información deben protegerse para apoyar a la organización en el logro de sus objetivos comerciales.

Para establecer que los activos realmente valen la pena proteger, la organización debe justificar por qué cada activo requiere protección mediante un inventario de activos. El análisis y evaluación del riesgo de cada activo determinaran su inclusión en el alcance del SGSI

Una buena recomendación

Una vez definidos los procesos y las actividades incluidas en el alcance y para que el alcance sea completamente claro, especialmente para terceros, resulta útil identificar lo que no está en el alcance (por ejemplo, las actividades del departamento de recursos humanos)

De cualquier manera, el alcance debe definir claramente lo que se está incluyendo, en función de los objetivos comerciales y los activos de información que se protegerán, y debe quedar claro que todo lo demás está fuera del alcance.

2. Comprenda la organización

Cuando el alcance de un SGSI se define por la necesidad de proteger un activo en particular es importante entender primero los componentes del sistema y la estructura involucrada en la entrega de los servicios relevantes.

Esto puede incluir, por ejemplo, obtener diagramas de sistema que muestren los almacenamientos y flujos de datos y los sistemas de TI relevantes. El personal involucrado en la administración y entrega de todos los componentes del sistema probablemente será considerado "dentro del alcance".

3. Asegurar el apoyo al alcance del SGSI

El alcance de un SGSI, política, proyecto o auditoría, etc. debe ser respaldado y acordado formalmente por las principales partes interesadas relevantes

Si no se identifica correctamente y se acepta formalmente el alcance seguramente tendremos dificultades para realizar el plan de implantación del SGSI

Para quienes manejan la seguridad de la información, es importante considerar los límites del control y la autoridad.

Una buena recomendación

Si se da el caso de que la seguridad de los servicios o sistemas en un departamento particular está fuera del control o la autoridad de los propietarios del SGSI, no deberían incluirse en el alcance. En el contexto de una auditoría, se hace imprescindible acordar qué sistemas están en el alcance ya que hay que garantizar a qué sistemas el auditor está autorizado a acceder y en qué circunstancias. En caso contrario podemos tener problemas incluso legales.

4. Monitorear y revisar

El alcance de un SGSI, política, auditoría o proyecto no es estático y puede evolucionar con el tiempo a medida que se desarrollan las circunstancias, las amenazas, las tecnologías y los requisitos. Por lo tanto, el alcance no es algo que deba hacerse una vez al comienzo de un proyecto y luego se lo olvide.

El alcance del SGSI debe ser revisado a intervalos regulares o cuando haya cambios significativos estableciendo para ello dependencias de tiempo en el proyecto de seguridad que debería ser aplicable para un período de tiempo particular.

Motivos para revisar el alcance del SGSI

  • Cambios en el entorno regulatorio
  • Actualizaciones a estándares o en requisitos de terceros
  • Cambio en la organización (por ejemplo, cambios en la estructura de la organización)
  • No conformidades o incidentes que indiquen alcance incorrecto
  • Madurez general del SGSI (el alcance puede aumentar con el tiempo)
  • Cambio en los procesos y las prácticas (por ejemplo, el cese de ciertas actividades)
  • Cambios en la externalización de servicios